La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

AUDITORES - CONSULTORES

Publicada porConsuelo Blasco Modificado hace 9 años

Presentaciones similares

Presentación del tema: "AUDITORES - CONSULTORES"— Transcripción de la presentación:

1 AUDITORES - CONSULTORES
AUDISIS LTDA. AUDITORES - CONSULTORES Especialistas en Controles, Seguridad y Auditoría de Sistemas de Información AUDAP: Metodología Asistida por Computador para auditoría orientada al riesgo en operaciones automatizadas AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

2 La Metodología AUDAP ¿Qué es Audap ?
Es la metodología asistida por computador, desarrollada por AUDISIS para conducir auditorías orientadas al riesgo en operaciones automatizadas AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

3 La Metodología AUDAP Desarrolla auditorías integrales de la Seguridad de la información y el Control Interno: Controles Automatizados - Implementados y ejecutados en el software aplicativo y del sistema. Controles No Automatizados. Implementados en los procedimientos ejecutados por personas en las áreas de operación del negocio o servicio. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

4 La Metodología AUDAP Evalúa y verifica la satisfacción de 7 criterios de calidad en la información de negocios: Efectividad. Eficiencia. Confidencialidad. Integridad. Disponibilidad. Cumplimiento con leyes y regulaciones. Confiabilidad. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

5 La Metodología AUDAP Utiliza el enfoque de reingeniería de procesos de negocios. Ejecuta auditorías transversalmente por “escenarios de riesgo”, en lugar de hacerlo verticalmente por dependencias. Suministra bases de conocimientos con “best practices” sobre riesgos, causas de riesgo, controles, objetivos de control y cuestionarios. Aplica el enfoque de auditoría orientada al riesgo. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

6 La Metodología AUDAP Enfatiza en los Riesgos Potenciales “Críticos”, en lugar de dar la misma importancia a todos los riesgos. Califica la protección existente y el riesgo residual, en formas numérica y cualitativa. Genera papeles de trabajo en medios magnéticos. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

7 Estándares que utiliza AUDAP
Las auditorías con AUDAP se desarrollan de acuerdo con normas de auditoría generalmente aceptadas, principalmente las promulgadas por ISACA para la auditoría de Sistemas y el IIA para el uso de la valoración de riesgos en auditoría. Como marco de referencia para las evaluaciones se utilizan entre otros los siguientes estándares: COBIT (Control Objectives for information and related technology, ISACA, 2002). SAC (Systems Auditability and Control. IIA, 1992). BSI 17799, ISO 9126, ISO y Orange Book. Normas de Auditoría de Aceptación General. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

8 Productos que recibe el Cliente de AUDAP
Manual - Libro de la metodología Software ejecutable (CD) Ayudas en Linea - Manual del usuario del software Bases de datos de conocimientos estándar Licencia de uso por tiempo indefinido. Una Llave de control de acceso fisico - Hardware Key. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

9 ¿A quienes está dirigida la Metodología AUDAP ?
Auditores de Sistemas. Auditores Operativos. Auditores Financieros. Auditorías Integradas. Revisores Fiscales. - limited only by imagination - exception identification - multiple purchases of $9800 on limit of $10,000 - unusually low interest rates by branch - based on filtering capability - sampling: sometimes preferable - not everyone up to speed on MUS or FI sampling - confirmation letters - fraud detection: - ability to relate widely different files - employee / vendor matches - compare invoices / POs / product receipt records - verification: - results dependent upon significant calculations - year 2000 issues - EDP audit - analysis of system logs - failed access attempts - cc:mail example AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

10 Auditoría Orientada al Riesgo
Riesgo Potencial (Inherente): Riesgo asociado con la naturaleza de los procesos u operaciones. En su estimación no se tienen en cuenta los controles establecidos. Punto de partida de la Auditoría: Verificar que la empresa está protegida contra los riesgos potenciales críticos que podrían presentarse. Riesgo Residual: Riesgo no cubierto por los controles establecidos. Punto de llegada de la Auditoría: Determinar si el riesgo residual asumido es aceptable. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

11 METODOLOGIA DE AUDITORIA - AREAS AUTOMATIZADAS
INICIO Identificar fortalezas y debilidades de Control Informe de acciones de emergencia Alta gerencia 1 Planeacion 10 Determinar complejidad y recursos Informe detallado Sistemas y usuarios 10 Pruebas manuales Ejecuta Pruebas de cumplimiento y Sustantivas 2 Comprension / Familiarización 6 Diseñar y planear pruebas de Auditoría Pruebas asistidas por computador CAATs Soportes o evidencias de pruebas Archivo permanente 8 Evaluación de resultados de las Pruebas 3 Identificar y Evaluar Riesgos Potenciales Análisis de impacto de Hallazgos de Auditoría s Riesgos inhere- ntes al negocio 9 Elaborar informe de la Auditoría 4 Definir alcance de auditoría Informe Ejecutivo Informe detallado Usuarios y Sistemas Localizar los riesgos críticos Alta Gerencia 5 5 Evaluar Eestruc- tura del control interno 10 Seguimieiento a Recomendaciones 2 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

