AUDIRISK Web Software de Auditoría Basada en Riesgos

(1)

AUDIRISK Web

Software de Auditoría Basada en

Riesgos

AUDIRISK Web

Software de Auditoría Basada en

Riesgos

AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información . 1

Riesgos

Versión 2.014

Riesgos

(2)

Contenido

• AudiRisk: Qué es y para Qué Sirve?.

• Características del Software AudiRisk.

• Especificaciones Generales y Técnicas del Software

AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información.

• Especificaciones Generales y Técnicas del Software

AudiRisk.

• Presentación de Módulos Componentes del Software

AudiRisk.

• Beneficios de Utilizar AudiRisk.

• Usuarios del software AudiRisk.

(3)

El Software AUDIRISK

Es una aplicación WEB (Cloud Computing) para asistir a los Auditores

en la administración y realización de Auditorías Basadas en Riesgos

Críticos, Auditorías de Sistemas de Gestión y el seguimiento a

Informes de Auditorías realizadas por terceros. Consta de seis (6)

módulos interrelacionados:

Qué es y para que sirve?

AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información . 3

módulos interrelacionados:

• Módulo 1: Planeación Anual de la Auditoría (Interna ó Externa) Basada en Valoración de

la Exposición a Riesgos.

• Módulo 2: Auditorías “Basadas en Riesgos Críticos” para procesos y sistemas de

información.

• Módulo 3: Seguimiento a Informes de Auditorías efectuadas por terceros.

• Módulo 4: Informes de Gestión de la Auditoría.

• Módulo 5: Auditorías de Sistemas de Gestión - Norma ISO 19011.

• Módulo 6: Administración de Usuarios .

(4)

El software AUDIRISK consta de 6 módulos:

El Software AUDIRISK

(5)

El Software AUDIRISK ?

Qué es y para que sirve?

AUDIRISK asiste la

administración y

• A Procesos del modelo de

operación

de

la

Empresa

(estratégicos, misionales, de

apoyo y de evaluación),

• A Procesos de Tecnología de

5

administración y

realización de cuatro

(4) tipos de

Auditorías Basadas

en Riesgos:

• A Procesos de Tecnología de

Información (modelos COBIT,

ITIL) ,

• A

la

Infraestructura de

Tecnología de Información

y

Comunicaciones (TICs).

• A Sistemas de Información

Automatizados

(Aplicaciones

de Computador) en desarrollo

o en producción o módulos de

ERPs.

(6)

El Software AUDIRISK ?

AUDIRISK asiste la

• Gestión de la Calidad.

• Gestión de Seguridad

de la Información (ISO

27001).

Qué es y para que sirve?

6

AUDIRISK asiste la

administración y

realización de

Auditorías de

Sistemas de Gestión:

27001).

• Gestión Ambiental.

• Gestión de Seguridad y

Salud

Ocupacional

(OHSAS).

• Gestión de Continuidad

del Negocio.

• Gestión de Servicios.

(7)

MODULO 1: Planeación Anual de la Auditoría Interna, Basada en

Valoración de la Exposición a Riesgos.

Crear Ambiente de Trabajo.

Procesar Cuestionarios.

Elaborar Plan Anual de la Auditoria.

Efectuar Seguimiento al desarrollo del Plan Anual.

El Software AUDIRISK

• Ingresar Trabajos Candidatos a ser Auditados,

por tipo de auditoría.

• Crear / Generar Cuestionarios con Factores de

Riesgo, por tipo de auditoría.

• Seleccionar Categorías de Riesgo aplicables.

• Asignar Impacto de las categorías de riesgos a

los factores de riesgo, por tipo de auditoría.

Crear

Ambiente de

Trabajo

(8)

MODULO 1: Planeación Anual de la Auditoría, Basada

en Valoración de la Exposición a Riesgos.

• Crear Ambiente de Trabajo.

• Procesar Cuestionarios – Por tipo de Auditoría.

• Elaborar Plan Anual de la Auditoria.

• Efectuar Seguimiento al desarrollo del Plan Anual.

El Software AUDIRISK

• Ingresar respuestas por cada trabajo de auditoría.

• Priorizar trabajos según exposición a riesgos (nivel de

seguridad requerida).

• Identificar Categorías de Riesgo Críticas por cada trabajo.

• Identificar factores de riesgo críticos por cada trabajo

• Elaborar Matriz de Planeación Anual.

• Trabajos de Auditoría priorizados Vs. Exposición a riesgos.

• Priorización de la Exposición a Riesgos por Categorías de

Riesgo.

Procesar

Cuestionarios

por tipo de

Auditoría:

(9)

MODULO 2:

Auditorías “Basadas en

• Planeación

detallada,

-Identificación y evaluación de

Riesgos inherentes.

• Evaluación

Efectividad

del

Control Interno Existente,

para

los riesgos inherentes críticos.

Qué es y para que sirve?

El Software AUDIRISK

AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información. 9

Auditorías “Basadas en

Riesgos Críticos” a

procesos y sistemas de

información automatizados

los riesgos inherentes críticos.

• Pruebas de Auditoría -

De

cumplimiento y sustantivas. Para

los

riesgos

críticos

que

las

requieran

• Comunicación de Resultados –

Informes de Auditoría.

• Seguimiento a los Hallazgos de la

Auditoria.

(10)

MODULO 2: Desarrollo / Ejecución de Auditorías Individuales “Basadas

en Riesgos Críticos” a procesos y sistemas de información.

• Etapa 1: Pre – auditoría: Objetivos, alcance, recursos a emplear y

programa de trabajo de la Auditoría.

• Etapa 2: Comprensión del proceso o sistema (Familiarización).

Qué es y para que sirve?

El Software AUDIRISK

• Etapa 2: Comprensión del proceso o sistema (Familiarización).

