Contenido Por qué es Importante una Herramienta de Software para el Cumplimiento Acerca de Methodware ERA y los Estándares/Metodologías Internacionales.

Presentación del tema: "Contenido Por qué es Importante una Herramienta de Software para el Cumplimiento Acerca de Methodware ERA y los Estándares/Metodologías Internacionales."— Transcripción de la presentación:

0 enterprise risk assessor w w w . m e t h o d w a r e . c o m
Como Herramienta de Cumplimiento de Sarbanes Oxley 404 Welcome your audience and briefly discuss the purpose of giving them this presentation. Welcome questions w w w . m e t h o d w a r e . c o m

1 Contenido Por qué es Importante una Herramienta de Software para el Cumplimiento Acerca de Methodware ERA y los Estándares/Metodologías Internacionales que Soportamos Soporte para nuestra Metodología El Contexto de ERA El Proceso Nuestras Soluciones Cómo le Daremos Soporte Los Beneficios Qué Dicen nuestros Clientes El Próximo Paso Briefly tell prospect “What you are going to show them” and the purpose of the presentation

2 Por qué es Importante una Herramienta de Software para el Cumplimiento
Las actividades principales (procesos, estados financieros, riesgos, identificación de controles, estrategias de mitigación, tests de verificación, evaluación y reportes) generan una gran cantidad de datos y trabajo. Rastrear el estado de las evaluaciones, los resultados y la seguridad de la información representan desafíos adicionales. Richard Brilliant Vice Presidente Servicios de Auditoría Carnival Corporation & Plc Comment on this slide. Carnival is Methodware’s largest user

3 Por qué es Importante una Herramienta de Software para el Cumplimiento
Las herramientas tecnológicas pueden jugar un rol clave en el proceso y contribuir a reducir costos Seleccione ahora la herramienta que satisfará sus necesidades en el segundo año y más allá Las compras realizadas sin información suficiente insumen costos en exceso de la inversión tecnológica original Comment on this slide. Some prospects may have started without a technology tool such as ERA. They need to have reason’s to go beyond Word/Excel documents. Comment on the ability to import into ERA and attach other documents

4 Acerca de Methodware Methodware es un productor líder mundial de Software de Administración de Riesgos y Auditoría Interna. Independientemente del tamaño y necesidades de su organización, nuestras poderosas herramientas amigables simplificarán su proceso de evaluación. Estas soluciones incorporan/son consistentes con los estándares, metodologías, recomendaciones y legislación de administración de riesgos y auditoría interna reconocidos internacionalmente, incluyendo el Sarbanes Oxley Act de 2002 y el Basel II. Estamos ampliamente representados en todo el mundo, con oficinas en Norte América, el Reino Unido y Nueva Zelanda y una red de distribuidores que venden y asisten nuestros productos en más de 75 países. You could also point the prospect to the Methodware web site at where there is more information including press releases, user lists and references

5 ERA y los Estándares y Metodologías que Aplicamos
ERA y los Estándares/Metodologías Internacionales ERA incorpora o es consistente con los siguientes Estándares, Metodologías, Recomendaciones y Legislación de Administración de Riesgos y Auditoría Interna Sarbanes-Oxley Act de 2002 (SOX) Informe COSO (Committee of Sponsoring Organisations of the Treadway Commission) Metodología CobiT (Control Objectives for Information and related Technologies) de ISACA. Prácticas Sólidas para la Administración y Supervisión del Riesgo Operacional Publicadas por el Comité Basel sobre Supervisión Bancaria* Estándar Australiano y Neo Zelandés: 4360:2004 (AUS/NZ 4360:2004) This is primarily a SOX Presentation document but briefly mention other supported methodologies and standards. You may ask which of the other methodologies they use or interested in using. We have typical models available for demos and in some cases purchase including: Basel II COSO ERM SOX 404 ISO17799 CobiT Project (Prince 2) Procurement COSO Risks and Controls are available with ERA licences – users can import from the MODELS folder AS/NZS ISO/IEC 17799:2000 (ISO 17799) – Seguridad de Tecnología Informática Projectos en Ambientes Controlados (Prince2)

6 Soporte para nuestra Metodología
En una reciente reunión de la SEC se discutió en mesa redonda el avance del SOX 404 y hubo algunos hallazgos claves: Se requiere un enfoque más basado en riesgos Se necesita encarar la implementación de Sistemas de TI y auditoría Se requiere una auditoría integrada “ERA es un enfoque basado en riesgos, integra CobiT y tiene la integrada la auditoría”. You may want to comment on this. Essentially some businesses may actually have 50,000 controls – a huge task. Using a risk based methodology as used in ERA, allows the user to focus on those controls that present the highest risk.