12 Etapas de la Metodología AUDAP
1. Planeación - Preauditoría. 2. Comprensión del Proceso e Negocio (Relevamiento) 3. Identificación y Evaluación de Riesgos Críticos 4. Definición del alcance de la auditoría 5. Evaluación del Controles Existentes. 6. Definición y Diseño de Pruebas de Auditoría 7. Ejecución de Pruebas de Auditoría. 8. Análisis de los Resultados de las Pruebas 9. Elaboración de informe con los resultados de la Auditoría. 10. Seguimiento AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

13 Metodología AUDAP Qué es una operación automatizada ?.
Es el conjunto de procedimientos manuales y automatizados que se utilizan para manejar en forma estandarizada, los datos y la información de uno o más negocios (servicios) de la empresa con ayuda de recursos de Tecnología de Información (software, hardware, instalaciones, telecomunicaciones, etc.) Generalmente se apoyan en una o más aplicaciones de Computador o Sistemas de Información Automatizado (SIA). AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

14 Metodología AUDAP Qué es Aplicación de computador ?.
Es un grupo integrado de programas de computador diseñados para realizar una función particular que tiene actividades de entrada de datos, procesamiento y salida de información (ISACA). ISACA: Information Systems Audit and Control Association. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

15 Metodología AUDAP Ejemplos de Operaciones Automatizadas.
Sistema Integrado de Información Financiera Sistema de Recursos Humanos Sistema de Cartera Sistema de Tarjeta de Crédito. Software de Categoría Mundial SAP /R3 People SOFT AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

16 Bases de Conocimientos
de AUDAP 1. Bases Estándar : Suministradas por AUDISIS - Best Practices. 2. Bases de la Empresa : Creadas y personalizadas con AUDAP A partir de Bases Estándar A partir de Bases de Empresas Similares 3. Bases de Trabajo: Contienen Resultados de estudios realizados con AUDAP. A partir de Bases Estándares A partir de Bases de Empresa A partir de Bases de Trabajo con Resultados Estudio Anterior AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

17 Bases de Conocimientos Estándar Suministradas por AUDISIS
Best Practices sobre * Riesgos Potenciales * Causas de Riesgo * Controles * Procesos : COBIT y Audisis * Objetivos de Control COBIT * Cuestionarios de Riesgo * Cuestionario de Diagnóstico Preliminar AUDAP Bases de Conocimiento Estándar Relaciones entre * Riesgos - Causas de Riesgo * Causas de Riesgo - Controles * Procesos - Objetivos de Control COBIT AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

18 Creación de Bases de Conocimientos de la Empresa
Personalizadas con AUDAP Copiar y Personalizar Adiciones Modificaciones Retiros Bases de Conocimiento de la Empresa Bases de Conocimiento Estándar AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

19 Creación de Bases de Conocimientos de Trabajo
Personalizadas para cada operación Operación 1 Bases de Conocimientos de Trabajo Inicial Copiar y crear bases para Operaciones Individuales Operación 2 Bases de Conocimientos de la Empresa BC de Trabajo Inicial BC Master Operación n BC de Trabajo Inicial AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

20 Bases de Conocimientos de Trabajo
Con los Resultados de Auditorias Realizadas con AUDAP Realizar auditoría con AUDAP Seleccionar elementos aplicables Adiciones Modificaciones Operación 1 Operación 1 BC con Resultados de la Auditoria BC de Trabajo Inicial AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

21 Bases de Conocimientos de Trabajo
Resultados de Auditorias Realizadas con AUDAP BC Trabajo Con Elementos : Seleccionados Adicionados Modificados Operación 1 BC con Resultados de la Auditoria Mapas de Riesgos Guías de Control personazlizadas Evaluación de Controles Existentes. Diseño de Pruebas de Cumplimiento y Sustantivas. Hlallazgos de Auditoría Informe de la Auditoría Otros Productos AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

22 Auditorias Orientadas al Riesgo por Escenario de Riesgo
Seleccionar Adicionar Crear Escenarios de Empresa BC Escenarios BC Trabajo Escenario 1 Escenario 2 Escenario n COBIT AUDISIS Empresa AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

23 Metodología AUDAP Escenarios de Riesgo en las Operaciones de Negocio Automatizadas. Son las partes en que se divide el ciclo de vida de los datos en las operaciones automatizadas, desde las fuentes de los datos hasta los destinatarios de la información producida por las aplicaciones o sistemas de información automatizados (SIAs). También se denominan Procesos sujetos a Control ó Areas de Exposición. . AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