• Etapa 3: Identificar, documentar y Evaluar Riesgos Inherentes Críticos.

• Etapa 4: Definir Contexto de Riesgos de la Auditoría (Cubo de riesgos).

• Etapa 5: Evaluar Efectividad del Control Interno Existente – Informe de

Auditoría.

• Etapa 6: Pruebas de Cumplimiento: diseño, evaluación e informe de

auditoría.

• Etapa 7: Pruebas Sustantivas: diseño, evaluación e informe de auditoría.

• Etapa 8: Seguimiento a Hallazgos y Recomendaciones de la Auditoria.

(11)

Desarrollo de Auditorías

Basadas en Riesgos

AUDIRISK : Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información

(12)

MODULO 3:

Informes sobre Gestión

• Informes

de

Gestión

de

la

Auditoría. Estadísticas y gráficos

de

Auditorías

realizadas

en

periodos de tiempo:

• Hallazgos de Auditoría: Control

Interno (CI), pruebas de

Cumplimiento (PC) y pruebas

El Software AUDIRISK

AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 12

Informes sobre Gestión

de la Auditoría en un

periodo de tiempo.

Cumplimiento (PC) y pruebas

Sustantivas (PS).

• Recomendaciones Emitidas: CI;

PC; PS.

• Estado de las Recomendaciones.

• Auditorias Programadas y

Ejecutadas.

• Horas Cargables por Auditoría y

Auditor.

(13)

MODULO 4:

• Revisorías Fiscales.

• Auditorías

Financieras

Externas

efectuadas

por

Firmas

de

Contadores

Qué es y para que sirve?

El Software AUDIRISK

AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información . 13

MODULO 4:

Seguimiento a Hallazgos

y Recomendaciones de

Auditorías efectuadas por

terceros.

Firmas

de

Contadores

Públicos.

• Otras

Auditorias

Externas

Especializadas (de Sistemas,

de

Seguridad,

de

calidad,

etc,).

• Auditorias

efectuadas

por

organismos de control del

Estado

(Contralorías,

Superintendencias, etc).

(14)

MODULO 5:

Auditorías de Sistemas de Gestión

Qué es y para que sirve?

El Software AUDIRISK

AUDIRISK : Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información. 14

Auditorías de Sistemas de Gestión

• Planeación de la Auditoría.

• Ejecución de la Auditoría.

• Informe con resultados de la auditoría.

• Seguimiento al plan de mejoramiento.

(15)

MODULO 6:

• Asignar

Perfiles

de

acceso.

• Asignación

de

Qué es y para que sirve?

El Software AUDIRISK

AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información. 15

MODULO 6:

Administración

de Usuarios

• Asignación

de

Auditores

a

Auditorías.

• Cambio / Inactivación

de passwords.

• Copias de Seguridad

(Backups).

(16)

El software AUDIRISK

Qué significa Basada en Riesgos ?

La auditoría utiliza como criterio de Selectividad, los RIESGOS INHERENTES CRITICOS. Las Auditorías

se planean y desarrollan para revisar procedimientos, controles e información relacionada con los

riesgos inherentes críticos (E: Extremo; A: Alto, M: Moderado) de los procesos del modelo de

operación de la empresa, los procesos de TI o las aplicaciones de computador.

AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información.

16

El examen de la Auditoría tiene un enfoque más “proactivo y preventivo”, que “reactivo o a

posteriori”.

La revisión de la auditoría considera siete (7) elementos del riesgo: activos impactados, amenazas

(eventos negativos), vulnerabilidades, agentes generadores, exposición, consecuencias y controles

establecidos.

(17)

Qué significa Basada en Riesgos ?

Las Auditorías se planean y desarrollan para revisar procedimientos,

controles e información relacionada con los

riesgos

riesgos inherentes

inherentes

críticos

críticos (E: Extremo; A: Alto, M: Moderado)

de los procesos del

El software AUDIRISK

AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información .

17

críticos

críticos (E: Extremo; A: Alto, M: Moderado)

de los procesos del

modelo de operación de la empresa, los procesos de TI o las

aplicaciones de computador.

El examen de la Auditoría tiene un enfoque más “proactivo y preventivo”, que

“reactivo o a posteriori”.

La revisión de la auditoría considera siete (7) elementos del riesgo:

activos impactados, amenazas (eventos negativos), vulnerabilidades,

agentes

generadores,

exposición,

consecuencias

y

controles

establecidos.

(18)

Los 7 Elementos del Riesgo

2. Amenazas

Explotan

4. Vulnerabilidades

Que son dañados por ?

1. Activos

3. Agentes

Generadores

AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información. 18

Que resultan en ?

5. Exposiciones

Que es ?

6. Riesgo

Que es mitigado por ?

7. Salvaguardas

(Controles)

(19)

Medición del Riesgo Inherente - Estándares

ISO 31000 - AS/ NZ 4360 - NTC 5254

Medición del Riesgo Inherente - Estándares

ISO 31000 - AS/ NZ 4360 - NTC 5254

(20)

Evaluación de la Exposición a Riesgos

M

apa de Riesgos Inherentes- Estándares

ISO 31000 y AS/ NZ 4360 (NTC 5254)

M

apa de Riesgos Inherentes- Estándares

ISO 31000 y AS/ NZ 4360 (NTC 5254)

Niveles de Riesgo (Inherente o

Residual )

Consecuencias en caso de Presentarse

1: Bajo

La ocurrencia del evento (amenaza) tendría consecuencias leves, tolerables por la organización. Se puede gestionar mediante procedimiento de rutina. En caso de presentarse no desestabiliza a la organización.

20

presentarse no desestabiliza a la organización. 2: Moderado

En caso de presentarse ocasionaría consecuencias que superan el nivel de tolerancia de la organización. Requiere atención de la Gerencia. Debe ser gestionado con controles para disminuir su impacto o la frecuencia de ocurrencia.

