Contenido Por qué es Importante una Herramienta de Software para el Cumplimiento Acerca de Methodware ERA y los Estándares/Metodologías Internacionales.

Slides:



Advertisements
Presentaciones similares
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
Advertisements

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
COSO I y COSO II.
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Evaluaciones de Sistemas de Administración de la Seguridad SMSA
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
Lleve a cabo el trabajo detallado de auditoría.
Automatice su enfoque de planeamiento de auditoría para ahorrar tiempo y mejorar la precisión de las evaluaciones Defina y pondere factores de riesgo para.
INDICADORES DE GESTIÓN Y MEJORAMIENTO CONTINUO
PMO Vicepresidencia TyO _Servicios PMO
Disertante: Beltrán Fernández Górgolas 24 DE NOVIEMBRE 2011 Buenos Aires.
MI PROGRAMA DE FORMACION
“8 Principios de la Gestión Administrativa”
NORMA INTERNACIONAL DE AUDITORÍA 300
AUDITORIA TECNOLOGIAS DE INFORMACION
Auditoria en Informatica Lic. Enrique Hernandez H.
Oficina de Proyectos en Acción
AUDITORIA INTERNA.
Universidad de Buenos Aires Facultad de Ciencias Económicas
FRANKLIN PORTUGAL TARIFA GERENCIA DE PROCESOS
Eveline Estrella Zambrano Sara Alvear Montesdeoca
MINISTERIO DE ECONOMÍA Y FINANZAS DIRECCION NACIONAL DE CONTABILIDAD
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
Gestión Integral de Riesgos
1 Propuesta de Plataforma Tecnológica Sistema Nacional de Indicadores Universidad Veracruzana.
MESA 3 Evaluación, seguimiento y mejora, auditorias internas y Revisión por la dirección Requisitos P
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
UTP – FACULTAD INGENIERIA INDUSTRIAL Y SISTEMAS AlumnoAcosta Guillen Víctor Raúl ProfesorCarlos Zorrilla V. Proyectos de ingeniería sistemas I.
Su Equipo de Auditoría Interna …junto a usted. …a su servicio. …para cuidar de sus intereses.
Arquitectura de una aplicación
Evaluación de sistemas de cómputo
Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
Función de Auditoría Interna
Introducción a la investigación de mercados Naresh malhotra
Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola
AUDITORIAS DE CALIDAD LAURA CARABALLO RUTH LEON NATHALIA AVILA
Curso PRESENCIAL. 24 horas FUNDAMENTOS EN GESTIÓN DE SERVICIOS DE TI
Estudio de Viabilidad del Sistema (EVS)
Fortalecer el Valor de la Comunicación con el Comité de Auditoría: Un Enfoque de 10 Pasos Robinson De Jesús Director para Latinoamérica y El Caribe Wolters.
Programa de Auditoría Interna
CERTIFICACIONES EN AUDITORIA
Seguridad y Auditoria de Sistemas Ciclo
Control Interno La estructura de control interno de una entidad consiste en las políticas y procedimientos establecidos para proporcionar una seguridad.
FUNCIONES DEL COORDINADOR DE CALIDAD
2.1 Definición & Antecedentes
Proveedores de servicios externos
Roles de Open UP.
AUDITORIA Seguridad y Auditoria de Sistemas Ciclo Ing. Yolfer Hernández, CIA.
Riesgos – Control Interno
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
...Auditorias de sistemas de administración bajo ISO 19011: "
las clases de auditorias existentes
Auditoria Computacional
AUTOVALORACION DEL CONTROL Algunos Aspectos de Interés Oficina de Control Interno Diciembre de 2014 Fuente: Guía Autovaloración del Control DAFP y Cartilla.
REVISION Y AUDITORIA.
AUDITORÍAS MEDIOAMBIENTALES
EXPOSITOR L.C. EDUARDO M. ENRÍQUEZ G.
Control Interno dentro de las Instituciones Financieras Presentado por: LSCA Manuel Llano - CISA, CRISC Socio Líder de Consultoría de TI Salles, Sainz.
Computer Assisted Audit Techniques (CAATs)
Arquitectura de una aplicación Arquitectur a: desarrolla un plan general del sistema, asegurando que las necesidades de los usuarios sean atendidas. Ingeniería.
EVALUACIÓN DE CALIDAD DEL SOFTWARE Y GOBIERNO EN LÍNEA EN PORTALES WEB APLICANDO PROCESOS DE AUDITORÍA.
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
VI. EVALUACIÓN DE LOS RECURSOS
Risk Based Certification Risk Based Certification.
Marco Integrado de Control Interno, con enfoque COSO III, 2013
Programa Sobre Procesos de Negocios SCM y Logística. Integración de procesos que permite a empresas en crecimiento implementar las mejores prácticas en.
Auditoría y Seguridad de Sistemas de Información Auditoria de Sistemas un Desafío Principales Actividades de la Auditoría de Sistemas Cr. Luis Elissondo.
Ministerio de Comercio Exterior República de Colombia RED DE GERENCIA EDUCACIÓN GERENCIAL.
Global Consulteam es un compañía Colombiana dedicada a brindar servicios de consultoría, auditoría y transferencia de conocimiento, operados por un equipo.
Transcripción de la presentación:

enterprise risk assessor w w w . m e t h o d w a r e . c o m Como Herramienta de Cumplimiento de Sarbanes Oxley 404 Welcome your audience and briefly discuss the purpose of giving them this presentation. Welcome questions w w w . m e t h o d w a r e . c o m

Contenido Por qué es Importante una Herramienta de Software para el Cumplimiento Acerca de Methodware ERA y los Estándares/Metodologías Internacionales que Soportamos Soporte para nuestra Metodología El Contexto de ERA El Proceso Nuestras Soluciones Cómo le Daremos Soporte Los Beneficios Qué Dicen nuestros Clientes El Próximo Paso Briefly tell prospect “What you are going to show them” and the purpose of the presentation

Por qué es Importante una Herramienta de Software para el Cumplimiento Las actividades principales (procesos, estados financieros, riesgos, identificación de controles, estrategias de mitigación, tests de verificación, evaluación y reportes) generan una gran cantidad de datos y trabajo. Rastrear el estado de las evaluaciones, los resultados y la seguridad de la información representan desafíos adicionales. Richard Brilliant Vice Presidente Servicios de Auditoría Carnival Corporation & Plc Comment on this slide. Carnival is Methodware’s largest user

Por qué es Importante una Herramienta de Software para el Cumplimiento Las herramientas tecnológicas pueden jugar un rol clave en el proceso y contribuir a reducir costos Seleccione ahora la herramienta que satisfará sus necesidades en el segundo año y más allá Las compras realizadas sin información suficiente insumen costos en exceso de la inversión tecnológica original Comment on this slide. Some prospects may have started without a technology tool such as ERA. They need to have reason’s to go beyond Word/Excel documents. Comment on the ability to import into ERA and attach other documents

Acerca de Methodware Methodware es un productor líder mundial de Software de Administración de Riesgos y Auditoría Interna. Independientemente del tamaño y necesidades de su organización, nuestras poderosas herramientas amigables simplificarán su proceso de evaluación. Estas soluciones incorporan/son consistentes con los estándares, metodologías, recomendaciones y legislación de administración de riesgos y auditoría interna reconocidos internacionalmente, incluyendo el Sarbanes Oxley Act de 2002 y el Basel II. Estamos ampliamente representados en todo el mundo, con oficinas en Norte América, el Reino Unido y Nueva Zelanda y una red de distribuidores que venden y asisten nuestros productos en más de 75 países. You could also point the prospect to the Methodware web site at www.methodware.com where there is more information including press releases, user lists and references

ERA y los Estándares y Metodologías que Aplicamos ERA y los Estándares/Metodologías Internacionales ERA incorpora o es consistente con los siguientes Estándares, Metodologías, Recomendaciones y Legislación de Administración de Riesgos y Auditoría Interna Sarbanes-Oxley Act de 2002 (SOX) Informe COSO (Committee of Sponsoring Organisations of the Treadway Commission) Metodología CobiT (Control Objectives for Information and related Technologies) de ISACA. Prácticas Sólidas para la Administración y Supervisión del Riesgo Operacional Publicadas por el Comité Basel sobre Supervisión Bancaria* Estándar Australiano y Neo Zelandés: 4360:2004 (AUS/NZ 4360:2004) This is primarily a SOX Presentation document but briefly mention other supported methodologies and standards. You may ask which of the other methodologies they use or interested in using. We have typical models available for demos and in some cases purchase including: Basel II COSO ERM SOX 404 ISO17799 CobiT Project (Prince 2) Procurement COSO Risks and Controls are available with ERA licences – users can import from the MODELS folder AS/NZS ISO/IEC 17799:2000 (ISO 17799) – Seguridad de Tecnología Informática Projectos en Ambientes Controlados (Prince2)