24 Escenarios de Riesgo en las Operaciones Automatizadas
Tres Alternativas de Escenarios de Riesgo. Una operación automatizada puede descomponerse en: 14 Escenarios de Riesgos del Ciclo de vida de los datos en las operaciones automatizadas (procesos AUDISIS). 11 Procesos COBIT aplicables a las operaciones que se apoyan en Tecnología de Información. Escenarios de Riesgo particulares de cada Operación. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

25 Escenarios de Riesgo en las Operaciones Automatizadas
14 Escenarios de Riesgo del Ciclo de Vida de los Datos 1. Generación y Registro de transacciones. 2. Grabación y validación de datos. 3. Actualización de archivos. 4. Generación de Salidas del proceso de Actualización. 5. Seguridad lógica del software de la aplicación. 6. Seguridad lógica de los archivos de computador. 7. Cambios al software de la Aplicación. 8. Procedimientos de Backup y Recuperación. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

26 Escenarios de Riesgo en las Operaciones Automatizadas
14 Escenarios de Riesgo del Ciclo de Vida de los Datos (Cont.) 9. Terminales y Comunicación de datos 10. Documentación del sistema de Información 11. Utilización y control de resultados por los usuarios. Para Sistemas de Base de Datos. 13. El sistema de Directorio/Diccionario de datos (SD/DD) 14. La función del administrador de la Base de Datos. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

27 ¿Qué Significa COBIT? C Control OB OBjectives I for Information
Control Objectives for Information and Related Technology ¿Qué Significa COBIT? C Control OB OBjectives I for Information T and Related Technology Objetivos de Control para Información y Tecnología Relacionada Many members have asked what the COBIT name stands for. This slide depicts what the letters in COBIT represent. Read slide COBIT is so inclusive; therefore we added the phrase “and related technology” to the title as there may be technology NOT YET invented that will benefit from COBIT application. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

28 ? COBIT PROCESOS DEL NEGOCIO INFORMACIÓN RECURSOS TI
Control Objectives for Information and Related Technology Lo que usted obtiene Lo que usted necesita PROCESOS DEL NEGOCIO Criterios: * Efectividad * Eficiencia * Confidencialidad * Integridad * Disponibilidad * Cumplimiento * Confiabilidad INFORMACIÓN RECURSOS TI IS is a resource used to fulfill business needs, just like other assets of the enterprise. There are BUSINESS PROCESSES such as sales, marketing, manufacturing, services, etc. These business processes require INFORMATION in order to perform tasks. This information is generated through the use of TI RESOURCES which include: *Data *Facilities *Applications *People *Technology Starting the analysis from the broader Quality, Fiduciary and Security requirements, the following seven distinct, yet overlapping categories were extracted: Effectiveness: Efficiency; Confidentiality; Integrity; Availability; Compliance; and Reliability. The COBIT Framework states that the INFORMATION must be useful and TI resources must be directed at creating such usefulness. Everything in TI supports business needs. Reference: Page 13 of Control Objectives ? Concuerdan * Datos * Aplicaciones * Tecnología * Instalaciones * Gente AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

29 Definición de los Dominios
COBIT Control Objectives for Information and Related Technology Definición de los Dominios Planeación y Organización 1 4 Monitoreo Adquisición e Implementación 2 The framework consists of high-level TI Control Objectives and an overall structure. At the highest level, processes are naturally grouped together into domains. The DOMAINS are related in a logical order. PLANNING AND ORGANISATION results in ACQUISITION AND IMPLEMENTATION of systems, which DELIVERS AND SUPPORTS user needs, and must be MONITORED and reviewed to ensure ongoing sufficiency. Reference: Page of Control Objectives Prestación del Servicio y Soporte 3 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

30 Escenarios de Riesgo en las Operaciones Automatizadas
11 Procesos COBIT aplicables. Dominio: Prestación de Servicios & Soporte. 1. Definir Niveles de Servicio (DS-01). 2. Administrar servicios de Terceras Partes (DS-02). 3. Asegurar el Servicio Continuo (DS-04). 4. Garantizar la Seguridad del Sistema (DS-05). 5. Identificar y Asignar Costos (DS-06). 6. Educar y Entrenar a los usuarios (DS-07) AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

31 Escenarios de Riesgo en las Operaciones Automatizadas
11 Procesos COBIT aplicables (Cont). Dominio Prestación de Servicios y Soporte. 7. Asistir y Aconsejar a los Clientes de TI (DS-08). 8. Administración de Problemas e Incidentes (DS-10). 9. Administración de Datos (DS-11). 10. Administración de las Operaciones (DS-12). Dominio Adquisición & Implantación. 11. Administración de Cambios (AI-01). AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

