AUDISIS LTDA.

About This Presentation

Title:

AUDISIS LTDA.

Description:

AUDITORES - CONSULTORES Especialistas en Controles, Seguridad y Auditor a de Sistemas de Informaci n AUDAP: Metodolog a Asistida por Computador para auditor a ... – PowerPoint PPT presentation

Number of Views:233

Avg rating:3.0/5.0

Slides: 74

Provided by: MartinCa2

Category:

more less

Transcript and Presenter's Notes

Title: AUDISIS LTDA.

1

AUDISIS LTDA.
AUDITORES - CONSULTORES
Especialistas en Controles, Seguridad y
Auditoría de Sistemas de Información

AUDAP Metodología Asistida por Computador para
auditoría orientada al riesgo en operaciones
automatizadas
2
La Metodología AUDAP
Qué es Audap ? Es la metodología asistida por
computador, desarrollada por AUDISIS para
conducir auditorías orientadas al riesgo en
operaciones automatizadas
3
La Metodología AUDAP

Desarrolla auditorías integrales de la Seguridad
de la información y el Control Interno
Controles Automatizados - Implementados y
ejecutados en el software aplicativo y del
sistema.
Controles No Automatizados. Implementados en los
procedimientos ejecutados por personas en las
áreas de operación del negocio o servicio.

4
La Metodología AUDAP

Evalúa y verifica la satisfacción de 7 criterios
de calidad en la información de negocios
Efectividad.
Eficiencia.
Confidencialidad.
Integridad.
Disponibilidad.
Cumplimiento con leyes y regulaciones.
Confiabilidad.

5
La Metodología AUDAP

Utiliza el enfoque de reingeniería de procesos de
negocios. Ejecuta auditorías transversalmente por
escenarios de riesgo, en lugar de hacerlo
verticalmente por dependencias.
Suministra bases de conocimientos con best
practices sobre riesgos, causas de riesgo,
controles, objetivos de control y cuestionarios.
Aplica el enfoque de auditoría orientada al
riesgo.

6
La Metodología AUDAP

Enfatiza en los Riesgos Potenciales Críticos,
en lugar de dar la misma importancia a todos los
riesgos.
Califica la protección existente y el riesgo
residual, en formas numérica y cualitativa.
Genera papeles de trabajo en medios magnéticos.

7
Estándares que utiliza AUDAP

Las auditorías con AUDAP se desarrollan de
acuerdo con normas de auditoría generalmente
aceptadas, principalmente las promulgadas por
ISACA para la auditoría de Sistemas y el IIA para
el uso de la valoración de riesgos en auditoría.
Como marco de referencia para las evaluaciones se
utilizan entre otros los siguientes estándares
COBIT (Control Objectives for information and
related technology, ISACA, 2002).
SAC (Systems Auditability and Control. IIA,
1992).
BSI 17799, ISO 9126, ISO 12207 y Orange Book.
Normas de Auditoría de Aceptación General.

8
Productos que recibe el Cliente de AUDAP

Manual - Libro de la metodología
Software ejecutable (CD)
Ayudas en Linea - Manual del usuario del
software
Bases de datos de conocimientos estándar
Licencia de uso por tiempo indefinido.
Una Llave de control de acceso fisico -
Hardware Key.

9
A quienes está dirigida la Metodología AUDAP ?

Auditores de Sistemas.
Auditores Operativos.
Auditores Financieros.
Auditorías Integradas.
Revisores Fiscales.

10
Auditoría Orientada al Riesgo

Riesgo Potencial (Inherente) Riesgo asociado con
la naturaleza de los procesos u operaciones. En
su estimación no se tienen en cuenta los
controles establecidos.
Punto de partida de la Auditoría Verificar que
la empresa está protegida contra los riesgos
potenciales críticos que podrían presentarse.
Riesgo Residual Riesgo no cubierto por los
controles establecidos.
Punto de llegada de la Auditoría Determinar si
el riesgo residual asumido es aceptable.

