Versión 2011

SOFTWARE DE AUDITORÍA BASADA EN RIESGOS

PARA PROCESOS Y SISTEMAS DE INFORMACION

PRESENTACION DEL PRODUCTO

AUDITORÍA INTEGRAL Y SEGURIDAD DE SISTEMAS DE INFORMACIÓN “AUDISIS”

Calle 53 No. 27 - 33 Oficina 602 –Tels.: 2556717 – 2556757 – 2556816, Fax: 3470022 – A.A.356702
Bogotá, D.C. Colombia E-Mail audisis@audisis.com web site: www.audisis.com
AUDISIS: Fundada en 1.988
 Contenido

¿QUE ES AUDIRISK? ......................................................................................................................... 3

CARACTERISTICAS DE AUDIRISK QUE AGREGAN VALOR A LAS AUDITORÍAS. ...................... 4

MODULO 1: PLANEACION ANUAL DE LA AUDITORÍA BASADA EN VALORACIÓN DE

RIESGOS. ........................................................................................................................................... 6

MODULO 2: AUDITORÍAS BASADAS EN RIESGOS. ..................................................................... 12

MODULO 3: SEGUIMIENTO A AUDITORÍAS NO REALIZADAS CON AUDIRISK. ....................... 31

MODULO 4: GESTION DE LA AUDITORÍA..................................................................................... 32

MODULO 5: SEGURIDAD Y ADMINISTRACION DE AUDIRISK ................................................... 34

A QUIENES SIRVE LA METODOLOGIA Y EL SOFTWARE AUDIRISK? ....................................... 35

ELEMENTOS QUE RECIBE EL USUARIO DE AUDIRISK. .............................................................. 35

SERVICIOS DE SOPORTE TÉCNICO Y ACTUALIZACION. ............................................................ 35

REQUERIMIENTOS DE HARDWARE Y SOFTWARE PARA INSTALAR EL SOFTWARE

AUDIRISK. ........................................................................................................................................ 36

PERFIL DEL PROVEEDOR DE AUDIRISK. ..................................................................................... 36

EMPRESAS QUE UTILIZAN AUDIRISK ........................................................................................... 36

AUDIRISK – 2011
2
 AUDIRISK 
¿QUE ES AUDIRISK?

El software AUDIRISK es una herramienta para apoyar a los auditores internos,

externos y de sistemas en la planeación, desarrollo y administración de Auditorías,
utilizando el enfoque de Auditoría Basada en Riesgos", a procesos del modelo de
operación de la Empresa (estratégicos, misionales, de apoyo y de evaluación),
procesos de tecnología de información (modelos COBIT, ITIL e ISO 27002),
Sistemas de Información Automatizados (Aplicaciones de Computador en desarrollo
o en producción o módulos de ERPs) y efectuar seguimiento a los planes de
mejoramiento institucional que surgen de auditorías internas y externas realizadas
en la organización.

AUDIRISK consta de 5 módulos: a) Planeación Anual de la Auditoría basada en

valoración de riesgos; 2) Ejecución de Auditorías basadas en riesgos (Planeación,
Ejecución, Comunicación de resultados y Seguimiento); 3) Seguimiento a auditorías
no realizadas con AUDIRISK; 4) Gestión de la Auditoría; y 5) Seguridad y
administración del software. Estos se muestran en la figura 1.

Figura 1: Módulos del software AUDIRISK

La solución ofrecida con AUDIRISK está alineada con las normas y procedimientos
de auditoría generalmente aceptadas y armonizada con los modelos de control

AUDIRISK – 2011
3
interno COSO ERM, COBIT y MECI, las normas ISO 9001, ISO 27002, ISO 27001,
los estándares ISO 31000, AS/NZ 4360, NTC 5254 y con ITIL (modelo de Gestión de
Servicios de TI).

CARACTERISTICAS DE AUDIRISK QUE AGREGAN VALOR A

LAS AUDITORÍAS.

1. Para apoyar la planeación y desarrollo de las auditorías, AUDIRISK provee

una Base de conocimientos estándar que contiene numerosas “best
practices” universalmente aceptadas con modelos de clases o categorías
eventos de riesgo (SARO, SARLAFT, MECI y AUDIRISK), amenazas contra la
seguridad1, agentes generadores de riesgo (factores de riesgo), controles,
objetivos de control, técnicas de auditoría, escenarios de riesgo en
Tecnología de Información (TI) y cuestionarios para evaluar las
características de calidad, seguridad y confiabilidad de la información
producida por cada proceso de negocio o sistema auditado.

2. A partir de la base de conocimientos suministrada por el proveedor,

AUDIRISK crea y mantiene una base de Empresa, la cual crece
permanentemente con la adición de clases de riesgos, amenazas, controles y
objetivos de control identificados por las auditorías efectuadas a los
diferentes procesos y sistemas de la organización.

3. Los resultados y papeles de trabajo (archivos permanente y corriente) de cada

auditoría desarrollada con AUDIRISK, se registran y organizan en una base de
trabajo que sirve de punto de partida para la próxima auditoría. Esta base
incluye, entre otros los siguientes papeles de trabajo en formato electrónico:
planeación de la auditoría basada en riesgos, cronograma para el desarrollo
de la auditoría, resultados de la evaluación de riesgos, resultados de la
evaluación de control interno, resultados de las pruebas de auditoría
(sustantivas y de cumplimiento), los informes con los resultados de la
auditoría y los resultados del seguimiento a hallazgos y recomendaciones de
la auditoría.