32 Escenarios de Riesgo en las Operaciones Automatizadas
Escenarios de Riesgo Particulares de cada Operación. Ejemplo: Nómina de Empleados. Generación de Novedades. Liquidación Horas Extras. Liquidación valor a pagar. Liquidación y pago de Aportes Fiscales. Liquidación y pago Aportes Parafiscales. Aumentos de Sueldos. Pago de Prestaciones Sociales. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

33 ¿ Qué Produce el Software de AUDAP?
Planeación de la Auditoría. Diagnóstico sobre el riesgo potencial y las necesidades de seguridad de la operación automatizada objeto de la auditoría. Cronogramas por etapa y auditor. Costos de personal asignado a la auditoría. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

34 Planeación de la Auditoría
Utilización del Principio de Pareto. Asignar los recursos de auditoría a los escenarios de riesgo de mayor criticidad, de acuerdo con puntajes obtenidos % Criticidad Baja. % Criticidad Media Baja. % Criticidad Media. % Criticidad Media Alta. % Criticidad Alta. Elaborar Plan para auditar escenarios más críticos 1. EN LA DEFINICION Y DISEÑO DE CONTROLES INTERNOS EN LOS NUEVOS SISTEMAS IDENTIFICACION Y CATEGORIZACION DE LOS RIESGOS POTENCIALES A LOS QUE ES MAS VULNERABLE EL SERVICIO SELECCIÓN DE LAS CAUSAS O AMENAZAS ASOCIADAS CON LOS RIESGOS CRITICOS. DEFINICION DE LOS CONTROLES NECESARIOS PARA BRINDAR UN NIVEL DE PROTECCION APROPIADO A CADA CAUSA DEL RIESGO DE ALTA (A) Y MEDIANA (M) CRITICIDAD AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

35 Planeación de la Auditoría
Ejemplo de aplicación Principio de Pareto. Puntaje Máximo Posible del Cuestionario: 270 Intervalo para estratos : 270/5 = 54 Estratos de Pareto. % Criticidad Baja. % Criticidad Media Baja. % Criticidad Media. % Criticidad Media Alta. % Criticidad Alta. 1. EN LA DEFINICION Y DISEÑO DE CONTROLES INTERNOS EN LOS NUEVOS SISTEMAS IDENTIFICACION Y CATEGORIZACION DE LOS RIESGOS POTENCIALES A LOS QUE ES MAS VULNERABLE EL SERVICIO SELECCIÓN DE LAS CAUSAS O AMENAZAS ASOCIADAS CON LOS RIESGOS CRITICOS. DEFINICION DE LOS CONTROLES NECESARIOS PARA BRINDAR UN NIVEL DE PROTECCION APROPIADO A CADA CAUSA DEL RIESGO DE ALTA (A) Y MEDIANA (M) CRITICIDAD AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

36 PRIORIZACIÓN DE ESCENARIOS DE RIESGO SEGÚN SU EXPOSICION A RIESGOS POTENCIALES
EMPRESA:___________________________ ESCENARIOS PUNTAJE % CLASIFICACION 1. Generación de Datos ____________ ____ ______________ 2. Entrada de datos ____________ ____ ______________ 3. Procesamiento ____________ ____ ______________ 4. Acceso a la BD ____________ ____ ______________ 5. Acceso al Software ____________ ____ ______________ 6. Uso de Salidas ____________ ____ ______________ AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

37 ¿ Qué Produce el Software de AUDAP?
Identificar y clasificar la importancia de los Riesgos Potenciales. Identificación y Valoracion de los riesgos potenciales tipicos que podrían presentarse en el proceso de negocio o sistema de informacion sujeto a auditoria. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

38 Modelo de Riesgos Tipicos
Audirisk, considera 8 categorias de riesgos típicos: Pérdidas por Sanciones Legales. Pérdidas por Errores en el Cálculo de Ingresos. Pérdidas por Errores en el cálculo de Egresos. Pérdida de Reputación o de Credibilidad Pública. Pérdida de Ventaja Competitiva. Pérdidas por Daño o Destrucción de Activos. Pérdidas por Fraude ó Hurto. Pérdidas por Decisiones Erróneas. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

