AUDISIS LTDA. - PowerPoint PPT Presentation

Loading...

PPT – AUDISIS LTDA. PowerPoint presentation | free to download - id: 54b4d9-NTJmZ



Loading


The Adobe Flash plugin is needed to view this content

Get the plugin now

View by Category
About This Presentation
Title:

AUDISIS LTDA.

Description:

AUDITORES - CONSULTORES Especialistas en Controles, Seguridad y Auditor a de Sistemas de Informaci n AUDAP: Metodolog a Asistida por Computador para auditor a ... – PowerPoint PPT presentation

Number of Views:143
Avg rating:3.0/5.0
Slides: 74
Provided by: MartinCa2
Learn more at: http://auditor2006.comunidadcoomeva.com
Category:

less

Write a Comment
User Comments (0)
Transcript and Presenter's Notes

Title: AUDISIS LTDA.


1
  • AUDISIS LTDA.
  • AUDITORES - CONSULTORES
  • Especialistas en Controles, Seguridad y
    Auditoría de Sistemas de Información

AUDAP Metodología Asistida por Computador para
auditoría orientada al riesgo en operaciones
automatizadas
2
La Metodología AUDAP
Qué es Audap ? Es la metodología asistida por
computador, desarrollada por AUDISIS para
conducir auditorías orientadas al riesgo en
operaciones automatizadas
3
La Metodología AUDAP
  • Desarrolla auditorías integrales de la Seguridad
    de la información y el Control Interno
  • Controles Automatizados - Implementados y
    ejecutados en el software aplicativo y del
    sistema.
  • Controles No Automatizados. Implementados en los
    procedimientos ejecutados por personas en las
    áreas de operación del negocio o servicio.

4
La Metodología AUDAP
  • Evalúa y verifica la satisfacción de 7 criterios
    de calidad en la información de negocios
  • Efectividad.
  • Eficiencia.
  • Confidencialidad.
  • Integridad.
  • Disponibilidad.
  • Cumplimiento con leyes y regulaciones.
  • Confiabilidad.

5
La Metodología AUDAP
  • Utiliza el enfoque de reingeniería de procesos de
    negocios. Ejecuta auditorías transversalmente por
    escenarios de riesgo, en lugar de hacerlo
    verticalmente por dependencias.
  • Suministra bases de conocimientos con best
    practices sobre riesgos, causas de riesgo,
    controles, objetivos de control y cuestionarios.
  • Aplica el enfoque de auditoría orientada al
    riesgo.

6
La Metodología AUDAP
  • Enfatiza en los Riesgos Potenciales Críticos,
    en lugar de dar la misma importancia a todos los
    riesgos.
  • Califica la protección existente y el riesgo
    residual, en formas numérica y cualitativa.
  • Genera papeles de trabajo en medios magnéticos.

7
Estándares que utiliza AUDAP
  • Las auditorías con AUDAP se desarrollan de
    acuerdo con normas de auditoría generalmente
    aceptadas, principalmente las promulgadas por
    ISACA para la auditoría de Sistemas y el IIA para
    el uso de la valoración de riesgos en auditoría.
  • Como marco de referencia para las evaluaciones se
    utilizan entre otros los siguientes estándares
  • COBIT (Control Objectives for information and
    related technology, ISACA, 2002).
  • SAC (Systems Auditability and Control. IIA,
    1992).
  • BSI 17799, ISO 9126, ISO 12207 y Orange Book.
  • Normas de Auditoría de Aceptación General.

8
Productos que recibe el Cliente de AUDAP
  • Manual - Libro de la metodología
  • Software ejecutable (CD)
  • Ayudas en Linea - Manual del usuario del
  • software
  • Bases de datos de conocimientos estándar
  • Licencia de uso por tiempo indefinido.
  • Una Llave de control de acceso fisico -
  • Hardware Key.

9
A quienes está dirigida la Metodología AUDAP ?
  • Auditores de Sistemas.
  • Auditores Operativos.
  • Auditores Financieros.
  • Auditorías Integradas.
  • Revisores Fiscales.