3: Alto

En caso de presentarse ocasionaría consecuencias financieras y operacionales de impacto severo o significativo para la organización. Es necesaria la atención inmediata de la Gerencia. Debe gestionarse con acciones para transferir el riesgo a terceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.

4: Extremo

Su ocurrencia ocasionaría consecuencias financieras y operacionales de impacto catastrófico para la organización. Es necesaria la atención inmediata de la Gerencia. Debe gestionarse con mecanismos para evitar su ocurrencia o transferir el riesgo a terceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.

(21)

Auditoría Basada en Riesgos

Críticos

Auditoría Basada en Riesgos

Críticos

Riesgo Potencial (Inherente):

asociado con eventos negativos

(amenazas) que podrían presentarse, según la naturaleza de los

activos y la forma como se desarrollan las operaciones de negocio. En

su estimación

(E: Extremo; A: Alto, M: Moderado; B: Bajo)

no se tienen en

cuenta los controles establecidos.

Considera Dos (2) Estados de los Riesgos

AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información . 21

cuenta los controles establecidos.

Punto de partida de la Auditoría:

Su identificación y evaluación son

el punto de referencia para

evaluar la efectividad de los controles

establecidos y diseñar las pruebas de auditoría.

Riesgo

Residual:

Riesgo

no

protegido

por

los

controles

establecidos, asociado con los eventos negativos (amenazas) que

podrían presentarse.

Punto de llegada de la Auditoría:

su evaluación es el punto de

referencia

para

identificar

los

hallazgos

y

diseñar

las

recomendaciones de la auditoría.

(22)

R

ie

sg

o

I

n

h

e

re

n

te

4: Extremo Bajo Moderado. Alto. Extremo Extremo

3: Alto Bajo Moderado. Alto. Alto. Alto.

Medición de Riesgos Residuales, después de evaluar y verificar

los Controles Establecidos - MODELO "AUDISIS“

Auditoría Basada en Riesgos

Críticos

Auditoría Basada en Riesgos

Críticos

R

ie

sg

o

I

n

h

e

re

n

te

2: Moderado Bajo Moderado. Moderado. Moderado. Moderado.

1: Bajo Bajo Bajo Bajo Bajo Bajo

1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: Muy Deficiente

Efectividad de los Controles (Protección

Existente)

AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información .

(23)

Evaluación Efectividad de los Controles

Evaluación del Control Interno

Efectividad de los Controles

Significado de la Efectividad de los Controles Establecidos por cada Amenaza (riesgo potencial)

1: Apropiada

Los controles establecidos son efectivos (eficaces y eficientes) para reducir los riesgos potenciales a nivel aceptable o tolerable de riesgo residual. Satisfacen los 3 anillos de seguridad y el nivel de automatización es aceptable

23

Satisfacen los 3 anillos de seguridad y el nivel de automatización es aceptable o el costo beneficio es razonable.

2: Mejorable

Los controles satisfacen los 3 anillos de seguridad (preventivo, detectivo y correctivo), pero no son eficientes o tienen bajo nivel de automatización 3:

Insuficiente

Los controles utilizados no satisfacen los tres anillos de seguridad. Se necesitan controles adicionales.

4: Deficiente

Los controles utilizados no satisfacen los tres anillos de seguridad y no son eficientes o tienen bajo nivel de automatización. Se necesitan controles adicionales

5: Muy Deficiente

No existen controles o los que se utilizan no sirven para controlar los riesgos potenciales.

(24)

Estándares que utiliza

AUDIRISK

Estándares que utiliza

AUDIRISK

AUDIRISK está

está alineado

alineado

y

es

es compatible

compatible

con

estándares

estándares internacionales

internacionales y

y nacionales

nacionales vigentes

vigentes de

de

auditoría,

gestión

de

riesgos,

control

interno

y

seguridad

seguridad..

Normas de Auditoría de Aceptación General – IIA e ISACA.

AUDIRISK : Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información 24

Normas de Auditoría de Aceptación General – IIA e ISACA.

Modelos de Control Interno COSO ERM, COBIT Y MECI.

Normas ISO 27002, ISO 27001, ISO 9126, ISO 12207.

Normas ISO 9001, ISO 14000 e ISO 18000.

Modelos de Gestión de Riesgos ISO 31000, SARO,

SARLAFT, MECI, AUDIRISK.

Circulares Externas 052 de 2007, 014 de 2009 y 038 de 2009

de la SFC y CE 023 de 2010 de la SSF.

(25)

Utiliza

Utiliza modelos

modelos conocidos

conocidos de

de “clases

“clases o

o categorías

categorías

de

de riesgo”,

riesgo”, como

como base

base para

para planear

planear y

y

desarrollar

las

las Auditorías

Auditorías..

Sistema de Administración de Riesgo Operativo- SARO.

Sistema de Administración de Riesgos de Lavado de Activos y

Financiación del Terrorismo - SARLAFT.

El Software AUDIRISK

Sistema de Administración de Riesgos de Lavado de Activos y

Financiación del Terrorismo - SARLAFT.

MECI (Modelo Estándar de Control Interno para las Entidades

del Estado Colombiano).

Riesgos en el Sector Salud - Res 1740 de 2008 MPS.

AUDIRISK.

Otros Modelos ( Basilea en Sector financiero y Sector Salud).

(26)

Clases de Eventos

de Riesgo Operativo

SARO

1. Fraude Interno.

2. Fraude Externo.

3. Fallas en la Atención a los Clientes.

4. Daños a Activos Físicos.

5. Fallas en Relaciones Laborales.

6. Fallas Tecnológicas.

Modelos de Clases o Categorías de

Riesgo

6. Fallas Tecnológicas.

7. Errores en Administración y

Ejecución de Procesos.

