Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDIRISK – 2011
2
AUDIRISK
¿QUE ES AUDIRISK?
La solución ofrecida con AUDIRISK está alineada con las normas y procedimientos
de auditoría generalmente aceptadas y armonizada con los modelos de control
AUDIRISK – 2011
3
interno COSO ERM, COBIT y MECI, las normas ISO 9001, ISO 27002, ISO 27001,
los estándares ISO 31000, AS/NZ 4360, NTC 5254 y con ITIL (modelo de Gestión de
Servicios de TI).
1
Amenaza: corresponde al concepto de “eventos de riesgo” negativos del componente
“identificación de eventos” del modelo COSO ERM. Se refiere a cualquier evento accidental o
intencional que en caso de presentarse genera daños o pérdidas a la organización. Cada
categoría o clase de Riesgo agrupa varias amenazas.
AUDIRISK – 2011
4
procesos de Gestión de Servicios de TI (modelo ITIL) y los procesos del modelo
COBIT.
AUDIRISK – 2011
5
MODULO 1: PLANEACION ANUAL DE LA AUDITORÍA BASADA
EN VALORACIÓN DE RIESGOS.
Este módulo del software asiste la elaboración planes de trabajo anual para las
auditorías internas y externas, de acuerdo con el nivel de exposición a riesgos. Para
las Auditorías Internas y de Sistemas satisface las exigencias de los estándares de
auditoría del Instituto de Auditores de los Estados Unidos (IIA) e ISACA (la asociación
de Control y Auditoría de Sistemas de Información), los cuales establecen que el plan
anual de la auditoría debe realizarse con un enfoque “basado en valoración de
riesgos”.
AUDIRISK – 2011
6
3. Elaborar la programación de visitas de las empresas candidatas a ser
auditadas a realizar durante el año, de acuerdo con las prioridades asignadas
por sector o por clases de riesgo.
AUDIRISK – 2011
7
Por cada grupo de Sectores, el software ofrece funcionalidades para diseñar y
procesar cuestionarios con factores de riesgo, estimar las necesidades de seguridad
de cada una de las empresas candidatas a ser auditadas y estimar la exposición a
las clases o categorías de riesgo del modelo adoptado por la Empresa auditora
(SARO, SARLAFT, AUDIRISK o combinación de las anteriores).
AUDIRISK – 2011
8
Después de priorizar las empresas candidatas a ser auditadas, el software ofrece
funcionalidades para elaborar la programación anual de las auditorías, generar
cronogramas y efectuar el seguimiento a la ejecución de las auditorías programadas.
AUDIRISK – 2011
9
4) Efectuar seguimiento al plan anual de la auditoría / Evaluar la gestión de la
auditoría de acuerdo al cumplimiento del plan anual.
AUDIRISK – 2011
10
Por cada grupo de trabajos de auditoría, el software ofrece funcionalidades para
diseñar y procesar cuestionarios con factores de riesgo, estimar las necesidades de
seguridad de cada una de las actividades candidatas a ser auditadas y estimar la
exposición a las clases o categorías de riesgo del modelo adoptado por la Empresa
(SARO, SARLAFT, AUDIRISK o combinación de las anteriores).
AUDIRISK – 2011
11
Después de priorizar las actividades candidatas a ser auditadas, el software ofrece
funcionalidades para elaborar la programación anual de las auditorías, generar
cronogramas y efectuar el seguimiento a la ejecución de las auditorías programadas.
AUDIRISK – 2011
12
Figura 4: Etapas del proceso de Auditoría
Etapa 1: Pre-auditoría
AUDIRISK – 2011
13
Figura 7: Asignación de Recursos para la Auditoría
AUDIRISK – 2011
14
Figura 8: Control avance de la Auditoría Etapa 1
AUDIRISK – 2011
15
6. Caracterización. Para organizar la información que describe al proceso,
sistema o actividad sujeta a auditoría, AUDIRISK ofrece formatos y listas de
datos para ingresar los objetivos que satisface en la organización, actividades
que comprende, entradas, salidas y otros datos importantes, como se muestra
en la figura 10.
Para este fin, el software ofrece la posibilidad de utilizar las clases o categorías
de eventos de riesgo2 consideradas por los modelos SARO, SARLAFT, MECI y
AUDIRISK o una combinación de los anteriores. Las clases de riesgo aplicables al
proceso o sistema sujeto a auditoría se priorizan, para seleccionar las que pueden
causar el mayor impacto financiero y operacional a la organización. Estas se
denominan categorías de riesgo críticas. Para priorizarlas se aplican los
principios de Pareto y del “Poder del 3”.