39 PARA QUE Y COMO UTILIZAR LA VALORACION DE RIESGOS EN AUDITORIA
Identificar y clasificar la importancia de los Riesgos Potenciales. Método Delphy: clasificación de los riesgos por votación de expertos. Constituir equipo de expertos. Comparar importancia por parejas de riesgos aplicables. Sumar votaciones y obtener puntajes. Aplicar Principio de Pareto. Clasificar riesgos de mayor o menor puntaje. 1. EN LA DEFINICION Y DISEÑO DE CONTROLES INTERNOS EN LOS NUEVOS SISTEMAS IDENTIFICACION Y CATEGORIZACION DE LOS RIESGOS POTENCIALES A LOS QUE ES MAS VULNERABLE EL SERVICIO SELECCIÓN DE LAS CAUSAS O AMENAZAS ASOCIADAS CON LOS RIESGOS CRITICOS. DEFINICION DE LOS CONTROLES NECESARIOS PARA BRINDAR UN NIVEL DE PROTECCION APROPIADO A CADA CAUSA DEL RIESGO DE ALTA (A) Y MEDIANA (M) CRITICIDAD AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

40 VALORACION DE RIESGOS POTENCIALES
METODO DELPHY 2 3 7 8 9 10 R 1 4 5 6 4 5 6 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

41 PARA QUE Y COMO UTILIZAR LA VALORACION DE RIESGOS EN AUDITORIA
Identificar y clasificar la importancia de los Riesgos Potenciales. Método de Scoring o clasificación de los riesgos potenciales por el sistema de puntajes. Elaborar un cuestionario para cada Riesgo Potencial Definir Factores de Exposición al Riesgo Definir Criterios para valorar cada factorde Exposición Contestar cuestionario y obtener puntaje Aplicar Principio de Pareto Clasificar riesgo dentro de estratos de Pareto. 1. EN LA DEFINICION Y DISEÑO DE CONTROLES INTERNOS EN LOS NUEVOS SISTEMAS IDENTIFICACION Y CATEGORIZACION DE LOS RIESGOS POTENCIALES A LOS QUE ES MAS VULNERABLE EL SERVICIO SELECCIÓN DE LAS CAUSAS O AMENAZAS ASOCIADAS CON LOS RIESGOS CRITICOS. DEFINICION DE LOS CONTROLES NECESARIOS PARA BRINDAR UN NIVEL DE PROTECCION APROPIADO A CADA CAUSA DEL RIESGO DE ALTA (A) Y MEDIANA (M) CRITICIDAD AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

42 RESUMEN VALORACION DE RIESGOS POTENCIALES
PROCESO DE NEGOCIO:___________________________ RIESGOS PUNTAJE % CALIFICACION 1. Sanciones legales ____________ ____ ______________ 2. Pérdida de Ingresos ____________ ____ ______________ 3. Exceso de pagos ____________ ____ ______________ 4. Pérdida de Reputacion y credibilidad pública ____________ ____ ______________ 5. Desventaja ante la competencia ____________ ____ ______________ 6. Daño/Destrucción ____________ ____ ______________ 7. Decisiones Erróneas ____________ ____ ______________ 8. Fraude/Hurto ____________ ____ _____________ AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

43 Valoración de Riesgos Potenciales (*) Riesgos Potenciales Típicos
Riesgos Potenciales Críticos Riesgos Potenciales Típicos 1. Sanciones Legales 2. Pérdida de Ingresos 3. Exceso Desembolsos 4. Hurto / Fraude 5. Desventaja Competitiva 6. Decisiones Erróneas 7. Daño o Destrucción de activos 8. Pérdida Credibilidad Valoración de Riesgos Riesgo 1 Riesgo 2 Riesgo 3 Método Delphy ó Cuestionarios con Factores de Riesgo (*) Para la organización, vista como un todo. Por líneas de Negocio Por Grupos de operaciones relacionadas. Por Operaciones Individuales Por Centro de Procesamiento de Datos. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

44 ¿ Qué Produce el Software de AUDAP?
Identificar y clasificar Riesgos Potenciales. Mapa de Riesgos para cada operación automatizada sujeto de auditoría. Tres Matrices: Escenarios de Riesgo - dependencias. Riesgos Criticos - Escenarios de Riesgo Riesgos Críticos - Dependencias. Objetivos de Control COBIT aplicables. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

45 Mapa de Riesgos (*) Localizar Riesgos Críticos en Escenarios de Riesgo y Dependencias Escenarios P P P3 Riesgos Potenciales Críticos X X Riesgo 1 Riesgo 2 Riesgo 3 X Riesgo 1 Riesgo 2 Riesgo 3 Localizar Riesgos Críticos en Escenarios d Riesgo y Dependencias X X X Dependencias D D D3 X X Riesgo 1 Riesgo 2 Riesgo 3 X X (*) Para la Empresa vista como un todo. Por línea de Negocio Por Grupo de operaciones relacionadas. Por Operación (Sistema) X X AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

46 Asociación Automática de Procesos con Arboles “Riesgo-Causas-Controles”
Asociar con Arboles de BC Causa 3 Escenario 1 Arbol 2 Riesgo 2 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