Clases de Riesgos

De LA / FT

SARLAFT

1. Riesgo Reputacional.

2. Riesgo Legal.

3. Riesgo Operativo.

4. Riesgo de Contagio

(27)

Clases de Riesgo Modelo MECI:

1. Estratégico.

2. Operativo.

3. Financiero.

4. De cumplimiento.

5. De Tecnología.

Clases de Riesgo Modelo AUDIRISK

Modelos de Clases o Categorías de

Riesgo

1. Hurto / Fraude.

2. Sanciones Legales.

3. Pérdida de Credibilidad

Pública.

4. Desventaja Competitiva.

5. Costos Excesivos.

6. Pérdida de Ingresos.

7. Daño / Destrucción de

Activos.

8. Decisiones Erróneas.

Clases de Riesgo Modelo AUDIRISK

(28)

Relación entre Clases de Riesgo y Amenazas

Costo ó Valor de las Pérdidas

Originadas por Eventos no deseables

denominados Riesgos / Amenazas

• Sanciones Legales. • Pérdida de Ingresos. • Costos Excesivos.

• Pérdida de Credibilidad Pública. • Desventaja ante la Competencia. • Daño - Destrucción de Activos. • Decisiones Erróneas. • Fraude – Robo.

RIESGO

CLASES DE RIESGOS

SARO

SARLAFT

MECI

AUDIRISK

28

Agentes Generadores de Amenazas.

• Personas, Fallas de los Equipos (

Energía, Aire Acondicionado), Actos mal intencionados, Desastres

Naturales o provocados.

UNIDAD MINIMA DE

ANALISIS

A

M

B

• Frecuencia (Probabilidad) de Ocurrencia.

• Impacto ( Estimación de las

Pérdidas por cada ocurrencia).

AMENAZAS DE RIESGO

(Eventos que generan las

Clases de Riesgo)

_{Vulnerabilidades – Debilidades de seguridad}

AUDIRISK

(29)

Provee Bases de Conocimientos que contienen “best

practices”

universales

sobre

clases

de

riesgos,

amenazas, objetivos de control, controles y técnicas de

auditoría.

1. Base de Conocimientos Estándar suministrada por AUDISIS, con “Best

Practices” universales sobre riesgos, amenazas, controles, técnicas de

El software AUDIRISK

Practices” universales sobre riesgos, amenazas, controles, técnicas de

auditoría. Punto de partida para poblar la base de empresa.

2. Base

de

Conocimientos

de

la

Empresa:

“Best

Practices”

suministradas en la base estándar, incrementadas con prácticas

especificas utilizadas por la Empresa,

identificadas en el desarrollo de

las auditorías realizadas con AUDIRISK.

3. Base de Conocimientos de Trabajo con los resultados de cada

auditoría – Papeles de trabajo de cada auditoria realizada con

AUDIRISK.

(30)

Suministrada por AUDISIS

AUDIRISK

• Categorías

Riesgos:

SARO,

SARLAFT, MECI, AUDIRISK.

• Amenazas de Riesgo

* Controles

*

Escenarios de riesgo: de TI,

aplicaciones y a la medida

* Técnicas de auditoria.

Best Practices sobre

Base de Conocimientos Estándar

AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información . 30

Bases de

Conocimiento

Estándar

* Objetivos de Control

• Modelos

de

evaluación

de

riesgos y Controles

* Riesgos – Amenazas de Riesgo

* Amenazas de Riesgo - Controles

• Escenarios - Objetivos de Control

(31)

Bases de Conocimientos con Resultados

de las Auditorias

Base de la

Proceso de

Negocio

Base de Datos de la Empresa

incrementada con

Riesgos,

Amenazas,

Controles,

técnicas de auditoria y otras

practicas utilizadas.

BC de la Empresa

Base de Trabajo

Base de la

Empresa- Antes

de la Auditoria

Base de Trabajo

Cubo de Riesgos para la Auditoria Guías de Control personalizadas Evaluación de Controles Existentes.

Diseño de Pruebas de

Cumplimiento y Sustantivas. Hallazgos de Auditoría

(32)

Otras Características

Lo que no se mide, no

se puede administrar /

Controlar.

Mide la Efectividad de los Controles Existentes, por

Amenazas,

categorías

de

riesgo,

actividades,

áreas

Otras Características

Lo que no se mide, no

se puede administrar /

Controlar.

Mide la Efectividad de los Controles Existentes, por

Amenazas,

categorías

de

riesgo,

actividades,

áreas

El software AUDIRISK

Amenazas,

categorías

de

riesgo,

actividades,

áreas

organizacionales y objetivos de control.

1: Apropiada, 2:

Mejorable; 3: Insuficiente; 4: Deficiente y 5: Muy deficiente

Mide el % de Cumplimiento de los Controles Establecidos,

por amenazas, categorías de riesgo, actividades, áreas

organizacionales.

Mide el % de Exactitud de las Cifras verificadas (Pruebas

Sustantivas), por amenazas, categorías de riesgo, actividades,

áreas organizacionales .

Amenazas,

categorías

de

riesgo,

actividades,

áreas

organizacionales y objetivos de control.

1: Apropiada, 2:

Mejorable; 3: Insuficiente; 4: Deficiente y 5: Muy deficiente

Mide el % de Cumplimiento de los Controles Establecidos,

por amenazas, categorías de riesgo, actividades, áreas

organizacionales.

Mide el % de Exactitud de las Cifras verificadas (Pruebas

Sustantivas), por amenazas, categorías de riesgo, actividades,

áreas organizacionales .

(33)

Otras Características

Provee funcionalidades para elaborar cuestionarios

(no son insumos, son productos de AudiRisk):

De Factores de Riesgo y Criterios para evaluar exposición

a riesgos por tipos de auditoría – En Planeación Anual.