10
Auditoría Orientada al Riesgo
  • Riesgo Potencial (Inherente) Riesgo asociado con
    la naturaleza de los procesos u operaciones. En
    su estimación no se tienen en cuenta los
    controles establecidos.
  • Punto de partida de la Auditoría Verificar que
    la empresa está protegida contra los riesgos
    potenciales críticos que podrían presentarse.
  • Riesgo Residual Riesgo no cubierto por los
    controles establecidos.
  • Punto de llegada de la Auditoría Determinar si
    el riesgo residual asumido es aceptable.

11
METODOLOGIA DE AUDITORIA - AREAS AUTOMATIZADAS
INICIO
Identificar fortalezas y debilidades de Control
Alta gerencia
Informe de acciones de emergencia
Planeacion
1
10
Determinar complejidad y recursos
Informe detallado
Sistemas y usuarios
10
Pruebas manuales
Ejecuta Pruebas de cumplimiento y Sustantivas
6
Comprension / Familiarización
2
Diseñar y planear pruebas de Auditoría
Pruebas asistidas por computador CAATs
Soportes o evidencias de pruebas
Archivo permanente
Evaluación de resultados de las Pruebas
8
3
Identificar y Evaluar Riesgos Potenciales
Análisis de impacto de Hallazgos de Auditoría s
Riesgos inhere- ntes al negocio
Elaborar informe de la Auditoría
9
4
Definir alcance de auditoría
Informe Ejecutivo
Informe detallado
Usuarios y Sistemas
Alta Gerencia
Localizar los riesgos críticos
5
Evaluar Eestruc- tura del control interno
Seguimieiento a Recomendaciones
5
10
2
12
Etapas de la Metodología AUDAP
  • 1. Planeación - Preauditoría.
  • 2. Comprensión del Proceso e Negocio
    (Relevamiento)
  • 3. Identificación y Evaluación de Riesgos
    Críticos
  • 4. Definición del alcance de la auditoría
  • 5. Evaluación del Controles Existentes.
  • 6. Definición y Diseño de Pruebas de Auditoría
  • 7. Ejecución de Pruebas de Auditoría.
  • 8. Análisis de los Resultados de las Pruebas
  • 9. Elaboración de informe con los resultados de
    la Auditoría.
  • 10. Seguimiento

13
Metodología AUDAP
Qué es una operación automatizada ?. Es el
conjunto de procedimientos manuales y
automatizados que se utilizan para manejar en
forma estandarizada, los datos y la información
de uno o más negocios (servicios) de la empresa
con ayuda de recursos de Tecnología de
Información (software, hardware, instalaciones,
telecomunicaciones, etc.) Generalmente se apoyan
en una o más aplicaciones de Computador o
Sistemas de Información Automatizado (SIA).
14
Metodología AUDAP
Qué es Aplicación de computador ?. Es un grupo
integrado de programas de computador diseñados
para realizar una función particular que tiene
actividades de entrada de datos, procesamiento y
salida de información (ISACA). ISACA
Information Systems Audit and Control Association.
15
Metodología AUDAP
  • Ejemplos de Operaciones Automatizadas.
  • Sistema Integrado de Información Financiera
  • Sistema de Recursos Humanos
  • Sistema de Cartera
  • Sistema de Tarjeta de Crédito.
  • Software de Categoría Mundial
  • SAP /R3
  • People SOFT

16
Bases de Conocimientos de AUDAP
  • 1. Bases Estándar Suministradas por AUDISIS -
    Best Practices.
  • 2. Bases de la Empresa Creadas y personalizadas
    con AUDAP
  • A partir de Bases Estándar
  • A partir de Bases de Empresas Similares
  • 3. Bases de Trabajo Contienen Resultados de
    estudios realizados con AUDAP.
  • A partir de Bases Estándares
  • A partir de Bases de Empresa
  • A partir de Bases de Trabajo con Resultados
    Estudio Anterior

17
Bases de Conocimientos Estándar
Suministradas por AUDISIS
Best Practices sobre
Riesgos Potenciales Causas de Riesgo
Controles Procesos COBIT y Audisis
Objetivos de Control COBIT Cuestionarios de
Riesgo Cuestionario de Diagnóstico Preliminar
AUDAP
Bases de Conocimiento Estándar
Relaciones entre
Riesgos - Causas de Riesgo Causas de Riesgo -
Controles Procesos - Objetivos de Control COBIT
18
Creación de Bases de Conocimientos de la Empresa
Personalizadas con AUDAP
  • Copiar y Personalizar
  • Adiciones
  • Modificaciones
  • Retiros