47 Mapa de Riesgos Identificar y Localizar Causas de Riesgos Críticos (*)
Escenarios E E E3 Causas - Riesgos Críticos Identificar y Localizar Causas de Riesgos Críticos Seleccionar Modificar Adicionar CR1,CR12 Riesgo 1 Riesgo 2 Riesgo 3 Causas - Riesgo 1 Causas - Riesgo 2 Causas - Riesgo 3 Dependencias D D D3 Riesgo 1 Riesgo 2 Riesgo 3 CR15,CR20 (*) CR : Causas de Riesgo ó Factores de Riesgo. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

48 Calificación del Riesgo Potencial por Causa de Riesgo
Probabilidad de ocurrencia Costo de las pérdidas por ocurrencia Riesgo : P * C Riesgo : Valor de las pérdidas generadas por causas de Riesgo o Amenazas AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

49 Calificación del Riesgo Potencial por Causa de Riesgo
Probabilidad Alta Media Baja A Alto Medio Bajo Costo ($) Ejemplo : Riesgo generado por la causa TERREMOTO A : Alto M : Medio B : Bajo AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

50 ¿ Qué Produce el Software de AUDAP ?
Evaluar Controles Existentes. Guía Generalizada de Controles asociados con las causas de riesgos críticos de las operaciones objeto de auditoría. Guía Resumida Cuestionario de controles. Identificación y documentación de los controles que actúan sobre las Causas de Riesgos críticos identificadas para el proceso sujeto a auditoría. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

51 Evaluar Controles Existentes
Generar Cuestionario para identificar Controles Existentes Base de Conoc. de Controles Cuestionarios de Control Generar Cuestionarios de controles por Dependencia y por Escenarios 1. Control “x” esta establecido? Puntaje ___ SI ___ NO ___ 2. Control “y” esta ostablecido? Dependencia 1 Dependencia 2 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

52 Identificación y Evaluación de Riesgos Evaluar Controles Existentes
Evaluar protección que ofrecen los controles seleccionados, por cada causa de riesgo crítico. Para que sea Apropiada, valida que se satisfagan dos de los tres criterios exigidos: Se cumple mezcla de tres tipos de controles: Preventivo, Detectivo y Correctivo ?. Calificación Promedio por clase es superior a 3.5 ? Beneficios mayores que los costos ?. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

53 Identificación y Evaluación de Riesgos
Identificar y evaluar Controles Existentes y Riesgo Residual Evaluar protección que ofrecen los controles seleccionados por cada objetivo de control COBIT, por escenario de riesgo y por dependencia que intervienen en el manejo del proceso de negocio o sistema sujeto a diseño de controles. Protección Apropiada: Promedio por clase superior a 3.5? Generar Hallazgos de auditoría para causas de riesgo con protección inapropiada. Generar Diagnóstico de la Auditoría. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

54 Evaluar los Controles Existentes
Definición de Control Interno COBIT define control interno así: “Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar razonable confianza de que los objetivos del negocio serán alcanzados y que los eventos indeseados serán prevenidos ó detectados y corregidos”. ISACA (Information Systems Audit and Control Association, 2.000). AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

55 Evaluar los Controles Existentes
Definiciones de Control. “Control es la acción que se ejerce sobre una causa de riesgo con el fin de reducir su probabilidad de ocurrencia o el impacto que puede generar su ocurrencia”. “Control es la capacidad de ejercer restricciones o influencia directa sobre una situación o evento determinado”. “Control es la acción que se ejerce para hacer que un evento ocurra conforme a un plan”. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

56 OBJETIVO DE LOS CONTROLES
Deficiencias de control Insuficientes Inefectivos No cumplen Control 1 Control 2 Control 3 Control 4 Prevenir Causas del Riesgo Detectar Corregir Errores Humanos Actos malintencionados Pérdida de Activos Fraude Sanciones Legales Riesgos AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

57 Relación entre Causas del Riesgo y Controles
Objetivo de los controles. Los controles actúan sobre las causas del riesgo de tres maneras, mutuamente excluyentes: a) Como control Preventivo. Para evitar la ocurrencia de la causa del riesgo, ó b) Como control Detectivo. Para detectar, registrar e informar la ocurrencia de la causa (actuar como alarma que se dispara cuando detecta la causa), ó c) Como control Correctivo. Obligan a tomar acción correctiva para resolver el problema detectado por los controles detectivos. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

58 ENFOQUE PREVENTIVO DE LAS TRES BARRERAS DE CONTROL
ORGANIZACIÓN BARRERA PREVENTIVA BARRERA CORRECTI-VA BARRERA DETECTIVA C1 C2 INSTALA- CIONES CAUSAS DE RIESGO C2 C3 C3 C3 PERSONAS DATOS FEEDBACK HW - SW FINANCIEROS AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