Otras Características

Provee funcionalidades para elaborar cuestionarios

(no son insumos, son productos de AudiRisk):

De Factores de Riesgo y Criterios para evaluar exposición

a riesgos por tipos de auditoría – En Planeación Anual.

El software AUDIRISK

Para identificar controles que “deberían existir” para

mitigar las amenazas de riesgo.

Para verificar los controles (pruebas de cumplimiento) de

amenazas que tienen protección apropiada.

Para verificar la exactitud de la información (pruebas

sustantivas) a cifras impactadas por amenazas de riesgo

con debilidades de control.

De criterios para evaluar la satisfacción de las siete (7)

características de las información de negocios.

Para identificar controles que “deberían existir” para

mitigar las amenazas de riesgo.

Para verificar los controles (pruebas de cumplimiento) de

amenazas que tienen protección apropiada.

Para verificar la exactitud de la información (pruebas

sustantivas) a cifras impactadas por amenazas de riesgo

con debilidades de control.

De criterios para evaluar la satisfacción de las siete (7)

características de las información de negocios.

(34)

Otras Características

Es una aplicación WEB que se puede instalar en la Nube (Cloud

Computing), servidores de la empresa y equipos stand alone.

Produce Papeles de Trabajo en formato electrónico.

Ofrece ayudas de Supervisión de los Auditores (TO DOs

o

Otras Características

Es una aplicación WEB que se puede instalar en la Nube (Cloud

Computing), servidores de la empresa y equipos stand alone.

Produce Papeles de Trabajo en formato electrónico.

Ofrece ayudas de Supervisión de los Auditores (TO DOs

o

El software AUDIRISK

34

Ofrece ayudas de Supervisión de los Auditores (TO DOs

o

pendientes por hacer).

Por cada auditoria genera 5

tipos informes de Auditoria:

Evaluación de control interno, pruebas de cumplimiento,

pruebas sustantivas, satisfacción de las siete (7) características

de la información de negocios y del seguimiento a los hallazgos

de auditoría.

Software Multicompañías.

Deja Rastros de las actividades ejecutadas por los Auditores.

Ofrece ayudas de Supervisión de los Auditores (TO DOs

o

pendientes por hacer).

Por cada auditoria genera 5

tipos informes de Auditoria:

Evaluación de control interno, pruebas de cumplimiento,

pruebas sustantivas, satisfacción de las siete (7) características

de la información de negocios y del seguimiento a los hallazgos

de auditoría.

Software Multicompañías.

Deja Rastros de las actividades ejecutadas por los Auditores.

(35)

Perfiles de Acceso establecidos en el software.

Gerente de Auditoria .

Otras Características

El software AudiRisk

Gerente de Auditoria .

Administrador de Usuarios.

Supervisor.

Analista de Auditoría.

Auditor Regional.

Solo Consulta.

(36)

Satisface necesidades de diferentes

modalidades de Auditoría.

Auditores de Sistemas.

Satisface necesidades de diferentes

modalidades de Auditoría.

Auditores de Sistemas.

El software AUDIRISK

Auditores de Sistemas.

Auditores Operativos.

Auditores de Procesos.

Auditorías Integrales.

Revisores Fiscales.

Auditores de Sistemas.

Auditores Operativos.

Auditores de Procesos.

Auditorías Integrales.

Revisores Fiscales.

(37)

Especificaciones Técnicas para ejecutar

el Software AUDIRISK

Especificaciones Técnicas para ejecutar

el Software AUDIRISK

• Motores de Bases de datos: SQL Server y Oracle.

• Sistema Operacional: Windows Server 2008 a 2012.

Windows Vista, 7 y 8. Excepto las versiones Home.

37

Windows Vista, 7 y 8. Excepto las versiones Home.

• Memoria RAM: 4GB en servidor.

• Disco Duro: 16 GB.

• Internet Explorer 8.0 o superiores.

(38)

Por

Por la

la compra

compra del

del Software

Software

Manual del Usuario del Software (E-book).

Software ejecutable (CD).

Productos que recibe el

Usuario de AUDIRISK

Productos que recibe el

Usuario de AUDIRISK

38

Software ejecutable (CD).

Bases de datos de conocimientos estándar.

Licencia de uso por tiempo indefinido.

Derecho a recibir soporte técnico y actualizaciones

del software y la metodología durante un año.

(39)

Módulo 1:

39

Módulo 1:

Planeación Anual de la Auditoría, Basada

en Valoración de Riesgos

(40)

Planeación Anual de las Auditorías

De acuerdo con Pronunciamientos del Instituto de Auditores Internos

de USA (IIA) y de la Asociación de Control y Auditoría de Sistemas de

Información (ISACA).

Para Auditorías Internas / Oficinas de Control Interno.

Desarrolla

Desarrolla el

el enfoque

enfoque de

de Planeación

Planeación Anual

Anual de

de

la

Auditoría

Auditoría Basada

Basada en

en Valoración

Valoración de

de Riesgos

Riesgos..

40

Para Auditorías Internas / Oficinas de Control Interno.

Elabora y controla ejecución del Plan Anual de Auditoria, según

su nivel de exposición a riesgos.

Provee Cuestionarios con Factores de Riesgo, por tipos de

auditoría.

Estima la Exposición a Riesgos de los trabajos de auditoría, por

Categorías de Riesgo y por tipos de auditoría.

Prioriza los trabajos de auditoría por tipos de auditoría.

Elaborar cronograma anual de la auditoría.

Permite realizar seguimiento al plan.

(41)

Planeación Anual de las Auditorías

Para Auditorías Externas y Organismos de Control del

Estado

Elabora y controla el plan anual de auditoría por sector y

Desarrolla

Desarrolla el

el enfoque

enfoque de

de Planeación

Planeación Anual

Anual de

de

la

Auditoría

Auditoría Basada

Basada en

en Valoración

Valoración de

de Riesgos

Riesgos..