Bases de Conocimiento de la Empresa
Bases de Conocimiento Estándar
19
Creación de Bases de Conocimientos de Trabajo
Personalizadas para cada operación
Operación 1
Bases de Conocimientos de Trabajo Inicial
Copiar y crear bases para Operaciones Individuales
Operación 2
Bases de Conocimientos de la Empresa
BC de Trabajo Inicial
BC Master
Operación n
BC de Trabajo Inicial
20
Bases de Conocimientos de Trabajo
Con los Resultados de Auditorias Realizadas con
AUDAP
Realizar auditoría con AUDAP
  • Seleccionar elementos aplicables
  • Adiciones
  • Modificaciones

Operación 1
Operación 1
BC con Resultados de la Auditoria
BC de Trabajo Inicial
21
Bases de Conocimientos de Trabajo
Resultados de Auditorias Realizadas con AUDAP
BC Trabajo
  • Con Elementos
  • Seleccionados
  • Adicionados
  • Modificados

Operación 1
BC con Resultados de la Auditoria
Otros Productos
  • Mapas de Riesgos
  • Guías de Control personazlizadas
  • Evaluación de Controles Existentes.
  • Diseño de Pruebas de Cumplimiento y Sustantivas.
  • Hlallazgos de Auditoría
  • Informe de la Auditoría

22
Auditorias Orientadas al Riesgo por Escenario de
Riesgo
  • Seleccionar
  • Adicionar
  • Crear Escenarios de Empresa

BC Escenarios
BC Trabajo
  • Escenario 1
  • Escenario 2
  • Escenario n
  • COBIT
  • AUDISIS
  • Empresa

23
Metodología AUDAP
  • Escenarios de Riesgo en las Operaciones de
    Negocio Automatizadas.
  • Son las partes en que se divide el ciclo de
    vida de los datos en las operaciones
    automatizadas, desde las fuentes de los datos
    hasta los destinatarios de la información
    producida por las aplicaciones o sistemas de
    información automatizados (SIAs).
  • También se denominan Procesos sujetos a Control
    ó Areas de Exposición.
  • .

24
Escenarios de Riesgo en las Operaciones
Automatizadas
  • Tres Alternativas de Escenarios de Riesgo.
  • Una operación automatizada puede descomponerse
    en
  • 14 Escenarios de Riesgos del Ciclo de vida de
    los datos en las operaciones automatizadas
    (procesos AUDISIS).
  • 11 Procesos COBIT aplicables a las operaciones
    que se apoyan en Tecnología de Información.
  • Escenarios de Riesgo particulares de cada
    Operación.

25
Escenarios de Riesgo en las Operaciones
Automatizadas
  • 14 Escenarios de Riesgo del Ciclo de Vida de los
    Datos
  • 1. Generación y Registro de transacciones.
  • 2. Grabación y validación de datos.
  • 3. Actualización de archivos.
  • 4. Generación de Salidas del proceso de
    Actualización.
  • 5. Seguridad lógica del software de la
    aplicación.
  • 6. Seguridad lógica de los archivos de
    computador.
  • 7. Cambios al software de la Aplicación.
  • 8. Procedimientos de Backup y Recuperación.


26
Escenarios de Riesgo en las Operaciones
Automatizadas
  • 14 Escenarios de Riesgo del Ciclo de Vida de los
    Datos (Cont.)
  • 9. Terminales y Comunicación de datos
  • 10. Documentación del sistema de Información
  • 11. Utilización y control de resultados por los
    usuarios.
  • Para Sistemas de Base de Datos.
  • 13. El sistema de Directorio/Diccionario de
    datos (SD/DD)
  • 14. La función del administrador de la Base de
    Datos.