59 Etapa 5: Evaluación del Control Interno Existente
Que produce AUDAP ? Identificación y documentación de los controles existentes que actúan sobre cada causa de riesgo crítico (Base de conocimientos con la realidad de la empresa). Hojas - Resumen de evaluación de los controles existentes, por cada Escenario de Riesgo, dependencia y objetivo de control . AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

60 EVALUACION DE CONTROLES SELECCIONADOS ESCENARIO (PROCESO): ___________________________ RIESGOS CRITICOS: ___________________________ AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

61 FORMULARIOS EVALUACION DE CONTROLES POR PROCESO
LISTA DE CAUSAS DE RIESGOS CRITICOS LISTA DE CONTROLES ESTABLECIDOS EVALUACION DE CONTROLES ESTABLECIDOS ESCENARIO DE RIESGO:__________________ CAUSAS DE RIESGO No. CONTROLES EXISTENTES No. NIVEL DE PROTECCION (*) OBSERVACIONES 1 5, 7, 11 A 2 1, 3 I 3 - I OPINION DEL AUDITOR ___________________________________________________ ____________________________________________________________________________ Elaborado por:_____________ FECHA:___/___/___ *A:Apropiado. Los controles utilizados son apropiados porque provienen o, detectan o corrigen la causa de riesgo. I: Inapropiado. Los controles son insuficientes o no existen controles sobre la causa de riesgo. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

62 Evaluación de Controles Existentes
Identificar y Localizar Controles Necesarios (*) Escenarios E E E3 Guía Controles C1,C3C2 Riesgo 1 Riesgo 2 Riesgo 3 Identificar y Localizar Controles Existentes Seleccionar Modificar Adicionar C2 C5 Causas - Riesgo 1 Causas - Riesgo 2 Causas - Riesgo 3 C17 C30 Dependencias D D D3 C1, C3 Riesgo 1 Riesgo 2 Riesgo 3 C17 C2 C15 (*) Por cada Causa de Riesgo Crítico C: Control AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

63 Evaluación de Controles Existentes
Evaluar Protección Existente para Riesgos Críticos CR1 CR2 CR3 A Riesgo 1 Riesgo 2 Riesgo 3 Controles Existentes A I Controles - Causas Riesgo 1 Controles Causas Riesgo 2 Controles Causas Riesgo 3 Evaluar Protección Existente (*) E E E3 A I Riesgo 1 Riesgo 2 Riesgo 3 D D D3 I Riesgo 1 Riesgo 2 Riesgo 3 A A A (*) A : Apropiada I : Inapropiada Acciones de la Administración AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

64 ¿ Qué Produce el Software de AUDAP ?
Pruebas de Auditoria / Cumplimiento. Lista de Comprobación de Controles (Checklist) por escenarios de riesgo y dependencias, Evaluación de Protección Existente (PE) y del riesgo residual (RR) por escenario de riesgo, dependencia y Objetivo de Control. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

65 Pruebas de Cumplimiento Generar Checklist de Controles
Controles Claves Establecidos Checklists de Controles Generar Checklist de controles por Dependencia y por proceso 1. Control “x” esta operando? Puntaje ___ SI ___ NO ___ 2. Control “y” esta operando? Dependencia 1 Dependencia 2 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

66 ¿ Qué Produce el Software de AUDAP ?
Pruebas de Auditoria. Diseño de Pruebas de Cumplimiento y Sustantivas por Escenario y Técnica de comprobacion. Hallazgos de Auditoría. Resumen - Resultados de las Pruebas efectuadas. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

67 Resultados Pruebas de Cumplimiento
Medir y Monitorear Protección Existente y Riesgo Residual D D D3 Protección Existente 30% 70% 40% Controles Establecidos Riesgo 1 Riesgo 2 Riesgo 3 Medir y Monitorear Riesgo Residual Respuestas - Checklists D D D3 70% 30% 60% Riesgo 1 Riesgo 2 Riesgo 3 Riesgo Residual(*) (*) Alerta Roja, si Riesgo Residual mayor al 20% Acciones de la Administración (*) AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

68 ¿ Qué Produce el Software de AUDAP ?
Resultados para el Informe de la Auditoria. Lista de Hallazgos y recomendaciones de evaluación de control interno, pruebas de cumplimiento y pruebas sustantivas. Evaluación del Grado de Satisfacción de los 7 Criterios de Calidad de la información de Negocios producida por el proceso de negocios o sistema auditado. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

69 ¿ Qué Produce el Software de AUDAP ?
Seguimiento a Recomendaciones de Auditoria Plan de Seguimiento a Recomendaciones de la Auditoría. Resultados del Seguimiento. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