4. Para auditar los procesos del modelo de operación de la Empresa, la

metodología AUDIRISK se armoniza con el enfoque de operación por procesos
(Ciclo PHVA) que se implementa en los programas de Gestión de Calidad (ISO
9001), ISO 31000, ISO 20000, COBIT, ISO 27002, ISO 27001 y MECI.

5. Para auditar los procesos de Controles Generales o Infraestructura de

Tecnología de Información (TI), AUDIRISK está en capacidad de efectuar las
evaluaciones y verificaciones con modelos de escenarios de riesgo que
corresponden a los dominios de seguridad de la norma ISO 27002, los 10

1
Amenaza: corresponde al concepto de “eventos de riesgo” negativos del componente
“identificación de eventos” del modelo COSO ERM. Se refiere a cualquier evento accidental o
intencional que en caso de presentarse genera daños o pérdidas a la organización. Cada
categoría o clase de Riesgo agrupa varias amenazas.

AUDIRISK – 2011
4
 procesos de Gestión de Servicios de TI (modelo ITIL) y los procesos del modelo
COBIT.

6. Para auditar el desarrollo de sistemas, AUDIRISK está en capacidad de revisar

y verificar escenarios de riesgo que corresponden a las etapas del ciclo de vida
del desarrollo de sistemas. Para auditar las aplicaciones en producción,
AUDIRISK presenta un modelo de actividades (escenarios de riesgo) manuales
y automatizadas del ciclo de procesamiento de los datos en los sistemas de
información.

7. Los criterios de evaluación de riesgos y de controles utilizados por

AUDIRISK son parametrizables, para permitir su adaptación a las
necesidades y características culturales de cada organización.

8. El software AUDIRISK está diseñado para asistir el desarrollo de auditorías

en la empresa licenciataria y las empresas subordinadas a esta que estén
amparadas por la licencia. Por cada empresa licenciada permite desarrollar
múltiples auditorías. También asiste la ejecución de seguimientos a los
informes de auditorías externas, de auditorías internas no efectuadas con
AUDIRISK, de auditorías efectuadas por los organismos de control del Estado
a los planes de mejoramiento institucional que se derivan de los programas
de gestión de la calidad.

9. AUDIRISK ofrece opciones de administración de diferentes perfiles de

autorización para el uso del software.

10. AUDIRISK es un software construido por auditores para los auditores.

La versión WEB de AUDIRISK está en desarrollo, en .NET para motores de bases

de datos SQL Server y Oracle.

AUDIRISK – 2011
5
 MODULO 1: PLANEACION ANUAL DE LA AUDITORÍA BASADA
EN VALORACIÓN DE RIESGOS.

Este módulo del software asiste la elaboración planes de trabajo anual para las
auditorías internas y externas, de acuerdo con el nivel de exposición a riesgos. Para
las Auditorías Internas y de Sistemas satisface las exigencias de los estándares de
auditoría del Instituto de Auditores de los Estados Unidos (IIA) e ISACA (la asociación
de Control y Auditoría de Sistemas de Información), los cuales establecen que el plan
anual de la auditoría debe realizarse con un enfoque “basado en valoración de
riesgos”.

PLANEACION ANUAL – AUDIORIAS EXTERNAS.

Para entidades de control del Estado (Contraloría y Superintendencias) y

Firmas de Auditoria.

AUDIRISK ofrece funcionalidades para elaborar el plan anual de auditoría basado

en valoración de riesgos y controlar su ejecución a través de los siguientes pasos:

1. Priorizar por su nivel de exposición a riesgos, las empresas candidatas a ser

auditadas en los diferentes grupos de sectores (comercial, industrial,
servicios, financiero y otros).

2. Identificar las categorías de riesgo críticas dentro de cada una de las

empresas candidatas a ser auditadas.

AUDIRISK – 2011
6
 3. Elaborar la programación de visitas de las empresas candidatas a ser
auditadas a realizar durante el año, de acuerdo con las prioridades asignadas
por sector o por clases de riesgo.

4. Efectuar seguimiento al plan anual de la auditoría / Evaluar la gestión de la

auditoría de acuerdo al cumplimiento del plan anual.

5. Generar reportes de planeación, seguimiento y control del plan anual de

auditoría

AUDIRISK – 2011
7
Por cada grupo de Sectores, el software ofrece funcionalidades para diseñar y
procesar cuestionarios con factores de riesgo, estimar las necesidades de seguridad
de cada una de las empresas candidatas a ser auditadas y estimar la exposición a
las clases o categorías de riesgo del modelo adoptado por la Empresa auditora
(SARO, SARLAFT, AUDIRISK o combinación de las anteriores).

Como resultado, por cada factor, el software produce la matriz de planeación

anual de la auditoría con dos alternativas para decidir las actividades a auditar: a)
por el nivel de exposición a riesgos de las empresas candidatas a ser auditadas, y
b) por el nivel de exposición a cada una de las clases o categorías de riesgo.