11
METODOLOGIA DE AUDITORIA - AREAS AUTOMATIZADAS
INICIO
Identificar fortalezas y debilidades de Control
Alta gerencia
Informe de acciones de emergencia
Planeacion
1
10
Determinar complejidad y recursos
Informe detallado
Sistemas y usuarios
10
Pruebas manuales
Ejecuta Pruebas de cumplimiento y Sustantivas
6
Comprension / Familiarización
2
Diseñar y planear pruebas de Auditoría
Pruebas asistidas por computador CAATs
Soportes o evidencias de pruebas
Archivo permanente
Evaluación de resultados de las Pruebas
8
3
Identificar y Evaluar Riesgos Potenciales
Análisis de impacto de Hallazgos de Auditoría s
Riesgos inhere- ntes al negocio
Elaborar informe de la Auditoría
9
4
Definir alcance de auditoría
Informe Ejecutivo
Informe detallado
Usuarios y Sistemas
Alta Gerencia
Localizar los riesgos críticos
5
Evaluar Eestruc- tura del control interno
Seguimieiento a Recomendaciones
5
10
2
12
Etapas de la Metodología AUDAP

1. Planeación - Preauditoría.
2. Comprensión del Proceso e Negocio
(Relevamiento)
3. Identificación y Evaluación de Riesgos
Críticos
4. Definición del alcance de la auditoría
5. Evaluación del Controles Existentes.
6. Definición y Diseño de Pruebas de Auditoría
7. Ejecución de Pruebas de Auditoría.
8. Análisis de los Resultados de las Pruebas
9. Elaboración de informe con los resultados de
la Auditoría.
10. Seguimiento

13
Metodología AUDAP
Qué es una operación automatizada ?. Es el
conjunto de procedimientos manuales y
automatizados que se utilizan para manejar en
forma estandarizada, los datos y la información
de uno o más negocios (servicios) de la empresa
con ayuda de recursos de Tecnología de
Información (software, hardware, instalaciones,
telecomunicaciones, etc.) Generalmente se apoyan
en una o más aplicaciones de Computador o
Sistemas de Información Automatizado (SIA).
14
Metodología AUDAP
Qué es Aplicación de computador ?. Es un grupo
integrado de programas de computador diseñados
para realizar una función particular que tiene
actividades de entrada de datos, procesamiento y
salida de información (ISACA). ISACA
Information Systems Audit and Control Association.
15
Metodología AUDAP

Ejemplos de Operaciones Automatizadas.
Sistema Integrado de Información Financiera
Sistema de Recursos Humanos
Sistema de Cartera
Sistema de Tarjeta de Crédito.
Software de Categoría Mundial
SAP /R3
People SOFT

16
Bases de Conocimientos de AUDAP

1. Bases Estándar Suministradas por AUDISIS -
Best Practices.
2. Bases de la Empresa Creadas y personalizadas
con AUDAP
A partir de Bases Estándar
A partir de Bases de Empresas Similares
3. Bases de Trabajo Contienen Resultados de
estudios realizados con AUDAP.
A partir de Bases Estándares
A partir de Bases de Empresa
A partir de Bases de Trabajo con Resultados
Estudio Anterior

17
Bases de Conocimientos Estándar
Suministradas por AUDISIS
Best Practices sobre
Riesgos Potenciales Causas de Riesgo
Controles Procesos COBIT y Audisis
Objetivos de Control COBIT Cuestionarios de
Riesgo Cuestionario de Diagnóstico Preliminar
AUDAP
Bases de Conocimiento Estándar
Relaciones entre
Riesgos - Causas de Riesgo Causas de Riesgo -
Controles Procesos - Objetivos de Control COBIT
18
Creación de Bases de Conocimientos de la Empresa
Personalizadas con AUDAP

Copiar y Personalizar
Adiciones
Modificaciones
Retiros

Bases de Conocimiento de la Empresa
Bases de Conocimiento Estándar
19
Creación de Bases de Conocimientos de Trabajo
Personalizadas para cada operación
Operación 1
Bases de Conocimientos de Trabajo Inicial
Copiar y crear bases para Operaciones Individuales
Operación 2
Bases de Conocimientos de la Empresa
BC de Trabajo Inicial
BC Master
Operación n
BC de Trabajo Inicial
20
Bases de Conocimientos de Trabajo
Con los Resultados de Auditorias Realizadas con
AUDAP
Realizar auditoría con AUDAP

Seleccionar elementos aplicables
Adiciones
Modificaciones

Operación 1
Operación 1
BC con Resultados de la Auditoria
BC de Trabajo Inicial
21
Bases de Conocimientos de Trabajo
Resultados de Auditorias Realizadas con AUDAP
BC Trabajo