Soporte para nuestra Metodología En una reciente reunión de la SEC se discutió en mesa redonda el avance del SOX 404 y hubo algunos hallazgos claves: Se requiere un enfoque más basado en riesgos Se necesita encarar la implementación de Sistemas de TI y auditoría Se requiere una auditoría integrada “ERA es un enfoque basado en riesgos, integra CobiT y tiene la integrada la auditoría”. You may want to comment on this. Essentially some businesses may actually have 50,000 controls – a huge task. Using a risk based methodology as used in ERA, allows the user to focus on those controls that present the highest risk.

GRUPO DE RIESGOS / AUDITORIA El Contexto de ERA Herramienta Builder Definir la estructura de riesgo Definir la terminología Definir seguridad y la pista de auditoría Personalizar funcionalidad del Assessor Generar el Assessor GRUPO DE RIESGOS / AUDITORIA Director Ejecutivo DIVISION 2 DIVISION 3 Assessor – Usuarios Power Agregar riesgos específicos del usuario Agregar controles específicos del usuario Analizar y reportar Llevar a cabo el proceso de evaluación Distribuir Formularios a las unidades Administrar evaluaciones Gerentes Generales UNIDADES DE NEGOCIO UNIDADES DE NEGOCIO Cliente Java Agregar riesgos específicos del usuario Agregar controles específicos del usuario Llevar a cabo el proceso de evaluación Formularios Word/HTML Documentos Word interactivos Evaluar utilizando valores estándar Asignar responsabildades Retornar vía eMail Comentar procesos/riesgos/controles Gerentes Consolidación Consolidación a múltiples niveles Desmenuzar información de riesgos y controles Comparar perfiles de riesgo Identificar tendencias de riesgos Briefly discuss each item on the left hand side The Builder Tool The Risk Manager develops the assessment framework (influenced by stakeholders) and generates The Assessor. Up to 4 frameworks may be used including Accounts, Risk Areas, Objectives and Processes. Unused functionality may be turned off until needed. The builder also allows pre-population of Generic Risks and Controls. The builder dictionary allows customization of the Assessor including terminology, security, audit trail and selection list fields. The user can add their own fields to each of the frameworks or domains (Risk, Controls, Tests, Treatments, Action Plans, Indicators etc) The Assessor Assessments are conducted, information gathered and reports on individual business units issued. Reports generated contain sorted and filtered information for any reporting objectives, as required. Java Client This is only applicable to the Enterprise Wide solution and enable users to access the database through their browser or Java. Word/HTML Forms These are interactive forms sent to non-ERA users by email. These users can update the form and the forms may be uploaded to ERA. The Consolidation Tool Consolidates all individual risk assessments into one enterprise wide assessment for reporting to the board, investors/lenders and regulators. Reporting All reporting is via Word (or .rtf editor), Excel, HTML or .pdf. Recolección de Datos Elaboración de Reportes Registro de Riesgos / reportes de Perfiles de Riesgo Reportes gráficos

Esquema del Proceso – Proceso Sección 404 Identificar Procesos, Estados y Riesgos Documentar controles Reportes Formales Test Inicial Documenting controls Evaluación de riesgos Planes de Remediación Consolidación y Análisis Discuss the process in general terms. Pont out that this is an example of a process but need not be followed to the letter. Actualizar los Tests Certificación

El Proceso – Identificar Procesos, Estados y Riesgos Identificar Procesos Claves relaciondos con Reportes Financieros Identificar los riesgos en reportes financieros (incluyendo los controles generales de TI y los controles basados en los sistemas) Comprender los objetivos de control de las cinco certificaciones de los reportes financieros Discusión con la gerencia Consulta con firmas de administración de riesgos y auditoría Self explanatory but add your own notes if required.

El Proceso – Identificar Procesos, Estados y Riesgos Identificar y documentar Procesos Financieros Claves Identificar y documentar Estados Financieros Claves Self explanatory but add your own notes if required. Identificar riesgos en informes financieros

El Proceso – Documentar Controles Documentar controles en forma de narrativas, diagramas de flujo (se pueden adjuntar a los controles en ERA) Vincular los controles a los riesgos de informes financieros Self explanatory but add your own notes if required.