Figura 1: Priorización de Empresas candidatas para el Plan Anual de Auditoría

Una vez se ha respondido los cuestionarios de factores de riesgo, AUDIRISK

realiza la priorización de las empresas candidatas y de las categorías de riesgo para
la entidad auditoras, como se muestra en la figura 2.

AUDIRISK – 2011
8
Después de priorizar las empresas candidatas a ser auditadas, el software ofrece
funcionalidades para elaborar la programación anual de las auditorías, generar
cronogramas y efectuar el seguimiento a la ejecución de las auditorías programadas.

PLANEACION ANUAL – AUDIORIAS INTERNAS.

AUDIRISK ofrece funcionalidades para elaborar el plan anual de auditoría basado

en valoración de riesgos y controlar su ejecución, a través de los siguientes pasos:

1) Priorizar por su nivel de exposición a riesgos, las actividades candidatas a

ser auditadas en los diferentes grupos de trabajos de auditoría (procesos del
modelo de operación de la empresa, procesos de tecnología de información,
aplicaciones de computador, seguimientos a auditorías y otros).

2) Identificar las categorías de riesgo críticas dentro de cada trabajo candidato

a ser auditado.

3) Elaborar la programación de auditorías a realizar durante el año, de acuerdo

con las prioridades asignadas por tipos de actividades o por clases de riesgo.

AUDIRISK – 2011
9
 4) Efectuar seguimiento al plan anual de la auditoría / Evaluar la gestión de la
auditoría de acuerdo al cumplimiento del plan anual.

5) Generar reportes de planeación, seguimiento y control del plan anual de

auditoría

AUDIRISK – 2011
10
Por cada grupo de trabajos de auditoría, el software ofrece funcionalidades para
diseñar y procesar cuestionarios con factores de riesgo, estimar las necesidades de
seguridad de cada una de las actividades candidatas a ser auditadas y estimar la
exposición a las clases o categorías de riesgo del modelo adoptado por la Empresa
(SARO, SARLAFT, AUDIRISK o combinación de las anteriores).

Como resultado, por cada grupo de trabajos, el software produce la matriz de

planeación anual de la auditoría con dos alternativas para decidir las actividades
a auditar: a) por el nivel de exposición a riesgos de las actividades candidatas a ser
auditadas, y b) por el nivel de exposición a cada una de las clases o categorías de
riesgo.

Figura 2: Priorización de procesos para el Plan Anual de Auditoría

Una vez se ha respondido los cuestionarios de factores de riesgo, AUDIRISK

realiza la priorización de las actividades candidatas y de las categorías de riesgo
para la entidad, como se muestra en la figura 2.

AUDIRISK – 2011
11
Después de priorizar las actividades candidatas a ser auditadas, el software ofrece
funcionalidades para elaborar la programación anual de las auditorías, generar
cronogramas y efectuar el seguimiento a la ejecución de las auditorías programadas.

MODULO 2: AUDITORÍAS BASADAS EN RIESGOS.

AUDIRISK ofrece funcionalidades para ejecutar auditorías basadas en riesgos a

procesos y sistemas de información. Por cada auditoría, el software ofrece
funcionalidades con procedimientos, guías y formatos para desarrollar las (4) cuatro
fases del proceso de auditoría: 1) Planeación, 2) Ejecución, 3) Comunicación de
resultados y 4) Seguimiento. La figura 3, ilustra el enfoque de las auditorías
realizadas con AUDIRISK.

Figura 3: Las 4 Fases de la Auditoría

FUNCIONALIDADES DE AUDIRISK PARA EL DESARROLLO DE LAS

AUDITORÍAS BASADAS EN RIESGOS.

Por cada auditoría, el software AUDIRISK ofrece funcionalidades para aplicar

procedimientos de auditoría de aceptación general, organizadas en nueve (9) etapas
que se muestran en la figura 4.

AUDIRISK – 2011
12
 Figura 4: Etapas del proceso de Auditoría

FASE I: PLANEACION DE LA AUDITORÍA BASADA EN RIESGOS

En esta fase de la auditoría comprende la ejecución de las cuatro primeras etapas

de la metodología que se muestran la figura 4.

Etapa 1: Pre-auditoría

Figura 5: Opciones Menu Etapa 1- Preauditoría

1. AUDIRISK asiste la elaboración del memorando de planeación de la auditoría,

el programa de trabajo y la definición de los recursos requeridos de tiempo,
personal y financieros. Las figuras 5 y 6 muestran las ayudas ofrecidas por el
software.

Figura 6: Memorando de Planeación de la Auditoría

2. AUDIRISK asiste al Auditor en la definición del cronograma para el desarrollo

de la auditoría (general y por auditor), conformacion del equipo de trabajo y la
asignación de otros recursos requeridos.

AUDIRISK – 2011
13
 Figura 7: Asignación de Recursos para la Auditoría

3. Papeles de Trabajo y TODOS (figura 8). Al final de cada etapa, AUDIRISK

muestra la lista de Papeles de Trabajo (los archivos corrientes que se pueden
listar, imprimirlos e importarlos a formato PDF para que sean entregados a los
entes reguladores que lo requieran) y muestra el reporte de los TODOS (Notas
del Auditor realizadas durante la supervisión del desarrollo) ingresados durante
el desarrollo de la etapa.