27
Qué Significa COBIT?
Control Objectives for Information and Related
Technology
C Control OB OBjectives I
for Information T and Related
Technology Objetivos de Control para
Información y Tecnología Relacionada
28
COBIT
Control Objectives for Information and Related
Technology
Lo que usted obtiene
Lo que usted necesita
PROCESOS DEL NEGOCIO
Criterios Efectividad Eficiencia
Confidencialidad Integridad
Disponibilidad Cumplimiento Confiabilidad
INFORMACIÓN
RECURSOS TI
?
Concuerdan
Datos Aplicaciones Tecnología
Instalaciones Gente
29
COBIT
Control Objectives for Information and Related
Technology
Definición de los Dominios
Planeación y Organización
1
Monitoreo
Adquisición e Implementación
4
2
Prestación del Servicio y Soporte
3
30
Escenarios de Riesgo en las Operaciones
Automatizadas
  • 11 Procesos COBIT aplicables.
  • Dominio Prestación de Servicios Soporte.
  • 1. Definir Niveles de Servicio (DS-01).
  • 2. Administrar servicios de Terceras Partes
    (DS-02).
  • 3. Asegurar el Servicio Continuo (DS-04).
  • 4. Garantizar la Seguridad del Sistema (DS-05).
  • 5. Identificar y Asignar Costos (DS-06).
  • 6. Educar y Entrenar a los usuarios (DS-07)


31
Escenarios de Riesgo en las Operaciones
Automatizadas
  • 11 Procesos COBIT aplicables (Cont).
  • Dominio Prestación de Servicios y Soporte.
  • 7. Asistir y Aconsejar a los Clientes de TI
    (DS-08).
  • 8. Administración de Problemas e Incidentes
    (DS-10).
  • 9. Administración de Datos (DS-11).
  • 10. Administración de las Operaciones (DS-12).
  • Dominio Adquisición Implantación.
  • 11. Administración de Cambios (AI-01).


32
Escenarios de Riesgo en las Operaciones
Automatizadas
  • Escenarios de Riesgo Particulares de cada
    Operación.
  • Ejemplo Nómina de Empleados.
  • Generación de Novedades.
  • Liquidación Horas Extras.
  • Liquidación valor a pagar.
  • Liquidación y pago de Aportes Fiscales.
  • Liquidación y pago Aportes Parafiscales.
  • Aumentos de Sueldos.
  • Pago de Prestaciones Sociales.


33
Qué Produce el Software de AUDAP?
  • Planeación de la Auditoría.
  • Diagnóstico sobre el riesgo potencial y las
    necesidades de seguridad de la operación
    automatizada objeto de la auditoría.
  • Cronogramas por etapa y auditor.
  • Costos de personal asignado a la auditoría.

34
Planeación de la Auditoría
  • Utilización del Principio de Pareto.
  • Asignar los recursos de auditoría a los
    escenarios de riesgo de mayor criticidad, de
    acuerdo con puntajes obtenidos
  • 0 - 20 Criticidad Baja.
  • 20 - 40 Criticidad Media Baja.
  • 40 - 60 Criticidad Media.
  • 60 - 80 Criticidad Media Alta.
  • 80 - 100 Criticidad Alta.
  • Elaborar Plan para auditar escenarios más críticos

35
Planeación de la Auditoría
  • Ejemplo de aplicación Principio de Pareto.
  • Puntaje Máximo Posible del Cuestionario 270
  • Intervalo para estratos 270/5 54
  • Estratos de Pareto.
  • 0 - 20 0 - 54 Criticidad
    Baja.
  • 20 - 40 54 - 128 Criticidad
    Media Baja.
  • 40 - 60 128 - 162. Criticidad
    Media.
  • 60 - 80 162 - 216 Criticidad
    Media Alta.
  • 80 - 100 216 - 270 Criticidad Alta.

36
PRIORIZACIÓN DE ESCENARIOS DE RIESGO SEGÚN SU
EXPOSICION A RIESGOS POTENCIALES
  • EMPRESA___________________________
  • ESCENARIOS PUNTAJE
    CLASIFICACION
  • 1. Generación de Datos ____________ ____
    ______________
  • 2. Entrada de datos ____________
    ____ ______________
  • 3. Procesamiento ____________ ____
    ______________
  • 4. Acceso a la BD ____________
    ____ ______________
  • 5. Acceso al Software ____________ ____
    ______________
  • 6. Uso de Salidas ____________
    ____ ______________

37
Qué Produce el Software de AUDAP?
  • Identificar y clasificar la importancia de los
    Riesgos Potenciales.
  • Identificación y Valoracion de los riesgos
    potenciales tipicos que podrían presentarse en el
    proceso de negocio o sistema de informacion
    sujeto a auditoria.