Con Elementos
Seleccionados
Adicionados
Modificados

Operación 1
BC con Resultados de la Auditoria
Otros Productos

Mapas de Riesgos
Guías de Control personazlizadas
Evaluación de Controles Existentes.
Diseño de Pruebas de Cumplimiento y Sustantivas.
Hlallazgos de Auditoría
Informe de la Auditoría

22
Auditorias Orientadas al Riesgo por Escenario de
Riesgo

Seleccionar
Adicionar
Crear Escenarios de Empresa

BC Escenarios
BC Trabajo

Escenario 1
Escenario 2
Escenario n

COBIT
AUDISIS
Empresa

23
Metodología AUDAP

Escenarios de Riesgo en las Operaciones de
Negocio Automatizadas.
Son las partes en que se divide el ciclo de
vida de los datos en las operaciones
automatizadas, desde las fuentes de los datos
hasta los destinatarios de la información
producida por las aplicaciones o sistemas de
información automatizados (SIAs).
También se denominan Procesos sujetos a Control
ó Areas de Exposición.
.

24
Escenarios de Riesgo en las Operaciones
Automatizadas

Tres Alternativas de Escenarios de Riesgo.
Una operación automatizada puede descomponerse
en
14 Escenarios de Riesgos del Ciclo de vida de
los datos en las operaciones automatizadas
(procesos AUDISIS).
11 Procesos COBIT aplicables a las operaciones
que se apoyan en Tecnología de Información.
Escenarios de Riesgo particulares de cada
Operación.

25
Escenarios de Riesgo en las Operaciones
Automatizadas

14 Escenarios de Riesgo del Ciclo de Vida de los
Datos
1. Generación y Registro de transacciones.
2. Grabación y validación de datos.
3. Actualización de archivos.
4. Generación de Salidas del proceso de
Actualización.
5. Seguridad lógica del software de la
aplicación.
6. Seguridad lógica de los archivos de
computador.
7. Cambios al software de la Aplicación.
8. Procedimientos de Backup y Recuperación.

26
Escenarios de Riesgo en las Operaciones
Automatizadas

14 Escenarios de Riesgo del Ciclo de Vida de los
Datos (Cont.)
9. Terminales y Comunicación de datos
10. Documentación del sistema de Información
11. Utilización y control de resultados por los
usuarios.
Para Sistemas de Base de Datos.
13. El sistema de Directorio/Diccionario de
datos (SD/DD)
14. La función del administrador de la Base de
Datos.

27
Qué Significa COBIT?
Control Objectives for Information and Related
Technology
C Control OB OBjectives I
for Information T and Related
Technology Objetivos de Control para
Información y Tecnología Relacionada
28
COBIT
Control Objectives for Information and Related
Technology
Lo que usted obtiene
Lo que usted necesita
PROCESOS DEL NEGOCIO
Criterios Efectividad Eficiencia
Confidencialidad Integridad
Disponibilidad Cumplimiento Confiabilidad
INFORMACIÓN
RECURSOS TI
?
Concuerdan
Datos Aplicaciones Tecnología
Instalaciones Gente
29
COBIT
Control Objectives for Information and Related
Technology
Definición de los Dominios
Planeación y Organización
1
Monitoreo
Adquisición e Implementación
4
2
Prestación del Servicio y Soporte
3
30
Escenarios de Riesgo en las Operaciones
Automatizadas

11 Procesos COBIT aplicables.
Dominio Prestación de Servicios Soporte.
1. Definir Niveles de Servicio (DS-01).
2. Administrar servicios de Terceras Partes
(DS-02).
3. Asegurar el Servicio Continuo (DS-04).
4. Garantizar la Seguridad del Sistema (DS-05).
5. Identificar y Asignar Costos (DS-06).
6. Educar y Entrenar a los usuarios (DS-07)

31
Escenarios de Riesgo en las Operaciones
Automatizadas

11 Procesos COBIT aplicables (Cont).
Dominio Prestación de Servicios y Soporte.
7. Asistir y Aconsejar a los Clientes de TI
(DS-08).
8. Administración de Problemas e Incidentes
(DS-10).
9. Administración de Datos (DS-11).
10. Administración de las Operaciones (DS-12).
Dominio Adquisición Implantación.
11. Administración de Cambios (AI-01).