4. Estado Avance de la Auditoría (figura 7). Al final de cada etapa, AUDIRISK

muestra información gráfica y numérica con el comparativo entre los tiempos
planeado realmente gastado, por etapa y por auditor. De igual manera compara
los acumulados de tiempos requerido y gastado hasta la última etapa
ejecutada.

AUDIRISK – 2011
14
 Figura 8: Control avance de la Auditoría Etapa 1

Etapa 2: Comprensión del Proceso o Sistema sujeto a auditoría.

Por cada tipo de trabajos de auditoría (procesos del modelo de operación de la

empresa, procesos de tecnología de información, aplicaciones de computador y
otros), el software presenta funcionalidades para asistir la obtención y registro en
papeles de trabajo, de la información necesaria para comprender las características
y el ambiente administrativo, operativo y técnico del proceso o sistema sujeto a
auditoría (figura 9).

Figura 9: Menú principal de la Etapa 2

5. Por cada tipo de trabajos de auditoría el software presenta funcionalidades para

asistir la elaboración del archivo permanente o expediente continuo de la
auditoría, ingresar los datos de caracterización y los datos sensitivos que
maneja el proceso o sistema sujeto a auditoría.

AUDIRISK – 2011
15
6. Caracterización. Para organizar la información que describe al proceso,
sistema o actividad sujeta a auditoría, AUDIRISK ofrece formatos y listas de
datos para ingresar los objetivos que satisface en la organización, actividades
que comprende, entradas, salidas y otros datos importantes, como se muestra
en la figura 10.

Figura 10: Caracterización del proceso o sistema

Etapa 3: Identificación, Priorización y Evaluación de Riesgos Potenciales.

En esta etapa el software ofrece funcionalidades para identificar, priorizar,

documentar y medir los riesgos inherentes al proceso o sistema sujeto a auditoría.

Para este fin, el software ofrece la posibilidad de utilizar las clases o categorías
de eventos de riesgo2 consideradas por los modelos SARO, SARLAFT, MECI y
AUDIRISK o una combinación de los anteriores. Las clases de riesgo aplicables al
proceso o sistema sujeto a auditoría se priorizan, para seleccionar las que pueden
causar el mayor impacto financiero y operacional a la organización. Estas se
denominan categorías de riesgo críticas. Para priorizarlas se aplican los
principios de Pareto y del “Poder del 3”.

2
Clases o Categorías de Eventos de Riesgo: Son nombres genéricos bajo los cuales se
agrupan las amenazas o eventos accidentales o intencionales que pueden originar daños o
pérdidas a la organización Por ejemplo, bajo la denominación de FRAUDE INTERNO se
incluyen entre otras, las siguientes amenazas: suplantación electrónica de usuarios, omitir
registro de transacciones de ingreso.
AUDIRISK – 2011
16
 Figura 11: Pasos de la Etapa 3 - Identificar y evaluar riesgos potenciales

7. La figura 12, muestra la ayuda que ofrece el software para aplicar la técnica
Delphy en la priorización de las clases de riesgo según su impacto y seleccionar
las tres (3) más importantes.

Figura 12: Priorización de las categorías de riesgo aplicables

8. Por cada una de las clases de riesgo críticas, AUDIRISK ayuda a identificar y
documentar las amenazas3 que podrían originarse en el desarrollo de la
operación del proceso o sistema sujeto a auditoría. Como apoyo para identificar
las amenazas, AUDIRISK ofrece una lista de más de una centena de amenazas
típicas aplicables a procesos del modelo de operación y tecnología de
información en la mayoría de las organizaciones.

3
Amenaza: corresponde al concepto de “eventos de riesgo” negativos, considerado por el
componente “identificación de eventos” del modelo COSO ERM. Equivale al concepto de riesgo
utilizado por los estándares ISO 31000, AS/NZ 4360 y el MECI. Se refiere a cualquier evento
accidental o intencional que en caso de presentarse genera daños o pérdidas a la organización.
Una categoría de Riesgo agrupa a varias amenazas.

AUDIRISK – 2011
17
9. Por cada amenaza, AUDIRISK ofrece funcionalidades para documentar los
siguientes elementos del riesgo: activos impactados; agentes generadores de
riesgo (factores de riesgo), vulnerabilidades, frecuencia de ocurrencia, rango de
valor de las pérdidas estimadas por ocurrencia, actividades en las que puede
originarse, Dependencias de la empresa y de terceros en donde puede
generarse.

Los valores de medición cualitativa del riesgo inherente utilizada por AUDIRISK
se muestran a continuación en la figura 13.

Riesgo Significado
Inherente
El riesgo es TOLERABLE para la organización, es decir, su
1: Bajo ocurrencia puede causar pérdidas no significativas. Estos
(Tolerable) riesgos pueden aceptarse (asumirse) o tratarse con acciones
de control para reducirlo (disminuir probabilidad de ocurrencia o
su impacto).
El riesgo es MODERADO para la organización. Su ocurrencia
2: Moderado podría causar pérdidas de alguna consideración. Requiere
acciones de respuesta para reducirlo.
3: Alto El riesgo es SIGNIFICATIVO para la organización, requiere de
(Importante) acciones de respuesta para la reducirlo y transferirlo. Su
ocurrencia podría causar pérdidas severas a la organización.
El riesgo es INACEPTABLE o CATASTROFICO para la
4: Extremo organización, es decir, en caso de ocurrir sus consecuencias
(Inaceptable) desestabilizarían a la entidad. Requiere de acciones de
respuesta para evitarlo o reducirlo y transferirlo.
Figura 13: Escala de medición del Riesgo Inherente

10.AUDIRISK presenta formatos y ayudas para evaluar (medir) la exposición al

riesgo inherente por cada amenaza. Para este fin utiliza métodos cualitativos y
ofrece dos alternativas: El estándar AS-NZ 4360 y un método basado en el
Principio de Pareto. La figura 14 muestra la imagen de la evaluación de
amenazas antes de controles, que realiza el software AUDIRISK.