41

Elabora y controla el plan anual de auditoría por sector y

empresas, según su nivel de exposición a riesgos :

Provee Cuestionarios con Factores de Riesgo, por sectores

Estima Exposición a Riesgos de las Empresas dentro de

cada sector, por empresa y categorías de riesgo.

Elaborar cronograma anual de la auditoría por Sector.

Define trabajos a realizar por empresa.

Permite hacer seguimiento al Plan Anual.

(42)

Planeación Anual de la Auditoría

Basada en Valoración de Riesgos

Ofrece funcionalidades para elaborar el plan anual de auditoría y

controlar su ejecución, a través de los siguientes pasos:

1. Por cada tipo de auditoría (revisiones), permite priorizar los

Planeación Anual de la Auditoría Interna.

42

1. Por cada tipo de auditoría (revisiones), permite priorizar los

trabajos candidatos a ser auditados, de acuerdo con el nivel de

Exposición a Riesgos:

Tipos de Auditorías:

A Procesos del modelo de operación de la empresa.

A Procesos de tecnología de información (TI).

A Aplicaciones de computador ó Módulos de ERPs.

Seguimientos a auditorías efectuadas por terceros.

Otros tipos de revisiones.

(43)

Módulo 1: Planeación Anual de la

Auditoría Basada en Riesgos

Ofrece funcionalidades para elaborar el plan anual de auditoría y

controlar su ejecución, a través de los siguientes pasos:

2. Por

cada

tipo

de

auditoría

(revisiones),

permite

generar

Planeación Anual de la Auditoría Interna.

43

2. Por

cada

tipo

de

auditoría

(revisiones),

permite

generar

panoramas de riesgo a nivel Corporativo:

Por Tipos de Auditorías

Priorización de Categorías de Riesgos en los procesos del modelo

de operación de la empresa.

Priorización de Categorías de Riesgos en los procesos de

tecnología de información.

Priorización de Categorías de Riesgos en las

Aplicaciones de

computador.

(44)

Módulo 1: Planeación Anual de la

Auditoría Basada en Riesgos

Ofrece funcionalidades para elaborar el plan anual de auditoría y

controlar su ejecución, a través de los siguientes pasos:

3. Elaborar programación de auditorías a realizar durante el año, de

acuerdo con las prioridades asignadas por tipos de auditorías o

Planeación Anual de la Auditoría Interna.

44

acuerdo con las prioridades asignadas por tipos de auditorías o

por clases de riesgo.

4. Efectuar seguimiento al plan anual de la auditoria / Evaluar la

gestión de la auditoría

de acuerdo al cumplimiento del plan

anual.

5. Generar reportes de planeación, seguimiento y control del plan

anual de auditoría.

(45)

Módulo 1: Planeación Anual de la

Auditoría Basada en Riesgos

(46)

Módulo 2:

46

Módulo 2:

Desarrollo de Auditorías Basadas en

Riesgos Críticos

Riesgos Críticos, a procesos y

, a procesos y

sistemas de información

(47)

Desarrollo de Auditorías Basadas

en Riesgos Críticos

1. A procesos del Modelo de Operación de la

Empresa (estratégicos, misionales y de apoyo).

2. A procesos de Tecnología de Información (COBIT,

Tipos de Auditorías que soporta AUDIRISK

47

2. A procesos de Tecnología de Información (COBIT,

ITIL, ISO 27001).

3. A

actividades

clave

de

la

Infraestructura

Informática de la Empresa.

4. A

sistemas

de

información

automatizados

(Aplicaciones

de

Computador

ó

módulos

de

ERPs).

(48)

Desarrollo de Auditorías

Basadas en Riesgos Críticos

48

(49)

Preauditoría

Comprensión

Id., y Medición

de Riesgos

1

2

3

4 Memorando

Fases y Etapas de las Auditorías con AUDIRISK

FASE 1: PLANEACIÓN BASADA EN RIESGOS

49

Cubo de la

Auditoría

de Riesgos

Memorando

Planeación

Caracterización

Riesgos

Inherentes

Críticos

Contexto de

Riesgos de la

Auditoría

Archivo

Permanente

Programa de

Trabajo

Mapas de

Riesgos Pot.

(50)

Evaluar Controles

Establecidos

Pruebas de

Cumplimiento

Pruebas

Sustantivas

5

6

7

8 Medir

Efectividad de

Fases y Etapas de las Auditorías con AUDIRISK

FASES 2 Y 3 : EJECUCION E INFORME DE LA AUDITORÍA

50

Informe de la

Auditoría

Sustantivas

Efectividad de

los controles

Hallazgos de

Auditoría

A Exactitud

Datos Claves

Seguimiento

Informes Aud.

A Controles

Claves

Medir / evaluar

Riesgo Residual

Hallazgos de

Auditoría

Hallazgos de

Auditoría

Informe de Auditoría

Informes de Auditoría

(51)

El conjunto de controles que actúan sobre cada Amenaza, deberán satisfacer

dos de los tres criterios siguientes:

Eficacia:

Los controles sirven para reducir el riesgo ?

Se dispone al menos una vez los tres anillos de control: Preventivo,

Detectivo y Correctivo?.

Evaluación de la Efectividad de los

Controles Seleccionados

51

Detectivo y Correctivo?.

Calificación Promedio nivel de automatización (por clase) es superior

a 3.5?.

Eficiencia

Relación C / B. Beneficios mayores que los costos?. :

Calificación:

Razonable (R) o No Razonable (NR).

El costo de los controles por amenaza es máximo el 10% del valor del

riesgo.

Efectividad:

Eficacia + Eficiencia.