32
Escenarios de Riesgo en las Operaciones
Automatizadas

Escenarios de Riesgo Particulares de cada
Operación.
Ejemplo Nómina de Empleados.
Generación de Novedades.
Liquidación Horas Extras.
Liquidación valor a pagar.
Liquidación y pago de Aportes Fiscales.
Liquidación y pago Aportes Parafiscales.
Aumentos de Sueldos.
Pago de Prestaciones Sociales.

33
Qué Produce el Software de AUDAP?

Planeación de la Auditoría.
Diagnóstico sobre el riesgo potencial y las
necesidades de seguridad de la operación
automatizada objeto de la auditoría.
Cronogramas por etapa y auditor.
Costos de personal asignado a la auditoría.

34
Planeación de la Auditoría

Utilización del Principio de Pareto.
Asignar los recursos de auditoría a los
escenarios de riesgo de mayor criticidad, de
acuerdo con puntajes obtenidos
0 - 20 Criticidad Baja.
20 - 40 Criticidad Media Baja.
40 - 60 Criticidad Media.
60 - 80 Criticidad Media Alta.
80 - 100 Criticidad Alta.
Elaborar Plan para auditar escenarios más críticos

35
Planeación de la Auditoría

Ejemplo de aplicación Principio de Pareto.
Puntaje Máximo Posible del Cuestionario 270
Intervalo para estratos 270/5 54
Estratos de Pareto.
0 - 20 0 - 54 Criticidad
Baja.
20 - 40 54 - 128 Criticidad
Media Baja.
40 - 60 128 - 162. Criticidad
Media.
60 - 80 162 - 216 Criticidad
Media Alta.
80 - 100 216 - 270 Criticidad Alta.

36
PRIORIZACIÓN DE ESCENARIOS DE RIESGO SEGÚN SU
EXPOSICION A RIESGOS POTENCIALES

EMPRESA___________________________
ESCENARIOS PUNTAJE
CLASIFICACION
1. Generación de Datos ____________ ____
______________
2. Entrada de datos ____________
____ ______________
3. Procesamiento ____________ ____
______________
4. Acceso a la BD ____________
____ ______________
5. Acceso al Software ____________ ____
______________
6. Uso de Salidas ____________
____ ______________

37
Qué Produce el Software de AUDAP?

Identificar y clasificar la importancia de los
Riesgos Potenciales.
Identificación y Valoracion de los riesgos
potenciales tipicos que podrían presentarse en el
proceso de negocio o sistema de informacion
sujeto a auditoria.

38
Modelo de Riesgos Tipicos

Audirisk, considera 8 categorias de riesgos
típicos
Pérdidas por Sanciones Legales.
Pérdidas por Errores en el Cálculo de Ingresos.
Pérdidas por Errores en el cálculo de Egresos.
Pérdida de Reputación o de Credibilidad Pública.
Pérdida de Ventaja Competitiva.
Pérdidas por Daño o Destrucción de Activos.
Pérdidas por Fraude ó Hurto.
Pérdidas por Decisiones Erróneas.

39
PARA QUE Y COMO UTILIZAR LA VALORACION DE RIESGOS
EN AUDITORIA

Identificar y clasificar la importancia de los
Riesgos Potenciales.
Método Delphy clasificación de los riesgos por
votación de expertos.
Constituir equipo de expertos.
Comparar importancia por parejas de riesgos
aplicables.
Sumar votaciones y obtener puntajes.
Aplicar Principio de Pareto.
Clasificar riesgos de mayor o menor puntaje.

40
VALORACION DE RIESGOS POTENCIALES
METODO DELPHY
4
5
6
41
PARA QUE Y COMO UTILIZAR LA VALORACION DE RIESGOS
EN AUDITORIA

Identificar y clasificar la importancia de los
Riesgos Potenciales.
Método de Scoring o clasificación de los
riesgos potenciales por el sistema de puntajes.
Elaborar un cuestionario para cada Riesgo
Potencial
Definir Factores de Exposición al Riesgo
Definir Criterios para valorar cada factorde
Exposición
Contestar cuestionario y obtener puntaje
Aplicar Principio de Pareto
Clasificar riesgo dentro de estratos de Pareto.