70 ¿ Qué Produce el Software de AUDAP ?
Bases de Datos Trabajo: Bases de conocimientos con los resultados de la auditoria realizada, personalizadas con circunstancias particulares de las empresas y de las operaciones o sistemas de información auditadas. Papeles de Trabajo en medios magneticos (Bases de Trabajo). Punto de partida para la siguiente auditoria. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

71 Bases de Conocimientos de Trabajo
Con Resultados de un Estudio Realizado BC Trabajo Con Elementos : Seleccionados Adicionados Modificados Operación 1 BC con Resultados del Estudio Mapas de Riesgos Guías de Control personalizadas Evaluación de Controles Existentes. Diseño de Pruebas de Cumplimiento y Sustantivas. Hlallazgos de Auditoría Informe de la Auditoría Otros Productos AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

72 Usuarios de AUDAP en Colombia y el Exterior
Ministerio de Hacienda. Universidad Santo Tomás de Bucaramanga Universidad Católica de Colombia. Compensar -Caja de Compensación Familiar Cedenar : Centrales Electricas de Nariño. Universidad Jorge Tadeo Lozano. Universidad EAFIT. AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

73 Usuarios de AUDAP en Colombia y el Exterior (cont.)
En el Exterior. Banco Central del Ecuador. Banco Centroamericano de Integración Económica (BCIE) - Honduras. Cervecería de Costa Rica Instituto Nacional de Seguros (Costa Rica) Auditoría General de Bancos (Costa Rica) Banco Nacional de Costa Rica Cía. Nal. de Fuerza y Luz (Costa Rica) AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

Descargar ppt "AUDITORES - CONSULTORES"

Presentaciones similares

SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR

SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR
Conocimiento, Uso y Evaluación de Medicamentos Genéricos

Conocimiento, Uso y Evaluación de Medicamentos Genéricos
Los números del 0 al cero uno dos tres cuatro cinco 6 7 8

Los números del 0 al cero uno dos tres cuatro cinco 6 7 8
Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
COMPARATIVA CONVOCATORIAS FINALIZADAS EN 2012. Bilbao, 2013 2 Satisfacción de Clientes OBJETO Y ALCANCE Convocatorias finalizadas en 2012.

COMPARATIVA CONVOCATORIAS FINALIZADAS EN Bilbao, Satisfacción de Clientes OBJETO Y ALCANCE Convocatorias finalizadas en 2012.
LEY ORGANICA DE CIENCIA, TECNOLOGÍA E INNOVACIÓN

LEY ORGANICA DE CIENCIA, TECNOLOGÍA E INNOVACIÓN
1 LA UTILIZACION DE LAS TIC EN LAS MICROEMPRESAS GALLEGAS. AÑO 2005 30 mayo 2005.

1 LA UTILIZACION DE LAS TIC EN LAS MICROEMPRESAS GALLEGAS. AÑO mayo 2005.
1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO 2005 24 de Junio de 2005.

1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO de Junio de 2005.
AYUDA A LA FUNCIÓN DOCENTE Internet

AYUDA A LA FUNCIÓN DOCENTE Internet
Auditorías - ISO 10011 Fecha: 02.05.2001 Jornada UNED.

Auditorías - ISO Fecha: Jornada UNED.
TEMA 2 MÚLTIPLOS Y DIVISORES

TEMA 2 MÚLTIPLOS Y DIVISORES
02- Plan Organización Docente v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

02- Plan Organización Docente v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
02- PLAN DOCENTE Febrero 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

02- PLAN DOCENTE Febrero 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
01- OFERTA FORMATIVA v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

01- OFERTA FORMATIVA v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
Aladdín-respuestas 1.Vivía 2.Era 3.Amaba 4.Quería 5.Gustaban 6.Se sentía 7.Salía 8.Tenía 9.Decidió 10.escapó 11. Se vistió 12. Conoció 13. Vio 14. Pensó

Aladdín-respuestas 1.Vivía 2.Era 3.Amaba 4.Quería 5.Gustaban 6.Se sentía 7.Salía 8.Tenía 9.Decidió 10.escapó 11. Se vistió 12. Conoció 13. Vio 14. Pensó
Respuestas Buscando a Nemo.

Respuestas Buscando a Nemo.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
AGENDA Actividad Recepción Objetivo Relación con otros componentes

AGENDA Actividad Recepción Objetivo Relación con otros componentes
Objetivo: Los estudiantes van a usar vocabulario del desayuno para comprender un cuento. Práctica: 1. ¿Te gusta comer? 2. ¿Te gusta beber Mt. Dew.

Objetivo: Los estudiantes van a usar vocabulario del desayuno para comprender un cuento. Práctica: 1. ¿Te gusta comer? 2. ¿Te gusta beber Mt. Dew.

Presentaciones similares

Anuncios Google