7 GRUPO DE RIESGOS / AUDITORIA
El Contexto de ERA Herramienta Builder Definir la estructura de riesgo Definir la terminología Definir seguridad y la pista de auditoría Personalizar funcionalidad del Assessor Generar el Assessor GRUPO DE RIESGOS / AUDITORIA Director Ejecutivo DIVISION 2 DIVISION 3 Assessor – Usuarios Power Agregar riesgos específicos del usuario Agregar controles específicos del usuario Analizar y reportar Llevar a cabo el proceso de evaluación Distribuir Formularios a las unidades Administrar evaluaciones Gerentes Generales UNIDADES DE NEGOCIO UNIDADES DE NEGOCIO Cliente Java Agregar riesgos específicos del usuario Agregar controles específicos del usuario Llevar a cabo el proceso de evaluación Formularios Word/HTML Documentos Word interactivos Evaluar utilizando valores estándar Asignar responsabildades Retornar vía Comentar procesos/riesgos/controles Gerentes Consolidación Consolidación a múltiples niveles Desmenuzar información de riesgos y controles Comparar perfiles de riesgo Identificar tendencias de riesgos Briefly discuss each item on the left hand side The Builder Tool The Risk Manager develops the assessment framework (influenced by stakeholders) and generates The Assessor. Up to 4 frameworks may be used including Accounts, Risk Areas, Objectives and Processes. Unused functionality may be turned off until needed. The builder also allows pre-population of Generic Risks and Controls. The builder dictionary allows customization of the Assessor including terminology, security, audit trail and selection list fields. The user can add their own fields to each of the frameworks or domains (Risk, Controls, Tests, Treatments, Action Plans, Indicators etc) The Assessor Assessments are conducted, information gathered and reports on individual business units issued. Reports generated contain sorted and filtered information for any reporting objectives, as required. Java Client This is only applicable to the Enterprise Wide solution and enable users to access the database through their browser or Java. Word/HTML Forms These are interactive forms sent to non-ERA users by . These users can update the form and the forms may be uploaded to ERA. The Consolidation Tool Consolidates all individual risk assessments into one enterprise wide assessment for reporting to the board, investors/lenders and regulators. Reporting All reporting is via Word (or .rtf editor), Excel, HTML or .pdf. Recolección de Datos Elaboración de Reportes Registro de Riesgos / reportes de Perfiles de Riesgo Reportes gráficos

8 Esquema del Proceso – Proceso Sección 404
Identificar Procesos, Estados y Riesgos Documentar controles Reportes Formales Test Inicial Documenting controls Evaluación de riesgos Planes de Remediación Consolidación y Análisis Discuss the process in general terms. Pont out that this is an example of a process but need not be followed to the letter. Actualizar los Tests Certificación

9 El Proceso – Identificar Procesos, Estados y Riesgos
Identificar Procesos Claves relaciondos con Reportes Financieros Identificar los riesgos en reportes financieros (incluyendo los controles generales de TI y los controles basados en los sistemas) Comprender los objetivos de control de las cinco certificaciones de los reportes financieros Discusión con la gerencia Consulta con firmas de administración de riesgos y auditoría Self explanatory but add your own notes if required.

10 El Proceso – Identificar Procesos, Estados y Riesgos
Identificar y documentar Procesos Financieros Claves Identificar y documentar Estados Financieros Claves Self explanatory but add your own notes if required. Identificar riesgos en informes financieros

11 El Proceso – Documentar Controles
Documentar controles en forma de narrativas, diagramas de flujo (se pueden adjuntar a los controles en ERA) Vincular los controles a los riesgos de informes financieros Self explanatory but add your own notes if required.

12 El Proceso – Documentar Controles The Next Step
Identificar y documentar controles y vincular a riesgos Self explanatory but add your own notes if required. Controlar afirmaciones

13 El Proceso – Tests Iniciales
Eficacia inicial del control utilizando: Tests por muestreo, metodologías de verificación tales como observación, examen de evidencias Información del personal, en particular aspectos históricos Self explanatory but add your own notes if required.