AUDIRISK – 2011
18
 Figura 14: Evaluación de Amenazas antes de controles, por Área Organizacional

Etapa 4: Definición del Cubo de Riesgos de la Auditoría (figura 15)

En esta etapa AUDIRISK ofrece funcionalidades para elaborar el cubo de riesgos

de la auditoría, seleccionar objetivos de control aplicables y relacionar estos
objetivos con las amenazas o eventos de riesgo identificados para el proceso o
sistema sujeto a auditoría. En la figura 15 se muestran los pasos que deben
ejecutarse en esta etapa.

Figura 15: Definición del Cubo de Riesgos de la Auditoría

11.Para elaborar el Cubo de Riesgos de la Auditoría AUDIRISK utiliza tres

variables: a) las actividades del proceso (subprocesos o escenarios de riesgo);
b) las dependencias o áreas organizacionales de la empresa y terceros que
intervienen en el manejo del proceso y c) las categorías o clases de riesgos
críticos del proceso.

AUDIRISK – 2011
19
 Figura 16: Matriz de Escenarios Vs. Areas Organizacionales

11.AUDIRISK genera tres matrices de riesgo (desdoblamiento del cubo) en las que
muestran las amenazas que pueden presentarse en los escenarios de riesgo y
las áreas organizacionales que intervienen en el proceso o sistema sujeto a
auditoría. Estas matrices definen el contexto de riesgos para cada auditoría.

12. AUDIRISK ofrece funcionalidades para asignar objetivos de control

aplicables a los escenarios de riesgo y relacionarlos con las amenazas del
proceso o sistema objeto de la auditoría.

FASE II: EJECUCION Y COMUNICACIÓN DE RESULTADOS DE LA AUDITORÍA

Etapa 5: Evaluar el Sistema de Control Interno Existente

En esta etapa AUDIRISK ayuda a identificar y documentar los controles

establecidos en el proceso o sistema bajo auditoría y evaluar su efectividad para
mitigar las amenazas, es decir, genera mediciones de la protección que ofrecen y
del riesgo después de controles (riesgo residual). Esta evaluación se realiza
asumiendo que los controles establecidos en el proceso o sistema, son estándares
que se aplican en todos los puntos de operación de la empresa, es decir, en todas
las oficinas, localizaciones y regionales. Los pasos que se ejecutan en esta etapa se
muestran en la figura 17.

AUDIRISK – 2011
20
 Figura 17: Pasos de la Etapa 5, Evaluación del sistema de Control Interno

13.Identificar Controles Establecidos en la Organización. El software asiste al

Auditor en la construcción de cuestionarios de control con las “best paractices”
universales de control que deberían utilizarse para mitigar las amenazas o
eventos de riesgo del proceso o sistema sujeto a auditoría. El cuestionario se
construye a la medida de las necesidades de la empresa según el criterio del
auditor y se utiliza como herramienta para identificar los controles establecidos,
en entrevistas con los responsables del proceso o sistema.

15.Evaluación de la Efectividad de los Controles Existentes. AUDIRISK

aplica tres criterios para evaluar la efectividad (eficacia + eficiencia) de los
controles existentes por cada amenaza de riesgo: a) Que se utilice al menos una
vez los tres anillos o niveles de control (preventivo, detectivo y correctivo); b)
Que el nivel de automatización de los controles sea representativo y c) que el
costo / beneficio de los controles se aceptable. Con base en las respuestas del
cuestionario, AUDIRISK mide la efectividad de la protección existente (EPE) y
el riesgo residual (RR) por cada amenaza, escenario de riesgo (subproceso),
área organizacional y categoría de riesgo, como se muestra en la Figura 18.

Figura 18: Criterios de Evaluación de Efectividad de los Controles por Amenaza

AUDIRISK – 2011
21
16.Con los resultados de la evaluación del control interno existente, AUDIRISK
genera semáforos de Situación Actual de Protección Existente (figura 19),
localizando en colores amarillo, naranja y rojo las amenazas que tienen
protección mejorable, insuficiente, deficiente y muy deficiente. El color verde
representa las amenazas que tienen protección apropiada. Estos semáforos se
generan por categorías de riesgo, actividades del proceso (escenarios de riesgo)
y áreas organizacionales.

Figura 19: Situación actual de protección existente por Escenario de Riesgo

16. Análisis de Hallazgos e Informe de Auditoría con los resultados de la

Evaluación del Control Interno (figura 20). AUDIRISK ofrece
funcionalidades y ayudas para analizar las deficiencias y debilidades de control
interno identificadas y generar el informe de auditoría con los resultados de la
evaluación de control interno existente (texto y gráficos).