(52)

BARRERA

Enfoque de las Tres Barreras o Anillos de Seguridad

para las Amenazas de Riesgo

AMENAZAS DE BARRERA DETECTIVA A1 A2 BARRERA ORGANIZACIÓN INSTALACIONES A2 A3 PREVENTIVA RIESGO DETECTIVA A2 A3 CORRECTIVA A3 A3 PERSONAS HW - SW FINANCIEROS DATOS

FEEDBACK

AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información

(53)

El enfoque de los 3 Anillos de

Seguridad

53

(54)

R

ie

sg

o

I

n

h

e

re

n

te

4: Extremo Bajo Moderado. Alto. Extremo Extremo

3: Alto Bajo Moderado. Alto. Alto. Alto.

Medición de Riesgos Residuales, después de evaluar y verificar

los Controles Establecidos - MODELO "AUDISIS“

Auditoría Basada en Riesgos

Críticos

Auditoría Basada en Riesgos

Críticos

R

ie

sg

o

I

n

h

e

re

n

te

2: Moderado Bajo Moderado. Moderado. Moderado. Moderado.

1: Bajo Bajo Bajo Bajo Bajo Bajo

1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: Muy Deficiente

Efectividad de los Controles (Protección

Existente)

AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información .

(55)

Evaluación Efectividad / Protección

de los Controles, por Amenaza

Protección existente (PE) - Método AUDISIS

Satisfacción de los Criterios de Evaluación Efectividad

RI - Antes de Controles Estandar AS/NZ e ISO 31000

RR - Despues de Controles

1: APROPIADA

Se satisfacen los 3 anillos de control y por lo menos uno de los otros dos criterios (C/B = Razonable y/o Calificación promedio de los controles superior a 3.5 puntos)

4: Extremo 1: Tolerable 3: Alto 1: Tolerable 2: Moderado 1: Tolerable 1: Bajo (Tolerable) 1: Tolerable 2: MEJORABLE Se satisfacen los 3 anillos de control, únicamente

4: Extremo 2: Moderado 3: Alto 2: Moderado 2: Moderado 2: Moderado 1: Bajo (Tolerable) 1: Bajo 1: Bajo (Tolerable) 1: Bajo 4: INSUFICIENTE

Únicamente se satisfacen los dos criterios diferentes de los 3 anillos (C/B = Razonable y/o Calificación promedio de los controles superior a 3.5 puntos)

4: Extremo 3: Alto 3: Alto 3: Alto 2: Moderado 2: Moderado 1: Bajo (Tolerable) 1: Tolerable 4: DEFICIENTE

Se satisface únicamente uno de los dos criterios diferentes de los 3 anillos (C/B = Razonable y/o Calificación promedio de los controles superior a 3.5 puntos)

4: Extremo 4: Extremo 3: Alto 3: Alto 2: Moderado 2: Moderado 1: Bajo (Tolerable) 1: Bajo (Tolerable) 5: MUY DEFICIENTE No existen controles

4: Extremo 4: Extremo 3: Alto 3: Alto 2: Moderado 2: Moderado 1: Bajo (Tolerable) 1: Bajo (Tolerable)

AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información.

(56)

Cómo Iniciar una Auditoría con

AUDIRISK ?

Cómo Iniciar una Auditoría con

AUDIRISK ?

Crear Ambiente de Trabajo.

Crear Base de Conocimientos de la Empresa.

Parametrizar software con estándares de auditoría a emplear en

la Empresa.

56

la Empresa.

1. Para evaluación de riesgos – inherentes y residuales.

2. Para Evaluación del Control Interno Existente.

3. Para Medición del cumplimiento de controles y exactitud de la

información (cifras que pudieran ser impactadas por amenazas

con debilidades de control).

4. Estados de Auditoría.

5. Estado de las Recomendaciones.

6. Correos electrónicos y mensajes de Recordatorio

(57)

Cómo iniciar o Continuar una

Auditoría con el Software AUDIRISK

Cómo iniciar o Continuar una

Auditoría con el Software AUDIRISK

Para Iniciar una Auditoría.

Crear en AUDIRISK la auditoría que será ejecutada.

Programada en el Plan Anual

No Programada en el Plan Anual.

A partir de la última auditoría ejecutada.

Crear en AUDIRISK la Base de Conocimientos de Trabajo que

57

Crear en AUDIRISK la Base de Conocimientos de Trabajo que

retendrá los resultados de la auditoría del proceso de negocio o

sistema.

Para Continuar una Auditoría ya Iniciada.

Seleccionar Auditoría.

Ingresar al tablero de control “Etapas de la Metodología de la

Auditoría”.

Continuar con la primera etapa donde el menú se visualice

“ Activo”.

(58)

Módulo 3:

Informes de Gestión de la

Auditoría

58

(59)

Genera estadísticas y gráficos sobre las auditorías realizadas

con AUDIRISK durante un periodo de tiempo.

Auditorias Planeadas Vs Auditorias Ejecutadas.

Estadísticas de Hallazgos informados en el periodo,

por

Módulo 3:

Informes de Gestión de la Auditoría

59

Estadísticas de Hallazgos informados en el periodo,

por

auditorías y tipos de Auditorías (Procesos del Modelo de

Operación, Procesos de TI, Aplicaciones de Computador).

• Cantidad y Porcentaje de Hallazgos de Auditoría sobre Diseño de

Controles Internos.

• Cantidad y Porcentajes de Hallazgos de Auditoría sobre Pruebas

de Cumplimiento.

• Cantidad y Porcentajes de Hallazgos de Auditoría sobre Pruebas

Sustantivas.

(60)

Genera estadísticas y gráficos sobre las auditorías realizadas

con AUDIRISK durante un periodo de tiempo.