2
Clases o Categorías de Eventos de Riesgo: Son nombres genéricos bajo los cuales se
agrupan las amenazas o eventos accidentales o intencionales que pueden originar daños o
pérdidas a la organización Por ejemplo, bajo la denominación de FRAUDE INTERNO se
incluyen entre otras, las siguientes amenazas: suplantación electrónica de usuarios, omitir
registro de transacciones de ingreso.
AUDIRISK – 2011
16
Figura 11: Pasos de la Etapa 3 - Identificar y evaluar riesgos potenciales
7. La figura 12, muestra la ayuda que ofrece el software para aplicar la técnica
Delphy en la priorización de las clases de riesgo según su impacto y seleccionar
las tres (3) más importantes.
8. Por cada una de las clases de riesgo críticas, AUDIRISK ayuda a identificar y
documentar las amenazas3 que podrían originarse en el desarrollo de la
operación del proceso o sistema sujeto a auditoría. Como apoyo para identificar
las amenazas, AUDIRISK ofrece una lista de más de una centena de amenazas
típicas aplicables a procesos del modelo de operación y tecnología de
información en la mayoría de las organizaciones.
3
Amenaza: corresponde al concepto de “eventos de riesgo” negativos, considerado por el
componente “identificación de eventos” del modelo COSO ERM. Equivale al concepto de riesgo
utilizado por los estándares ISO 31000, AS/NZ 4360 y el MECI. Se refiere a cualquier evento
accidental o intencional que en caso de presentarse genera daños o pérdidas a la organización.
Una categoría de Riesgo agrupa a varias amenazas.
AUDIRISK – 2011
17
9. Por cada amenaza, AUDIRISK ofrece funcionalidades para documentar los
siguientes elementos del riesgo: activos impactados; agentes generadores de
riesgo (factores de riesgo), vulnerabilidades, frecuencia de ocurrencia, rango de
valor de las pérdidas estimadas por ocurrencia, actividades en las que puede
originarse, Dependencias de la empresa y de terceros en donde puede
generarse.
Los valores de medición cualitativa del riesgo inherente utilizada por AUDIRISK
se muestran a continuación en la figura 13.
Riesgo Significado
Inherente
El riesgo es TOLERABLE para la organización, es decir, su
1: Bajo ocurrencia puede causar pérdidas no significativas. Estos
(Tolerable) riesgos pueden aceptarse (asumirse) o tratarse con acciones
de control para reducirlo (disminuir probabilidad de ocurrencia o
su impacto).
El riesgo es MODERADO para la organización. Su ocurrencia
2: Moderado podría causar pérdidas de alguna consideración. Requiere
acciones de respuesta para reducirlo.
3: Alto El riesgo es SIGNIFICATIVO para la organización, requiere de
(Importante) acciones de respuesta para la reducirlo y transferirlo. Su
ocurrencia podría causar pérdidas severas a la organización.
El riesgo es INACEPTABLE o CATASTROFICO para la
4: Extremo organización, es decir, en caso de ocurrir sus consecuencias
(Inaceptable) desestabilizarían a la entidad. Requiere de acciones de
respuesta para evitarlo o reducirlo y transferirlo.
Figura 13: Escala de medición del Riesgo Inherente
AUDIRISK – 2011
18
Figura 14: Evaluación de Amenazas antes de controles, por Área Organizacional
AUDIRISK – 2011
19
Figura 16: Matriz de Escenarios Vs. Areas Organizacionales
11.AUDIRISK genera tres matrices de riesgo (desdoblamiento del cubo) en las que
muestran las amenazas que pueden presentarse en los escenarios de riesgo y
las áreas organizacionales que intervienen en el proceso o sistema sujeto a
auditoría. Estas matrices definen el contexto de riesgos para cada auditoría.
AUDIRISK – 2011
20
Figura 17: Pasos de la Etapa 5, Evaluación del sistema de Control Interno
AUDIRISK – 2011
21
16.Con los resultados de la evaluación del control interno existente, AUDIRISK
genera semáforos de Situación Actual de Protección Existente (figura 19),
localizando en colores amarillo, naranja y rojo las amenazas que tienen
protección mejorable, insuficiente, deficiente y muy deficiente. El color verde
representa las amenazas que tienen protección apropiada. Estos semáforos se
generan por categorías de riesgo, actividades del proceso (escenarios de riesgo)
y áreas organizacionales.