AUDIRISK – 2011
22
 Figura 20: Desarrollo de Hallazgos de Control Interno

17. AUDIRISK genera el informe de la auditoría con los resultados de la evaluación

de control interno existente, el análisis detallado de los controles y del riesgo
residual, con acciones de mejoramiento que contribuyen a incrementar el valor
agregado y el posicionamiento de la auditoría en la organización. En la figura
21 se visualiza la pantalla de cómo el software genera el informe detallado con
los resultados de la evaluación del control interno existente.

Figura 21: Informe de Auditoría con los resultados de la Evaluación del Control Interno
Existente

AUDIRISK – 2011
23
Etapa 6: Pruebas de Cumplimiento

El software AUDIRISK ofrece funcionalidades para diseñar, planear y asistir la

ejecución de pruebas de cumplimiento a los controles claves de una muestra de
amenazas de riesgo y dependencias o áreas organizacionales que intervienen en el
proceso o sistema sujeto a auditoría. La figura 22 muestra el menú del software
para realizar las pruebas de cumplimiento.

Figura 22: Menú Etapa 6 - Pruebas de Cumplimiento

18.AUDIRISK ofrece ayudas y criterios para seleccionar los controles clave que
serán verificados, las técnicas de prueba a emplear y los sitios de prueba. La
figura 23 muestra la pantalla de selección de los controles a verificar.

Figura 23: Selección de controles a verificar

AUDIRISK – 2011
24
19.Generación y procesamiento de listas de Comprobación. Con los controles
seleccionados, AUDIRISK genera checklist de controles por sitios de prueba y
ofrece funcionalidades para ingresar y procesar las respuestas. Como resultado,
el software mide porcentualmente el cumplimiento de los controles establecidos
por cada amenaza y los compara contra la protección existente obtenida en la
evaluación del control interno (etapa 5); la figura 24 muestra estos resultados.

Figura 24: Resultados de pruebas de cumplimiento por Dependencias

20.Análisis de Hallazgos y Generación de informes de Auditoría con los

resultados de las Pruebas de Cumplimiento. Para las respuestas del
checklist, diferentes de SIEMPRE, el software ofrece formatos y ayudas para
registrar y analizar los hallazgos de la auditoría y el informe de auditoría con los
resultados de estas pruebas. En la figura 25 se muestra el formulario que ofrece
el software para analizar los hallazgos de las pruebas de cumplimiento y generar
el correspondiente informe de auditoría.

AUDIRISK – 2011
25
 Figura 25: Desarrollo de los Hallazgos de Pruebas de Cumplimiento

AUDIRISK genera el informe de la auditoría con los resultados de las pruebas de

cumplimiento realizadas, el análisis detallado de los controles y del riesgo residual,
con acciones de mejoramiento que contribuyen a incrementar el valor agregado y el
posicionamiento de la auditoría en la organización.

Etapa 7: Pruebas Sustantivas (pruebas a la exactitud de la información)

AUDIRISK ofrece funcionalidades para diseñar y planear la ejecución de pruebas

sustantivas en sitios de prueba que corresponden a las dependencias o áreas
organizacionales que se seleccionaron para realizar las pruebas de cumplimiento en
la etapa anterior (etapa 6). La figura 26, muestra el menú de opciones para realizar
pruebas sustantivas.

Figura 26: Etapa 7 – Pruebas sustantivas

21.El software AUDIRISK ayuda a seleccionar los datos que podrían ser
impactados por las amenazas que presentaron protección diferente de
Apropiada y Mejorable en la evaluación de control interno o que las pruebas
AUDIRISK – 2011
26
 de cumplimiento el porcentaje (%) de cumplimiento de controles quedó por
debajo del 80%. La figura 27, muestra el formato de pantalla para seleccionar
las cifras sobre los que se realizan pruebas sustantivas.

Figura 27: Identificación de Cifras Críticas a Verificar

22. Por cada uno de los datos seleccionados para pruebas sustantivas, AUDIRISK
ofrece formatos y ayudas para asignar técnicas de verificación a emplear,
elaborar el plan y programar su ejecución en los sitios de prueba.

23. Ingreso y procesamiento de los resultados de las pruebas. Por cada sitio
de prueba, el software ofrece ayudas para ingresar y analizar los resultados de
las pruebas efectuadas, como se muestra en la figura 28.

AUDIRISK – 2011
27
 Figura 28: Ingreso de resultados a los datos

24.Análisis de Hallazgos y Generación de informes de Auditoría con los

resultados de las Pruebas Sustantivas. El software presenta un formato
similar al descrito en evaluación del control interno y las pruebas de
cumplimiento, para registrar y analizar los hallazgos o no conformidades
identificadas y generar el correspondiente informe de auditoría.

25.Evaluación de Satisfacción de Criterios de Información de Negocios. El

software ofrece funcionalidades para evaluar la satisfacción de los siete (7)
criterios COBIT que debe cumplir la información de negocios generada por el
proceso o sistema auditado, figura 29.

AUDIRISK – 2011
28
 Figura 28: Funcionalidades para evaluar satisfacción de los 7 criterios COBIT

FASE IV: SEGUIMIENTO AL INFORME CON LOS RESULTADOS DE LA

AUDITORÍA.