42
RESUMEN VALORACION DE RIESGOS POTENCIALES

PROCESO DE NEGOCIO___________________________
RIESGOS PUNTAJE CALIFICACION
1. Sanciones legales ____________ ____
______________
2. Pérdida de Ingresos ____________ ____
______________
3. Exceso de pagos ____________ ____
______________
4. Pérdida de Reputacion y
credibilidad pública ____________ ____
______________
5. Desventaja ante la
competencia. ____________ ____
______________
6. Daño/Destrucción ____________ ____
______________
7. Decisiones Erróneas ____________ ____
______________
8. Fraude/Hurto ____________ ____
_____________

43
Valoración de Riesgos Potenciales ()
Riesgos Potenciales Críticos
Riesgos Potenciales Típicos
1. Sanciones Legales 2. Pérdida de Ingresos 3.
Exceso Desembolsos 4. Hurto / Fraude 5.
Desventaja Competitiva 6. Decisiones Erróneas 7.
Daño o Destrucción de activos 8. Pérdida
Credibilidad
Valoración de Riesgos
Riesgo 1 Riesgo 2 Riesgo 3

Método Delphy
ó
Cuestionarios con Factores de Riesgo

() Para la organización, vista como un todo.
Por líneas de Negocio Por Grupos de
operaciones relacionadas. Por Operaciones
Individuales Por Centro de Procesamiento de
Datos.
44
Qué Produce el Software de AUDAP?

Identificar y clasificar Riesgos Potenciales.
Mapa de Riesgos para cada operación
automatizada sujeto de auditoría.
Tres Matrices
Escenarios de Riesgo - dependencias.
Riesgos Criticos - Escenarios de Riesgo
Riesgos Críticos - Dependencias.
Objetivos de Control COBIT aplicables.

45
Mapa de Riesgos ()
Localizar Riesgos Críticos en Escenarios de
Riesgo y Dependencias
Escenarios
P1 P2 P3
Riesgos Potenciales Críticos
X
X
Riesgo 1 Riesgo 2 Riesgo 3
X
Localizar Riesgos Críticos en Escenarios d
Riesgo y Dependencias
Riesgo 1 Riesgo 2 Riesgo 3
X
X
X
Dependencias
D1 D2 D3
X
X
Riesgo 1 Riesgo 2 Riesgo 3
X
X
() Para la Empresa vista como un todo. Por
línea de Negocio Por Grupo de operaciones
relacionadas. Por Operación (Sistema)
X
X
46
Asociación Automática de Procesos con Arboles
Riesgo-Causas-Controles
Control 1
Causa 1
Control 2
Control 3
Riesgo 1
Causa 2

Asociar con Arboles de BC

Causa 3
Escenario 1
Arbol 2
Riesgo 2
47
Mapa de Riesgos
Identificar y Localizar Causas de Riesgos
Críticos ()
Escenarios
E1 E2 E3
Causas - Riesgos Críticos

Identificar y Localizar Causas de Riesgos
Críticos
Seleccionar
Modificar
Adicionar

CR1,CR12
Riesgo 1 Riesgo 2 Riesgo 3
Causas - Riesgo 1 Causas - Riesgo 2 Causas -
Riesgo 3
Dependencias
D1 D2 D3
Riesgo 1 Riesgo 2 Riesgo 3
CR15,CR20
() CR Causas de Riesgo ó Factores de Riesgo.
48
Calificación del Riesgo Potencial por Causa de
Riesgo
Causa de Riesgo
P
C
Costo de las pérdidas por ocurrencia
Probabilidad de ocurrencia
Riesgo P C Riesgo Valor de las pérdidas
generadas por causas de Riesgo o Amenazas
49
Calificación del Riesgo Potencial por Causa de
Riesgo
Probabilidad
Alta Media Baja
A
Alto Medio Bajo
Costo ()
Ejemplo Riesgo generado por la causa TERREMOTO
A Alto M Medio B Bajo
50
Qué Produce el Software de AUDAP ?

Evaluar Controles Existentes.
Guía Generalizada de Controles asociados con las
causas de riesgos críticos de las operaciones
objeto de auditoría.
Guía Resumida
Cuestionario de controles.
Identificación y documentación de los controles
que actúan sobre las Causas de Riesgos críticos
identificadas para el proceso sujeto a auditoría.