38
Modelo de Riesgos Tipicos
  • Audirisk, considera 8 categorias de riesgos
    típicos
  • Pérdidas por Sanciones Legales.
  • Pérdidas por Errores en el Cálculo de Ingresos.
  • Pérdidas por Errores en el cálculo de Egresos.
  • Pérdida de Reputación o de Credibilidad Pública.
  • Pérdida de Ventaja Competitiva.
  • Pérdidas por Daño o Destrucción de Activos.
  • Pérdidas por Fraude ó Hurto.
  • Pérdidas por Decisiones Erróneas.

39
PARA QUE Y COMO UTILIZAR LA VALORACION DE RIESGOS
EN AUDITORIA
  • Identificar y clasificar la importancia de los
    Riesgos Potenciales.
  • Método Delphy clasificación de los riesgos por
    votación de expertos.
  • Constituir equipo de expertos.
  • Comparar importancia por parejas de riesgos
    aplicables.
  • Sumar votaciones y obtener puntajes.
  • Aplicar Principio de Pareto.
  • Clasificar riesgos de mayor o menor puntaje.

40
VALORACION DE RIESGOS POTENCIALES
METODO DELPHY
4
5
6
41
PARA QUE Y COMO UTILIZAR LA VALORACION DE RIESGOS
EN AUDITORIA
  • Identificar y clasificar la importancia de los
    Riesgos Potenciales.
  • Método de Scoring o clasificación de los
    riesgos potenciales por el sistema de puntajes.
  • Elaborar un cuestionario para cada Riesgo
    Potencial
  • Definir Factores de Exposición al Riesgo
  • Definir Criterios para valorar cada factorde
    Exposición
  • Contestar cuestionario y obtener puntaje
  • Aplicar Principio de Pareto
  • Clasificar riesgo dentro de estratos de Pareto.

42
RESUMEN VALORACION DE RIESGOS POTENCIALES
  • PROCESO DE NEGOCIO___________________________
  • RIESGOS PUNTAJE CALIFICACION
  • 1. Sanciones legales ____________ ____
    ______________
  • 2. Pérdida de Ingresos ____________ ____
    ______________
  • 3. Exceso de pagos ____________ ____
    ______________
  • 4. Pérdida de Reputacion y
  • credibilidad pública ____________ ____
    ______________
  • 5. Desventaja ante la
  • competencia. ____________ ____
    ______________
  • 6. Daño/Destrucción ____________ ____
    ______________
  • 7. Decisiones Erróneas ____________ ____
    ______________
  • 8. Fraude/Hurto ____________ ____
    _____________

43
Valoración de Riesgos Potenciales ()
Riesgos Potenciales Críticos
Riesgos Potenciales Típicos
1. Sanciones Legales 2. Pérdida de Ingresos 3.
Exceso Desembolsos 4. Hurto / Fraude 5.
Desventaja Competitiva 6. Decisiones Erróneas 7.
Daño o Destrucción de activos 8. Pérdida
Credibilidad
Valoración de Riesgos
Riesgo 1 Riesgo 2 Riesgo 3
  • Método Delphy
  • ó
  • Cuestionarios con Factores de Riesgo

() Para la organización, vista como un todo.
Por líneas de Negocio Por Grupos de
operaciones relacionadas. Por Operaciones
Individuales Por Centro de Procesamiento de
Datos.
44
Qué Produce el Software de AUDAP?
  • Identificar y clasificar Riesgos Potenciales.
  • Mapa de Riesgos para cada operación
    automatizada sujeto de auditoría.
  • Tres Matrices
  • Escenarios de Riesgo - dependencias.
  • Riesgos Criticos - Escenarios de Riesgo
  • Riesgos Críticos - Dependencias.
  • Objetivos de Control COBIT aplicables.