Etapa 8: Seguimiento del Informe de la Auditoría

El software ofrece funcionalidades para planear, ejecutar, analizar e informar los

resultados del seguimiento a los hallazgos y recomendaciones de la auditoría,
utilizando el menú de la figura 29.

AUDIRISK – 2011
29
 Figura 29: Menú de la Etapa 9: Seguimiento

27. Planeación del Seguimiento. El software ofrece ayudas para planear el

seguimiento a los hallazgos y recomendaciones incluidas en el informe con los
resultados de la auditoría. Por cada recomendación se define prioridad,
responsable de implantar las acciones de mejoramiento, fechas de compromiso
y fechas de seguimiento. Incluye opciones para generar “recordatorios” por
correo electrónico dirigidos a los auditados (figura 30).

Figura 30: Planeación del seguimiento a recomendaciones

28. Ejecución y Resultados del Seguimiento. El software asiste el ingreso de

los resultados del seguimiento y la generación de reportes con los resultados del
seguimiento efectuado por la auditoría, como los que se muestran en las figura
31.

Figura 31: Estado de Atención de las recomendaciones de la auditoría

AUDIRISK – 2011
30
MODULO 3: SEGUIMIENTO A AUDITORÍAS NO REALIZADAS
CON AUDIRISK.

AUDIRISK ofrece funcionalidades para realizar seguimiento a los planes de

mejoramiento institucional e informes de auditorías internas y externas no
realizadas con AUDIRISK. Para este fin, el software ofrece opciones para
mantenimiento de las entidades auditoras, ingresar hallazgos y recomendaciones de
los informes de auditoría, planear y ejecutar los seguimientos.

Las opciones de este módulo se muestran en las figura 32 y 33.

Figura 32: Ambiente de trabajo para seguimientos a Auditorías no realizadas con AUDIRISK.

AUDIRISK ofrece formatos y opciones para ingresar hallazgos, recomendaciones y

metas por recomendación, planear seguimiento, generar recordatorios y producir
informes del seguimiento, como se muestra en el menú de la figura 33.

Figura 33: Menú para realizar seguimiento a auditorías no realizadas con AUDIRISK

AUDIRISK – 2011
31
AUDIRISK genera estadísticas del estado de las acciones de mejora de
acuerdo al estado de implantación de las mismas, como se muestra en la figura 34.
Estas estadísticas también se pueden producir por áreas organizacionales
encargadas de la ejecución de la acción de mejora.

Figura 34: Estadísticas de recomendaciones por estado de auditorías no realizadas con

AUDIRISK

MODULO 4: GESTION DE LA AUDITORÍA

Este módulo genera informes y gráficos sobre los trabajos de auditoría desarrolladas
con AUDIRISK durante un periodo de tiempo, utilizando el módulo de Auditorias
Basadas en Riesgos.

El software ofrece funcionalidades para generar entre otros los siguientes informes
de Gestión:

 Estadísticas de las recomendaciones de auditoria generadas en el periodo,

por auditorías y por dependencias.

AUDIRISK – 2011
32
 Figura 35: Estadísticas de hallazgos y recomendaciones por entidad

 Estado de Implementación de las recomendaciones de auditoría, por tipos de

auditoria.

Figura 36: Estadísticas de recomendaciones y sus estados por Auditoría

AUDIRISK – 2011
33
MODULO 5: SEGURIDAD Y ADMINISTRACION DE AUDIRISK

Este módulo ofrece todas las funcionalidades necesarias para administrar los
usuarios con derechos de acceso a los diferentes módulos de AUDIRISK.

Figura 37: Menú principal del Módulo de Seguridad

La opción Administrar Usuarios permite adicionar, modificar y retirar usuarios y

establecer el perfil y los privilegios de acceso de cada uno.

Figura 3: Mantenimiento de Usuarios del Módulo de Seguridad

AUDIRISK – 2011
34
A QUIENES SIRVE LA METODOLOGIA Y EL SOFTWARE
AUDIRISK?

El software AUDIRISK está diseñado para apoyar el trabajo diferentes grupos de

auditores que tienen la responsabilidad de evaluar y verificar el funcionamiento, las
operaciones, eficacia, eficiencia y confiabilidad de los procesos y sistemas de las
empresas:

 Auditores Internos.
 Auditores Externos.
 Auditores de Sistemas
 Auditores Operativos
 Auditores Financieros
 Revisores Fiscales
 Oficinas de Control Interno Organizacional

ELEMENTOS QUE RECIBE EL USUARIO DE AUDIRISK.

Por cada licencia monousuario o en red, el usuario de AUDIRISK recibe los
siguientes elementos:

 Un CD-ROM que contiene:

 El software ejecutable AUDIRISK

 El manual del Usuario.
 Las bases de datos de conocimientos estándar
 Dos ejemplos de auditorías realizadas en AUDIRISK

 Una dispositivo de hardware key - llave de seguridad de acceso al software.

 La licencia de uso de la metodología por tiempo indefinido.

SERVICIOS DE SOPORTE TÉCNICO Y ACTUALIZACION.

AUDISIS, ofrece el servicio anual de soporte técnico, mantenimiento y
actualización, el cual incluye soporte telefónico o vía internet al usuario para
resolver inquietudes relacionadas con la operación y funcionamiento de la
metodología AUDIRISK.