El Proceso – Documentar Controles The Next Step Identificar y documentar controles y vincular a riesgos Self explanatory but add your own notes if required. Controlar afirmaciones

El Proceso – Tests Iniciales Eficacia inicial del control utilizando: Tests por muestreo, metodologías de verificación tales como observación, examen de evidencias Información del personal, en particular aspectos históricos Self explanatory but add your own notes if required.

Búsqueda de Documentos El Proceso – Tests Iniciales Test de controles Self explanatory but add your own notes if required. Búsqueda de Documentos

El Proceso – Evaluación de Riesgos Evaluar la probabilidad y consecuencia de los riesgos con relación a las Observaciones desde los tests iniciales Las Observaciones se clasifican en términos de debilidades, deficiencias, materialidad y controles compensatorios Self explanatory but add your own notes if required.

El Proceso – Evaluación de Riesgos Evaluar la consecuencia y probabilidad del riesgo Risks may be assessed by selecting a consequence and likelihood level. Three levels are available: Absolute (or Inherent) Controlled or Treated. Ver y reportar gráficamente

El Proceso – Planes de Remediación Se desarrollan e implementan planes de remediación para encarar las deficiencias en los controles Luego de mejorar los controles, los mismos son verificados nuevamente Remediation plans are developed to address deficiencies or the absence of controls. Enhanced or new controls are re-tested for effectiveness. Remediation plans are entered as treatments although treatments may be renamed in the dictionary if required. Actions plans may be captured to manage the implementation process. Action plans are linked to treatments. If required ‘What if’ analysis can be performed to enure that the most cost effective treatments and/or controls) are being used consistent with th required risk tolerance.

El Proceso – Planes de Remediación Identificar planes de remediación Self explanatory but add your own notes if required. Evaluar el nivel de riesgo objetivo y graficar o reportar

El Proceso – Actualizar los Tests Actualizar los tests para asegurar la validez de las verificaciones iniciales Self explanatory but add your own notes if required.

El Proceso – Actualizar los Tests Self explanatory but add your own notes if required.

El Proceso – Consolidación y Análisis Consolidación y análisis para determinar si hay alguna debilidad material Outline the consolidation process linking back to the Implementation Slide - The Context of ERA

El Proceso – Consolidación y Análisis The Consolidation Tool is used for corporate level analysis and reporting. The desired reviews are consolidated and the user may view the risk profile from each of the frameworks in a “Compare’ or ‘Accumulate Mode. Graphing and reporting is available from the Consolidation window.

El Proceso – Certificación Llevar a cabo el proceso de certificación con los propietarios de los procesos utilizando cuestionarios dentro de ERA, ya sea en el Assessor Power/Java o utilizando Formularios HTML An ATTESTATION process can be built into the model. Essentially this is a signoff process by Process Owners and External Audit. Questionnaires can be developed. These can be responded to via the Assessor, Java or by use of interactive Word/HTML forms.

El Proceso – Certificación Llevar a cabo la certificación con propietarios de procesos (utilizando el Assessor) Llevar a cabo la certificación con propietarios de procesos (utilizando formularios HTML) Self explanatory but add your own notes if required.

El Proceso – Reportes Formales Elaboración de reportes formales Discuss Word/HTML, Excel and .pdf Reports, Forms Insert your own reports as required

El Proceso – Reportes Formales Comprehensive reporting is available in the builder, assessor, consolidation and java. Reports on the framework and domain tabs and in consolidation may be customised by users.

Acceso múltiples usuarios Nuestras Soluciones Web Standalone Grupo de Trabajo Empresa Standalone Acceso usuario único Grupo de Trabajo Acceso múltiples usuarios Acceso multiusuario a archivos de datos en un disco compartido Standalone Solution The Standalone solution is single user in application. Data files can reside on a network and be accessed by multiple users simultaneously but only the first user to open the file can make modifications, with any subsequent users haveing read-only access. Workgroup Solution The Workgroup solution uses the same proprietary database technology (compatible with DBF) as the Standalone solution, but multiple users are able to access and update the same data files simultaneously. The technology is designed as a workgroup based tool using Windows™ locking mechanisms to ensure database consistency. It is not intended to scale beyond a moderate number of concurrent users (about 10). The functionality of this solution is unchanged from the single-user version and files are interchangeable between the two solutions. Ideal para organizaciones pequeñas con una cantidad limitada de usuarios Ideal para una cantidad moderada de usuarios concurrentes