45
Mapa de Riesgos ()
Localizar Riesgos Críticos en Escenarios de
Riesgo y Dependencias
Escenarios
P1 P2 P3
Riesgos Potenciales Críticos
X
X
Riesgo 1 Riesgo 2 Riesgo 3
X
Localizar Riesgos Críticos en Escenarios d
Riesgo y Dependencias
Riesgo 1 Riesgo 2 Riesgo 3
X
X
X
Dependencias
D1 D2 D3
X
X
Riesgo 1 Riesgo 2 Riesgo 3
X
X
() Para la Empresa vista como un todo. Por
línea de Negocio Por Grupo de operaciones
relacionadas. Por Operación (Sistema)
X
X
46
Asociación Automática de Procesos con Arboles
Riesgo-Causas-Controles
Control 1
Causa 1
Control 2
Control 3
Riesgo 1
Causa 2
  • Asociar con Arboles de BC

Causa 3
Escenario 1
Arbol 2
Riesgo 2
47
Mapa de Riesgos
Identificar y Localizar Causas de Riesgos
Críticos ()
Escenarios
E1 E2 E3
Causas - Riesgos Críticos
  • Identificar y Localizar Causas de Riesgos
    Críticos
  • Seleccionar
  • Modificar
  • Adicionar

CR1,CR12
Riesgo 1 Riesgo 2 Riesgo 3
Causas - Riesgo 1 Causas - Riesgo 2 Causas -
Riesgo 3
Dependencias
D1 D2 D3
Riesgo 1 Riesgo 2 Riesgo 3
CR15,CR20
() CR Causas de Riesgo ó Factores de Riesgo.
48
Calificación del Riesgo Potencial por Causa de
Riesgo
Causa de Riesgo
P
C
Costo de las pérdidas por ocurrencia
Probabilidad de ocurrencia
Riesgo P C Riesgo Valor de las pérdidas
generadas por causas de Riesgo o Amenazas
49
Calificación del Riesgo Potencial por Causa de
Riesgo
Probabilidad
Alta Media Baja
A
Alto Medio Bajo
Costo ()
Ejemplo Riesgo generado por la causa TERREMOTO
A Alto M Medio B Bajo
50
Qué Produce el Software de AUDAP ?
  • Evaluar Controles Existentes.
  • Guía Generalizada de Controles asociados con las
    causas de riesgos críticos de las operaciones
    objeto de auditoría.
  • Guía Resumida
  • Cuestionario de controles.
  • Identificación y documentación de los controles
    que actúan sobre las Causas de Riesgos críticos
    identificadas para el proceso sujeto a auditoría.

51
Evaluar Controles Existentes
Generar Cuestionario para identificar Controles
Existentes
Base de Conoc. de Controles
Cuestionarios de Control
Generar Cuestionarios de controles por
Dependencia y por Escenarios
1. Control x esta establecido? Puntaje ___ SI
___ NO ___ 2. Control y esta ostablecido? Puntaj
e ___ SI ___ NO ___
Dependencia 1 Dependencia 2
52
Identificación y Evaluación de Riesgos
  • Evaluar Controles Existentes
  • Evaluar protección que ofrecen los controles
    seleccionados, por cada causa de riesgo crítico.
    Para que sea Apropiada, valida que se satisfagan
    dos de los tres criterios exigidos
  • Se cumple mezcla de tres tipos de controles
    Preventivo, Detectivo y Correctivo ?.
  • Calificación Promedio por clase es superior a 3.5
    ?
  • Beneficios mayores que los costos ?.

53
Identificación y Evaluación de Riesgos
  • Identificar y evaluar Controles Existentes
  • y Riesgo Residual
  • Evaluar protección que ofrecen los controles
    seleccionados por cada objetivo de control COBIT,
    por escenario de riesgo y por dependencia que
    intervienen en el manejo del proceso de negocio o
    sistema sujeto a diseño de controles. Protección
    Apropiada Promedio por clase superior a 3.5?
  • Generar Hallazgos de auditoría para causas de
    riesgo con protección inapropiada.
  • Generar Diagnóstico de la Auditoría.

54
Evaluar los Controles Existentes
  • Definición de Control Interno
  • COBIT define control interno así
  • Las políticas, procedimientos, prácticas y
    estructuras organizacionales diseñadas para
    proporcionar razonable confianza de que los
    objetivos del negocio serán alcanzados y que los
    eventos indeseados serán prevenidos ó detectados
    y corregidos.
  • ISACA (Information Systems Audit and Control
    Association, 2.000).