51
Evaluar Controles Existentes
Generar Cuestionario para identificar Controles
Existentes
Base de Conoc. de Controles
Cuestionarios de Control
Generar Cuestionarios de controles por
Dependencia y por Escenarios
1. Control x esta establecido? Puntaje ___ SI
___ NO ___ 2. Control y esta ostablecido? Puntaj
e ___ SI ___ NO ___
Dependencia 1 Dependencia 2
52
Identificación y Evaluación de Riesgos

Evaluar Controles Existentes
Evaluar protección que ofrecen los controles
seleccionados, por cada causa de riesgo crítico.
Para que sea Apropiada, valida que se satisfagan
dos de los tres criterios exigidos
Se cumple mezcla de tres tipos de controles
Preventivo, Detectivo y Correctivo ?.
Calificación Promedio por clase es superior a 3.5
?
Beneficios mayores que los costos ?.

53
Identificación y Evaluación de Riesgos

Identificar y evaluar Controles Existentes
y Riesgo Residual
Evaluar protección que ofrecen los controles
seleccionados por cada objetivo de control COBIT,
por escenario de riesgo y por dependencia que
intervienen en el manejo del proceso de negocio o
sistema sujeto a diseño de controles. Protección
Apropiada Promedio por clase superior a 3.5?
Generar Hallazgos de auditoría para causas de
riesgo con protección inapropiada.
Generar Diagnóstico de la Auditoría.

54
Evaluar los Controles Existentes

Definición de Control Interno
COBIT define control interno así
Las políticas, procedimientos, prácticas y
estructuras organizacionales diseñadas para
proporcionar razonable confianza de que los
objetivos del negocio serán alcanzados y que los
eventos indeseados serán prevenidos ó detectados
y corregidos.
ISACA (Information Systems Audit and Control
Association, 2.000).

55
Evaluar los Controles Existentes

Definiciones de Control.
Control es la acción que se ejerce sobre una
causa de riesgo con el fin de reducir su
probabilidad de ocurrencia o el impacto que puede
generar su ocurrencia.
Control es la capacidad de ejercer restricciones
o influencia directa sobre una situación o evento
determinado.
Control es la acción que se ejerce para hacer
que un evento ocurra conforme a un plan.

56
OBJETIVO DE LOS CONTROLES
Deficiencias de control
Insuficientes Inefectivos No cumplen
Control 1 Control 2 Control 3 Control 4
Prevenir
Causas del Riesgo
Detectar
Corregir
Errores Humanos Actos malintencionados
Pérdida de Activos Fraude Sanciones Legales
Riesgos
57
Relación entre Causas del Riesgo y Controles

Objetivo de los controles.
Los controles actúan sobre las causas del riesgo
de tres maneras, mutuamente excluyentes
a) Como control Preventivo. Para evitar la
ocurrencia de la causa del riesgo, ó
b) Como control Detectivo. Para detectar,
registrar e informar la ocurrencia de la causa
(actuar como alarma que se dispara cuando
detecta la causa), ó
c) Como control Correctivo. Obligan a tomar
acción correctiva para resolver el problema
detectado por los controles detectivos.

58
ENFOQUE PREVENTIVO DE LAS TRES BARRERAS DE CONTROL

ORGANIZACIÓN
BARRERA PREVENTIVA
BARRERA CORRECTI-VA
BARRERA DETECTIVA
C1
INSTALA- CIONES
C2
CAUSAS DE RIESGO
C2
C3
C3
C3
PERSONAS
DATOS
HW - SW
FEEDBACK
FINANCIEROS
59
Etapa 5 Evaluación del Control Interno Existente

Que produce AUDAP ?
Identificación y documentación de los controles
existentes que actúan sobre cada causa de riesgo
crítico (Base de conocimientos con la realidad de
la empresa).
Hojas - Resumen de evaluación de los controles
existentes, por cada Escenario de Riesgo,
dependencia y objetivo de control .