Los desarrolladores de AUDIRISK se encuentran en constante interacción con los

usuarios, generando nuevas versiones que pueden ser suministradas a los usuarios
vía Internet en su página www.audisis.com o suministradas en formato CD ROM
directamente.

El contrato anual de soporte técnico y actualización incluye:

 Soporte técnico ofrecido por funcionarios de AUDISIS especializados en

AUDIRISK.

AUDIRISK – 2011
35
 Derecho a recibir actualizaciones sin costo adicional, con las nuevas versiones de
la metodología cada vez que se produzcan.

Por el primer año, contado desde la fecha de compra, el contrato de soporte

técnico no tiene costo para el usuario de AUDIRISK.

REQUERIMIENTOS DE HARDWARE Y SOFTWARE PARA

INSTALAR EL SOFTWARE AUDIRISK.

Versión Web.

 Motor de Bases de Datos: SQL Server versión 2005 y posteriores.

 Herramienta de Desarrollo: Visual Studio.
 Idioma español en pantallas y manuales.
 Sistema Operativo: Windows 2000, XP, NT, Vista, Windows 7. Excepto las
versiones home.
 Memoria RAM: 1 GB.
 Capacidad de Disco: 20 GB.
 Internet Explorer

PERFIL DEL PROVEEDOR DE AUDIRISK.

AUDISIS LTDA, Auditoría Integral y Seguridad de Sistemas de Información

Ltda., es una firma de Auditores – Consultores Gerenciales, especializada en
Seguridad y Auditoría de Sistemas de Información, constituida legalmente el 23 de
Septiembre de 1.988, Mediante escritura pública No. 5962 de la Notaría 4 del
círculo de Bogotá, con registro vigente en la Cámara de Comercio de Bogotá bajo el
número de matrícula 346900.

La misión de AUDISIS es ofrecer servicios profesionales especializados y

herramientas de productividad y de soporte administrativo, en los campos de
administración integral de riesgos, seguridad y auditoría de sistemas de
información, desarrollo de software de auditoría, control interno organizacional y
auditorías financiera, operativa y de gestión.

EMPRESAS QUE UTILIZAN AUDIRISK

En Bogotá

 Plastilene S.A

 Lafayette S.A. – Auditoría Interna.

AUDIRISK – 2010
36
 Comisión Nacional de TV – Oficina de Control Interno.

 AVESCO – Kokorico. Contraloría Interna.

 ARMADA NACIONAL. Oficina de Control Nóminas.

 Financiera Andina - FINANDINA S.A. Revisoría Fiscal.

 Grupo Casa Toro. Revisoría Fiscal.

 Corporación Universitaria Republicana

 Universidad la Gran Colombia.

 CARACOL T.V. Gerencia de Contraloría y Auditoría Interna.

 COMPENSAR. Caja de Compensación Familiar. Auditoría General

 CONSEJO SUPERIOR DE LA JUDICATURA. Unidad de Auditoría.

 INSTITUTO NACIONAL DE VIAS – INVIAS. Coordinación Área de Desarrollo

Informático...

 CONTRALORIA GENERAL DE LA REPUBLICA. Dirección De Control

Interno.

 OCENSA. Oleoducto Central de Colombia. Dirección de Auditoría Interna.

 FINAGRO. Dirección de Control de Gestión.

 Corporación Financiera Colombiana. Auditoría Interna.

 Fiduciaria la Previsora S.A. Oficina de Control Interno.

 Colombian Consulting Group. Firma de Auditoría Externa.

 Ministerio de Hacienda y Crédito Público. Oficina de Control Interno

 Banco Popular. Contraloría

 Secretaría de Hacienda de Bogotá. Oficina de Control Interno

 Superintendencia De Notariado Y Registro. Oficina de Control Interno.

 Universidad Católica De Colombia. Facultad de Ingeniería de Sistemas...

 Universidad Jorge Tadeo Lozano. Auditoría de Sistemas

AUDIRISK – 2011

37
En Ibagué

 CorUniversitaria. Facultad de Contaduría Publica

 Comfenalco Tolima – Auditoría Interna

En Bucaramanga

 Universidad Santo Tomás de Bucaramanga. Carrera de Contaduría Pública.

 ESSA. Empresa Electrificadora de Santander S.A. oficina de Control

Interno.

 FMMB. Fundación Mundial de la Mujer. Auditoría Interna

En Manizales

 Comfamiliares Caldas. Auditoría General.

 Nexia Montes y Asociados. Firma de Auditoría Externa

En Pasto.

 Centrales Eléctricas De Nariño. Oficina de Control Interno.

En Cali

 Universidad Autónoma. Dirección de Sistemas.

En Barranquilla.

 Monómeros Colombo Venezolanos. Auditoría Interna.

En República Dominicana

 Banco Central – Auditoría Interna

En Costa Rica

 Cervecería de Costa Rica. Contraloría.

En Guatemala

 Superintendencia de Bancos (Guatemala)

En Bolivia

AUDIRISK – 2011

38
 Banco Santacruz Bolivia- Auditoría

En Honduras

 Banco Centroamericano de Integración Económica (BCIE). Tegucigalpa.

Contraloría y Auditoría Interna.

AUDIRISK – 2011

39