55
Evaluar los Controles Existentes
  • Definiciones de Control.
  • Control es la acción que se ejerce sobre una
    causa de riesgo con el fin de reducir su
    probabilidad de ocurrencia o el impacto que puede
    generar su ocurrencia.
  • Control es la capacidad de ejercer restricciones
    o influencia directa sobre una situación o evento
    determinado.
  • Control es la acción que se ejerce para hacer
    que un evento ocurra conforme a un plan.

56
OBJETIVO DE LOS CONTROLES
Deficiencias de control
Insuficientes Inefectivos No cumplen
Control 1 Control 2 Control 3 Control 4
Prevenir
Causas del Riesgo
Detectar
Corregir
Errores Humanos Actos malintencionados
Pérdida de Activos Fraude Sanciones Legales
Riesgos
57
Relación entre Causas del Riesgo y Controles
  • Objetivo de los controles.
  • Los controles actúan sobre las causas del riesgo
    de tres maneras, mutuamente excluyentes
  • a) Como control Preventivo. Para evitar la
    ocurrencia de la causa del riesgo, ó
  • b) Como control Detectivo. Para detectar,
    registrar e informar la ocurrencia de la causa
    (actuar como alarma que se dispara cuando
    detecta la causa), ó
  • c) Como control Correctivo. Obligan a tomar
    acción correctiva para resolver el problema
    detectado por los controles detectivos.

58
ENFOQUE PREVENTIVO DE LAS TRES BARRERAS DE CONTROL

ORGANIZACIÓN
BARRERA PREVENTIVA
BARRERA CORRECTI-VA
BARRERA DETECTIVA
C1
INSTALA- CIONES
C2
CAUSAS DE RIESGO
C2
C3
C3
C3
PERSONAS
DATOS
HW - SW
FEEDBACK
FINANCIEROS
59
Etapa 5 Evaluación del Control Interno Existente
  • Que produce AUDAP ?
  • Identificación y documentación de los controles
    existentes que actúan sobre cada causa de riesgo
    crítico (Base de conocimientos con la realidad de
    la empresa).
  • Hojas - Resumen de evaluación de los controles
    existentes, por cada Escenario de Riesgo,
    dependencia y objetivo de control .

60
EVALUACION DE
CONTROLES SELECCIONADOSESCENARIO (PROCESO)
___________________________RIESGOS CRITICOS
___________________________
61
FORMULARIOS EVALUACION DE CONTROLES POR PROCESO
LISTA DE CAUSAS DE RIESGOS CRITICOS
LISTA DE CONTROLES ESTABLECIDOS
  • EVALUACION DE CONTROLES ESTABLECIDOS
  • ESCENARIO DE RIESGO__________________

CONTROLES EXISTENTES No.
NIVEL DE PROTECCION ()
OBSERVACIONES
CAUSAS DE RIESGO No.
1
5, 7, 11
A
2
1, 3
I
3
I
-
OPINION DEL AUDITOR ______________________________
_____________________ ____________________________
________________________________________________
Elaborado por_____________
FECHA___/___/___
AApropiado. Los controles utilizados son
apropiados porque provienen o, detectan o
corrigen la causa de riesgo. I Inapropiado.
Los controles son insuficientes o no existen
controles sobre la causa de riesgo.
62
Evaluación de Controles Existentes
Identificar y Localizar Controles Necesarios ()
Escenarios
E1 E2 E3
Guía Controles
C1,C3C2
Riesgo 1 Riesgo 2 Riesgo 3
  • Identificar y Localizar Controles Existentes
  • Seleccionar
  • Modificar
  • Adicionar

C2 C5
Causas - Riesgo 1 Causas - Riesgo 2 Causas -
Riesgo 3
C30
C17
Dependencias
D1 D2 D3
C1, C3
Riesgo 1 Riesgo 2 Riesgo 3
C17 C2
C15
() Por cada Causa de Riesgo Crítico C
Control
63
Evaluación de Controles Existentes
Evaluar Protección Existente para Riesgos Críticos
CR1 CR2 CR3
A
Riesgo 1 Riesgo 2 Riesgo 3
Controles Existentes
A
I
Controles - Causas Riesgo 1 Controles Causas
Riesgo 2 Controles Causas Riesgo 3
Evaluar Protección Existente ()
E1 E2 E3
A
I
Riesgo 1 Riesgo 2 Riesgo 3
D1 D2 D3
I
Riesgo 1 Riesgo 2 Riesgo 3
A
A
A
() A Apropiada I Inapropiada
Acciones de la Administración
64
Qué Produce el Software de AUDAP ?
  • Pruebas de Auditoria / Cumplimiento.
  • Lista de Comprobación de Controles (Checklist)
    por escenarios de riesgo y dependencias,
  • Evaluación de Protección Existente (PE) y del
    riesgo residual (RR) por escenario de riesgo,
    dependencia y Objetivo de Control.