14 Búsqueda de Documentos
El Proceso – Tests Iniciales Test de controles Self explanatory but add your own notes if required. Búsqueda de Documentos

15 El Proceso – Evaluación de Riesgos
Evaluar la probabilidad y consecuencia de los riesgos con relación a las Observaciones desde los tests iniciales Las Observaciones se clasifican en términos de debilidades, deficiencias, materialidad y controles compensatorios Self explanatory but add your own notes if required.

16 El Proceso – Evaluación de Riesgos
Evaluar la consecuencia y probabilidad del riesgo Risks may be assessed by selecting a consequence and likelihood level. Three levels are available: Absolute (or Inherent) Controlled or Treated. Ver y reportar gráficamente

17 El Proceso – Planes de Remediación
Se desarrollan e implementan planes de remediación para encarar las deficiencias en los controles Luego de mejorar los controles, los mismos son verificados nuevamente Remediation plans are developed to address deficiencies or the absence of controls. Enhanced or new controls are re-tested for effectiveness. Remediation plans are entered as treatments although treatments may be renamed in the dictionary if required. Actions plans may be captured to manage the implementation process. Action plans are linked to treatments. If required ‘What if’ analysis can be performed to enure that the most cost effective treatments and/or controls) are being used consistent with th required risk tolerance.

18 El Proceso – Planes de Remediación
Identificar planes de remediación Self explanatory but add your own notes if required. Evaluar el nivel de riesgo objetivo y graficar o reportar

19 El Proceso – Actualizar los Tests
Actualizar los tests para asegurar la validez de las verificaciones iniciales Self explanatory but add your own notes if required.

20 El Proceso – Actualizar los Tests
Self explanatory but add your own notes if required.

21 El Proceso – Consolidación y Análisis
Consolidación y análisis para determinar si hay alguna debilidad material Outline the consolidation process linking back to the Implementation Slide - The Context of ERA

22 El Proceso – Consolidación y Análisis
The Consolidation Tool is used for corporate level analysis and reporting. The desired reviews are consolidated and the user may view the risk profile from each of the frameworks in a “Compare’ or ‘Accumulate Mode. Graphing and reporting is available from the Consolidation window.

23 El Proceso – Certificación
Llevar a cabo el proceso de certificación con los propietarios de los procesos utilizando cuestionarios dentro de ERA, ya sea en el Assessor Power/Java o utilizando Formularios HTML An ATTESTATION process can be built into the model. Essentially this is a signoff process by Process Owners and External Audit. Questionnaires can be developed. These can be responded to via the Assessor, Java or by use of interactive Word/HTML forms.

24 El Proceso – Certificación
Llevar a cabo la certificación con propietarios de procesos (utilizando el Assessor) Llevar a cabo la certificación con propietarios de procesos (utilizando formularios HTML) Self explanatory but add your own notes if required.

25 El Proceso – Reportes Formales
Elaboración de reportes formales Discuss Word/HTML, Excel and .pdf Reports, Forms Insert your own reports as required

26 El Proceso – Reportes Formales
Comprehensive reporting is available in the builder, assessor, consolidation and java. Reports on the framework and domain tabs and in consolidation may be customised by users.

27 Acceso múltiples usuarios
Nuestras Soluciones Web Standalone Grupo de Trabajo Empresa Standalone Acceso usuario único Grupo de Trabajo Acceso múltiples usuarios Acceso multiusuario a archivos de datos en un disco compartido Standalone Solution The Standalone solution is single user in application. Data files can reside on a network and be accessed by multiple users simultaneously but only the first user to open the file can make modifications, with any subsequent users haveing read-only access. Workgroup Solution The Workgroup solution uses the same proprietary database technology (compatible with DBF) as the Standalone solution, but multiple users are able to access and update the same data files simultaneously. The technology is designed as a workgroup based tool using Windows™ locking mechanisms to ensure database consistency. It is not intended to scale beyond a moderate number of concurrent users (about 10). The functionality of this solution is unchanged from the single-user version and files are interchangeable between the two solutions. Ideal para organizaciones pequeñas con una cantidad limitada de usuarios Ideal para una cantidad moderada de usuarios concurrentes