Estadísticas sobre cantidad y porcentaje de recomendaciones

emitidas en el periodo, por auditoría, tipos de auditorías y Sitios

Módulo 3:

Informes de Gestión de la Auditoría

60

emitidas en el periodo, por auditoría, tipos de auditorías y Sitios

de Prueba.

• Recomendaciones sobre

Efectividad (Diseño) de

Controles

Internos.

• Recomendaciones sobre Pruebas de Cumplimiento.

• Recomendaciones sobre Pruebas Sustantivas.

(61)

Genera

estadísticas

y

gráficos

sobre

las

auditorías

desarrolladas con AUDIRISK durante un periodo de tiempo.

Estadísticas

sobre

el

Estado

de

Atención

de

las

recomendaciones emitidas en el periodo, por auditoría, tipos de

Módulo 3:

Informes de Gestión de la Auditoría

61

recomendaciones emitidas en el periodo, por auditoría, tipos de

auditorías y Sitios de Prueba.

• Recomendaciones de Auditoría

sobre

Efectividad (Diseño) de

Controles Internos.

• Recomendaciones de Auditoría sobre Pruebas de Cumplimiento.

(62)

Genera

estadísticas

y

gráficos

sobre

las

auditorías

desarrolladas con AUDIRISK durante un periodo de tiempo.

Estados de Atención de las recomendaciones emitidas por

Módulo 3:

Informes de Gestión de la Auditoría

62

Estados de Atención de las recomendaciones emitidas por

la Auditoría, en el periodo.

• Implantada.

• En Proceso.

• Pendiente (por iniciar implantación).

• Anulada.

(63)

Módulo 3:

Informes de Gestión de la Auditoría

63

(64)

Módulo 3:

Informes de Gestión de la Auditoría

64

(65)

Estado de Implementaci

ó

n de las recomendaciones de auditor

í

a, por tipos de

auditoría.

Módulo 3:

Informes de Gestión de la Auditoría

65

(66)

Módulo 4:

66

Módulo 4:

Seguimiento a Hallazgos de Auditorías

Efectuadas por Terceros

(67)

El software AUDIRISK consta de 6 módulos:

¿Qué es AUDIRISK ?

67

(68)

Este módulo permite planear, ejecutar e informar

Módulo 4: Seguimiento a Hallazgos

de Auditorías Efectuadas por

Terceros

68

Este módulo permite planear, ejecutar e informar

resultados del seguimiento a los hallazgos de

auditorías realizadas por terceros o de auditorías

no realizadas con AUDIRISK.

(69)

AUDIRISK

AUDIRISK provee

provee funcionalidades

funcionalidades para

para efectuar

efectuar

Seguimiento

Seguimiento a

a Hallazgos

Hallazgos y

y Recomendaciones

Recomendaciones de

de

Auditoría

Auditoría emitidos

emitidos por

por::

Seguimiento a hallazgos de

Auditorías Efectuadas por Terceros

69

Revisorías

Revisorías Fiscales

Fiscales..

Auditorías

Auditorías Financieras

Financieras Externas

Externas efectuadas

efectuadas por

por

Firmas

Firmas de

de Contadores

Contadores Públicos

Públicos..

Otras

Auditorías

Externas

Especializadas

(de

Sistemas,

Sistemas, de

de Seguridad,

Seguridad, de

de calidad,

calidad, etc

etc,)

,)..

Auditorías

Auditorías efectuadas

efectuadas por

por organismos

organismos de

de control

control

del

del Estado

Estado (Contralorías,

(Contralorías, Superintendencias,

Superintendencias, etc)

etc)..

(70)

Funcionalidades

Funcionalidades ofrecidas

ofrecidas por

por AUDIRISK

AUDIRISK..

Mantenimiento

Mantenimiento Datos

Datos Básicos

Básicos de

de los

los terceros

terceros que

que

efectúan

efectúan las

las Auditorías

Auditorías..

Mantenimiento

Mantenimiento Datos

Datos básicos

básicos de

de las

las Auditorías

Auditorías

Seguimiento a Hallazgos de

Auditorías Efectuadas por Terceros

70

Mantenimiento

Mantenimiento Datos

Datos básicos

básicos de

de las

las Auditorías

Auditorías

Realizadas

Realizadas por

por terceros

terceros..

Ingreso

Ingreso de

de Hallazgos

Hallazgos..

Ingreso

Ingreso de

de Recomendaciones

Recomendaciones..

Planeación

Planeación del

del seguimiento

seguimiento..

Ejecución

Ejecución del

del Seguimiento

Seguimiento..

Informes

Informes con

con los

los resultados

resultados del

del Seguimiento

Seguimiento..

(71)

Por

Por cada

cada recomendación

recomendación maneja

maneja ::

Metas

Metas..

Fecha

de

Compromiso

para

implantar

acción

de

mejoramiento

mejoramiento..

Seguimiento a Hallazgos de

Auditorías Efectuadas por Terceros

71

mejoramiento

mejoramiento..

Fecha

Fecha de

de Seguimiento

Seguimiento..

Cargos

responsables

de

implantar

recomendación,

supervisar

supervisar implantación

implantación y

y de

de efectuar

efectuar seguimiento

seguimiento..

Diseño

Diseño de

de Recordatorios

Recordatorios en

en fechas

fechas determinadas

determinadas por

por el

el

auditor

auditor..

Emisión

Emisión automática

automática de

de Recordatorios

Recordatorios por

por correo

correo electrónico

electrónico..

Informes

Informes de

de seguimientos

seguimientos efectuados

efectuados..

(72)

Menú Administrador

Seguimiento a hallazgos de

Auditorías Efectuadas por Terceros

72

(73)

Seguimiento a Hallazgos de

Auditorías Efectuadas por Terceros

73

(74)

Seguimiento a Hallazgos de

Auditorías Efectuadas por Terceros

74