60
EVALUACION DE
CONTROLES SELECCIONADOSESCENARIO (PROCESO)
___________________________RIESGOS CRITICOS
___________________________
61
FORMULARIOS EVALUACION DE CONTROLES POR PROCESO
LISTA DE CAUSAS DE RIESGOS CRITICOS
LISTA DE CONTROLES ESTABLECIDOS

EVALUACION DE CONTROLES ESTABLECIDOS
ESCENARIO DE RIESGO__________________

CONTROLES EXISTENTES No.
NIVEL DE PROTECCION ()
OBSERVACIONES
CAUSAS DE RIESGO No.
1
5, 7, 11
A
2
1, 3
I
3
I
-
OPINION DEL AUDITOR ______________________________
_____________________ ____________________________
________________________________________________
Elaborado por_____________
FECHA___/___/___
AApropiado. Los controles utilizados son
apropiados porque provienen o, detectan o
corrigen la causa de riesgo. I Inapropiado.
Los controles son insuficientes o no existen
controles sobre la causa de riesgo.
62
Evaluación de Controles Existentes
Identificar y Localizar Controles Necesarios ()
Escenarios
E1 E2 E3
Guía Controles
C1,C3C2
Riesgo 1 Riesgo 2 Riesgo 3

Identificar y Localizar Controles Existentes
Seleccionar
Modificar
Adicionar

C2 C5
Causas - Riesgo 1 Causas - Riesgo 2 Causas -
Riesgo 3
C30
C17
Dependencias
D1 D2 D3
C1, C3
Riesgo 1 Riesgo 2 Riesgo 3
C17 C2
C15
() Por cada Causa de Riesgo Crítico C
Control
63
Evaluación de Controles Existentes
Evaluar Protección Existente para Riesgos Críticos
CR1 CR2 CR3
A
Riesgo 1 Riesgo 2 Riesgo 3
Controles Existentes
A
I
Controles - Causas Riesgo 1 Controles Causas
Riesgo 2 Controles Causas Riesgo 3
Evaluar Protección Existente ()
E1 E2 E3
A
I
Riesgo 1 Riesgo 2 Riesgo 3
D1 D2 D3
I
Riesgo 1 Riesgo 2 Riesgo 3
A
A
A
() A Apropiada I Inapropiada
Acciones de la Administración
64
Qué Produce el Software de AUDAP ?

Pruebas de Auditoria / Cumplimiento.
Lista de Comprobación de Controles (Checklist)
por escenarios de riesgo y dependencias,
Evaluación de Protección Existente (PE) y del
riesgo residual (RR) por escenario de riesgo,
dependencia y Objetivo de Control.

65
Pruebas de Cumplimiento
Generar Checklist de Controles
Controles Claves Establecidos
Checklists de Controles
Generar Checklist de controles por Dependencia y
por proceso
1. Control x esta operando? Puntaje ___ SI ___
NO ___ 2. Control y esta operando? Puntaje ___
SI ___ NO ___
Dependencia 1 Dependencia 2
66
Qué Produce el Software de AUDAP ?

Pruebas de Auditoria.
Diseño de Pruebas de Cumplimiento y Sustantivas
por Escenario y Técnica de comprobacion.
Hallazgos de Auditoría.
Resumen - Resultados de las Pruebas efectuadas.

67
Resultados Pruebas de Cumplimiento
Medir y Monitorear Protección Existente y Riesgo
Residual
D1 D2 D3
Protección Existente
40
70
30
Controles Establecidos
Riesgo 1 Riesgo 2 Riesgo 3
Medir y Monitorear Riesgo Residual
Respuestas - Checklists
D1 D2 D3
70
30
60
Riesgo 1 Riesgo 2 Riesgo 3
Riesgo Residual()
() Alerta Roja, si Riesgo Residual mayor al
20
Acciones de la Administración ()
68
Qué Produce el Software de AUDAP ?

Resultados para el Informe de la Auditoria.
Lista de Hallazgos y recomendaciones de
evaluación de control interno, pruebas de
cumplimiento y pruebas sustantivas.
Evaluación del Grado de Satisfacción de los 7
Criterios de Calidad de la información de
Negocios producida por el proceso de negocios o
sistema auditado.

69
Qué Produce el Software de AUDAP ?

Seguimiento a Recomendaciones de Auditoria
Plan de Seguimiento a Recomendaciones de la
Auditoría.
Resultados del Seguimiento.

70
Qué Produce el Software de AUDAP ?

Bases de Datos Trabajo Bases de conocimientos
con los resultados de la auditoria realizada,
personalizadas con circunstancias particulares de
las empresas y de las operaciones o sistemas
de información auditadas.
Papeles de Trabajo en medios magneticos (Bases de
Trabajo). Punto de partida para la siguiente
auditoria.

71
Bases de Conocimientos de Trabajo
Con Resultados de un Estudio Realizado
BC Trabajo