28 Acceso Internet/Intranet Servidores Middleware
Our Solutions 3 Web Standalone Grupo de Trabajo Empresa Toda la Empresa Acceso Internet/Intranet Usuarios Web Usuarios Power Servidores Middleware Enterprise Wide Web enabled solution This solution is ideal for organisations with many people needing to access assessments from different locations and with different levels of security. It is a 3-tier system, comprising a Java Client running in a web environment for end users, with Middleware directly accessing a Relational Database Management System using ODBC. End users have access to the database via their web browsers, enabling them to assess and update their risk information from any PC. They do not need to have any ERA software loaded onto their computer as the software is installed on a middleware server, which they log on to through their browser. The Java Client allows them to update those risks, controls, findings etc. that they have permission rights to, and to filter, sort and report on the data from the assessments. Updates made via the Java Client are available to all authorised users of a review. The Java Client has reduced functionality over the Power Assessor. Risk Managers are usually provided with the Assessor, which enables them to access the full suite of analytical tools and reports in ERA, it also allows them to limit the functionality available to Java Client users. The Assessor is intended for those users that require the ability to create and manage reviews, consolidate and perform complex analysis of the data. The Assessor is a 2-tier system that talks directly to the database without going through Middleware. The Risk Manager is able to create SUB-REVIEWS and Define Views to Java Client users such as MY RISKS, MY CONTROLS etc. Base de Datos ODBC Ideal para organizaciones con mucha gente que necesita acceder a las evaluaciones desde distintos lugares y con diferentes niveles de seguridad

29 Cómo le Brindamos Soporte
Mesa de Ayuda Nuevas Versiones de Productos – cada 12 a 18 meses Apoyo en la Implementación Entrenamiento Servicios Profesionales Help desks in Toronto, London and Wellington. First level help is provided by Solutions Partners where applicable. Talk about product updates – each maintenance customer has access to the Client Centre where software updates and documentation is available for download. How can you help the customer to implement Training offerings – only Certified trainers may train on ERA. Outline what Professional Services are – see the Methodware Price List

30 Los Beneficios para Usted
Una Única Solución para cumplir con SOX y con CobiT utilizando una aplicación que es líder mundial. Un enfoque basado en Riesgos significa que usted sólo encara los controles que le representan un riesgo. La jerarquía de la evaluación es lógica. Visibilidad y colaboración en todo el mundo via la web. Soporte probado por parte de Methodware y/o de Solutions Partners experimentados. Flexibilidad en la forma de personalización por el usuario que pocos proveedores han podido lograr. Add your own anecdotes here relating to customers that you know about. After each bullet point add a comment: “Which means to you that ………………..” A benefit is not a benefit if your customer says or thinks “So what”

31 Qué Dicen nuestros Clientes
“ERA provee un negocio de una parada para las evaluaciones de Riesgos y las evaluaciones SOX 404. La misma eliminó la necesidad de contar con múltiples herramientas. Richard Brillant Vice President Audit Services Carnival Corporation & pic “Hemos encontrado que Enterprise Risk Assessor es una herramienta valiosa para nuestra Corporación. No sólo posibilita reportes y análisis simples y eficientes a nivel divisional, sino que utilizando la funcionalidad de consolidación, el sistema brinda reportes resumen y análisis comparativo detallado en forma más concisa y oportuna.” Sam McCaffrey, SA Water “El software y sus versiones refinadas nos han ahorrado tiempo y mejorado nuestra reputación proveyendo resultados precisos y confiables en forma inmediata. En nuestro negocio no hay tiempo para un segundo proceso. Debemos lograr los resultados correctos en forma inmediata para determinar los impactos en el mercado y tomar las decisiones críticas del negocio. No hay un enfoque de “espere en la cola” en el servicio de Methodware. El mismo es inmediato, personal y profesional. Ellos son nuestros proveedores de servicios mejor ranqueados." Risk Management Advisor Australian Governmental Regulation & Compliance Agency Insert you own customer comments References “War stories”

32 Gustavo Zabotinsky Cantón
El Próximo Paso Contacte a: NetConsul Ltda. Eduardo Zabotinsky Gustavo Zabotinsky Cantón y solicite una demostración práctica de esta herramienta de software a través de la web. Identify Next Steps including: Need for demo Who should attend the demo Timing Customisation of ERA for the demo