AUDIRISK – 2011
22
Figura 20: Desarrollo de Hallazgos de Control Interno
Figura 21: Informe de Auditoría con los resultados de la Evaluación del Control Interno
Existente
AUDIRISK – 2011
23
Etapa 6: Pruebas de Cumplimiento
18.AUDIRISK ofrece ayudas y criterios para seleccionar los controles clave que
serán verificados, las técnicas de prueba a emplear y los sitios de prueba. La
figura 23 muestra la pantalla de selección de los controles a verificar.
AUDIRISK – 2011
24
19.Generación y procesamiento de listas de Comprobación. Con los controles
seleccionados, AUDIRISK genera checklist de controles por sitios de prueba y
ofrece funcionalidades para ingresar y procesar las respuestas. Como resultado,
el software mide porcentualmente el cumplimiento de los controles establecidos
por cada amenaza y los compara contra la protección existente obtenida en la
evaluación del control interno (etapa 5); la figura 24 muestra estos resultados.
AUDIRISK – 2011
25
Figura 25: Desarrollo de los Hallazgos de Pruebas de Cumplimiento
21.El software AUDIRISK ayuda a seleccionar los datos que podrían ser
impactados por las amenazas que presentaron protección diferente de
Apropiada y Mejorable en la evaluación de control interno o que las pruebas
AUDIRISK – 2011
26
de cumplimiento el porcentaje (%) de cumplimiento de controles quedó por
debajo del 80%. La figura 27, muestra el formato de pantalla para seleccionar
las cifras sobre los que se realizan pruebas sustantivas.
22. Por cada uno de los datos seleccionados para pruebas sustantivas, AUDIRISK
ofrece formatos y ayudas para asignar técnicas de verificación a emplear,
elaborar el plan y programar su ejecución en los sitios de prueba.
23. Ingreso y procesamiento de los resultados de las pruebas. Por cada sitio
de prueba, el software ofrece ayudas para ingresar y analizar los resultados de
las pruebas efectuadas, como se muestra en la figura 28.
AUDIRISK – 2011
27
Figura 28: Ingreso de resultados a los datos
AUDIRISK – 2011
28
Figura 28: Funcionalidades para evaluar satisfacción de los 7 criterios COBIT
AUDIRISK – 2011
29
Figura 29: Menú de la Etapa 9: Seguimiento
AUDIRISK – 2011
30
MODULO 3: SEGUIMIENTO A AUDITORÍAS NO REALIZADAS
CON AUDIRISK.
Figura 32: Ambiente de trabajo para seguimientos a Auditorías no realizadas con AUDIRISK.
Figura 33: Menú para realizar seguimiento a auditorías no realizadas con AUDIRISK
AUDIRISK – 2011
31
AUDIRISK genera estadísticas del estado de las acciones de mejora de
acuerdo al estado de implantación de las mismas, como se muestra en la figura 34.
Estas estadísticas también se pueden producir por áreas organizacionales
encargadas de la ejecución de la acción de mejora.
Este módulo genera informes y gráficos sobre los trabajos de auditoría desarrolladas
con AUDIRISK durante un periodo de tiempo, utilizando el módulo de Auditorias
Basadas en Riesgos.
El software ofrece funcionalidades para generar entre otros los siguientes informes
de Gestión:
AUDIRISK – 2011
32
Figura 35: Estadísticas de hallazgos y recomendaciones por entidad
AUDIRISK – 2011
33
MODULO 5: SEGURIDAD Y ADMINISTRACION DE AUDIRISK
Este módulo ofrece todas las funcionalidades necesarias para administrar los
usuarios con derechos de acceso a los diferentes módulos de AUDIRISK.
AUDIRISK – 2011
34
A QUIENES SIRVE LA METODOLOGIA Y EL SOFTWARE
AUDIRISK?
Auditores Internos.
Auditores Externos.
Auditores de Sistemas
Auditores Operativos
Auditores Financieros
Revisores Fiscales
Oficinas de Control Interno Organizacional
AUDIRISK – 2011
35
Derecho a recibir actualizaciones sin costo adicional, con las nuevas versiones de
la metodología cada vez que se produzcan.
Versión Web.
Plastilene S.A
AUDIRISK – 2010
36
Comisión Nacional de TV – Oficina de Control Interno.
AUDIRISK – 2011
37
En Ibagué
En Bucaramanga
En Manizales
En Pasto.
En Cali
En Barranquilla.
En República Dominicana
En Costa Rica
En Guatemala
En Bolivia
AUDIRISK – 2011
38
Banco Santacruz Bolivia- Auditoría
En Honduras
AUDIRISK – 2011
39