Acceso Internet/Intranet Servidores Middleware Our Solutions 3 Web Standalone Grupo de Trabajo Empresa Toda la Empresa Acceso Internet/Intranet Usuarios Web Usuarios Power Servidores Middleware Enterprise Wide Web enabled solution This solution is ideal for organisations with many people needing to access assessments from different locations and with different levels of security. It is a 3-tier system, comprising a Java Client running in a web environment for end users, with Middleware directly accessing a Relational Database Management System using ODBC. End users have access to the database via their web browsers, enabling them to assess and update their risk information from any PC. They do not need to have any ERA software loaded onto their computer as the software is installed on a middleware server, which they log on to through their browser. The Java Client allows them to update those risks, controls, findings etc. that they have permission rights to, and to filter, sort and report on the data from the assessments. Updates made via the Java Client are available to all authorised users of a review. The Java Client has reduced functionality over the Power Assessor. Risk Managers are usually provided with the Assessor, which enables them to access the full suite of analytical tools and reports in ERA, it also allows them to limit the functionality available to Java Client users. The Assessor is intended for those users that require the ability to create and manage reviews, consolidate and perform complex analysis of the data. The Assessor is a 2-tier system that talks directly to the database without going through Middleware. The Risk Manager is able to create SUB-REVIEWS and Define Views to Java Client users such as MY RISKS, MY CONTROLS etc. Base de Datos ODBC Ideal para organizaciones con mucha gente que necesita acceder a las evaluaciones desde distintos lugares y con diferentes niveles de seguridad

Cómo le Brindamos Soporte Mesa de Ayuda Nuevas Versiones de Productos – cada 12 a 18 meses Apoyo en la Implementación Entrenamiento Servicios Profesionales Help desks in Toronto, London and Wellington. First level help is provided by Solutions Partners where applicable. Talk about product updates – each maintenance customer has access to the Client Centre where software updates and documentation is available for download. How can you help the customer to implement Training offerings – only Certified trainers may train on ERA. Outline what Professional Services are – see the Methodware Price List

Los Beneficios para Usted Una Única Solución para cumplir con SOX y con CobiT utilizando una aplicación que es líder mundial. Un enfoque basado en Riesgos significa que usted sólo encara los controles que le representan un riesgo. La jerarquía de la evaluación es lógica. Visibilidad y colaboración en todo el mundo via la web. Soporte probado por parte de Methodware y/o de Solutions Partners experimentados. Flexibilidad en la forma de personalización por el usuario que pocos proveedores han podido lograr. Add your own anecdotes here relating to customers that you know about. After each bullet point add a comment: “Which means to you that ………………..” A benefit is not a benefit if your customer says or thinks “So what”

Qué Dicen nuestros Clientes “ERA provee un negocio de una parada para las evaluaciones de Riesgos y las evaluaciones SOX 404. La misma eliminó la necesidad de contar con múltiples herramientas. Richard Brillant Vice President Audit Services Carnival Corporation & pic “Hemos encontrado que Enterprise Risk Assessor es una herramienta valiosa para nuestra Corporación. No sólo posibilita reportes y análisis simples y eficientes a nivel divisional, sino que utilizando la funcionalidad de consolidación, el sistema brinda reportes resumen y análisis comparativo detallado en forma más concisa y oportuna.” Sam McCaffrey, SA Water “El software y sus versiones refinadas nos han ahorrado tiempo y mejorado nuestra reputación proveyendo resultados precisos y confiables en forma inmediata. En nuestro negocio no hay tiempo para un segundo proceso. Debemos lograr los resultados correctos en forma inmediata para determinar los impactos en el mercado y tomar las decisiones críticas del negocio. No hay un enfoque de “espere en la cola” en el servicio de Methodware. El mismo es inmediato, personal y profesional. Ellos son nuestros proveedores de servicios mejor ranqueados." Risk Management Advisor Australian Governmental Regulation & Compliance Agency Insert you own customer comments References “War stories”

Gustavo Zabotinsky Cantón El Próximo Paso Contacte a: NetConsul Ltda. www.netconsul.com Eduardo Zabotinsky ezabo@netconsul.com Gustavo Zabotinsky Cantón guzabo@netconsul.com y solicite una demostración práctica de esta herramienta de software a través de la web. Identify Next Steps including: Need for demo Who should attend the demo Timing Customisation of ERA for the demo