65
Pruebas de Cumplimiento
Generar Checklist de Controles
Controles Claves Establecidos
Checklists de Controles
Generar Checklist de controles por Dependencia y
por proceso
1. Control x esta operando? Puntaje ___ SI ___
NO ___ 2. Control y esta operando? Puntaje ___
SI ___ NO ___
Dependencia 1 Dependencia 2
66
Qué Produce el Software de AUDAP ?
  • Pruebas de Auditoria.
  • Diseño de Pruebas de Cumplimiento y Sustantivas
    por Escenario y Técnica de comprobacion.
  • Hallazgos de Auditoría.
  • Resumen - Resultados de las Pruebas efectuadas.

67
Resultados Pruebas de Cumplimiento
Medir y Monitorear Protección Existente y Riesgo
Residual
D1 D2 D3
Protección Existente
40
70
30
Controles Establecidos
Riesgo 1 Riesgo 2 Riesgo 3
Medir y Monitorear Riesgo Residual
Respuestas - Checklists
D1 D2 D3
70
30
60
Riesgo 1 Riesgo 2 Riesgo 3
Riesgo Residual()
() Alerta Roja, si Riesgo Residual mayor al
20
Acciones de la Administración ()
68
Qué Produce el Software de AUDAP ?
  • Resultados para el Informe de la Auditoria.
  • Lista de Hallazgos y recomendaciones de
    evaluación de control interno, pruebas de
    cumplimiento y pruebas sustantivas.
  • Evaluación del Grado de Satisfacción de los 7
    Criterios de Calidad de la información de
    Negocios producida por el proceso de negocios o
    sistema auditado.

69
Qué Produce el Software de AUDAP ?
  • Seguimiento a Recomendaciones de Auditoria
  • Plan de Seguimiento a Recomendaciones de la
    Auditoría.
  • Resultados del Seguimiento.

70
Qué Produce el Software de AUDAP ?
  • Bases de Datos Trabajo Bases de conocimientos
    con los resultados de la auditoria realizada,
    personalizadas con circunstancias particulares de
    las empresas y de las operaciones o sistemas
    de información auditadas.
  • Papeles de Trabajo en medios magneticos (Bases de
    Trabajo). Punto de partida para la siguiente
    auditoria.

71
Bases de Conocimientos de Trabajo
Con Resultados de un Estudio Realizado
BC Trabajo
  • Con Elementos
  • Seleccionados
  • Adicionados
  • Modificados

Operación 1
BC con Resultados del Estudio
Otros Productos
  • Mapas de Riesgos
  • Guías de Control personalizadas
  • Evaluación de Controles Existentes.
  • Diseño de Pruebas de Cumplimiento y Sustantivas.
  • Hlallazgos de Auditoría
  • Informe de la Auditoría

72
  • Usuarios de AUDAP en Colombia y el Exterior
  • En Colombia.
  • Ministerio de Hacienda.
  • Universidad Santo Tomás de Bucaramanga
  • Universidad Católica de Colombia.
  • Compensar -Caja de Compensación Familiar
  • Cedenar Centrales Electricas de Nariño.
  • Universidad Jorge Tadeo Lozano.
  • Universidad EAFIT.

73
  • Usuarios de AUDAP en Colombia y el Exterior
    (cont.)
  • En el Exterior.
  • Banco Central del Ecuador.
  • Banco Centroamericano de Integración Económica
    (BCIE) - Honduras.
  • Cervecería de Costa Rica
  • Instituto Nacional de Seguros (Costa Rica)
  • Auditoría General de Bancos (Costa Rica)
  • Banco Nacional de Costa Rica
  • Cía. Nal. de Fuerza y Luz (Costa Rica)
About PowerShow.com