AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones...

AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.

1

AUDISIS LTDA.AUDITORES - CONSULTORES

Especialistas en Controles, Seguridad y Auditoría de Sistemas de Información

AUDAP:Metodología Asistida por Computador para

auditoría orientada al riesgo en operaciones automatizadas


2

La Metodología AUDAP

¿Qué es Audap ?

Es la metodología asistida por computador, desarrollada por AUDISIS para conducir

auditorías orientadas al riesgo en operaciones automatizadas


3


Desarrolla auditorías integrales de la Seguridad de la información y el Control Interno:

• Controles Automatizados - Implementados y ejecutados en el software aplicativo y del sistema.

• Controles No Automatizados. Implementados en los procedimientos ejecutados por personas en las áreas de operación del negocio o servicio.


4


Evalúa y verifica la satisfacción de 7 criterios de calidad en la información de negocios:

• Efectividad.• Eficiencia.• Confidencialidad.• Integridad.• Disponibilidad.• Cumplimiento con leyes y regulaciones.• Confiabilidad.


5


• Utiliza el enfoque de reingeniería de procesos de negocios. Ejecuta auditorías transversalmente por “escenarios de riesgo”, en lugar de hacerlo verticalmente por dependencias.

• Suministra bases de conocimientos con “best practices” sobre riesgos, causas de riesgo, controles, objetivos de control y cuestionarios.

• Aplica el enfoque de auditoría orientada al riesgo.


6


• Enfatiza en los Riesgos Potenciales “Críticos”, en lugar de dar la misma importancia a todos los riesgos.

• Califica la protección existente y el riesgo residual, en formas numérica y cualitativa.

• Genera papeles de trabajo en medios magnéticos.


7

Estándares que utiliza AUDAP

• Las auditorías con AUDAP se desarrollan de acuerdo con normas de auditoría generalmente aceptadas, principalmente las promulgadas por ISACA para la auditoría de Sistemas y el IIA para el uso de la valoración de riesgos en auditoría.

• Como marco de referencia para las evaluaciones se utilizan entre otros los siguientes estándares:– COBIT (Control Objectives for information and related technology,

ISACA, 2002).

– SAC (Systems Auditability and Control. IIA, 1992).

– BSI 17799, ISO 9126, ISO 12207 y Orange Book.

– Normas de Auditoría de Aceptación General.


8

Productos que recibe el Cliente de AUDAP

Manual - Libro de la metodología Software ejecutable (CD) Ayudas en Linea - Manual del usuario del software Bases de datos de conocimientos estándar Licencia de uso por tiempo indefinido. Una Llave de control de acceso fisico - Hardware Key.


9

¿A quienes está dirigida la Metodología ¿A quienes está dirigida la Metodología AUDAP ?AUDAP ?

¿A quienes está dirigida la Metodología ¿A quienes está dirigida la Metodología AUDAP ?AUDAP ?

Auditores de Sistemas.Auditores Operativos.Auditores Financieros.Auditorías Integradas.Revisores Fiscales.

Auditores de Sistemas.Auditores Operativos.Auditores Financieros.Auditorías Integradas.Revisores Fiscales.


10

Auditoría Orientada al Riesgo

Riesgo Potencial (Inherente): Riesgo asociado con la naturaleza de los procesos u operaciones. En su estimación no se tienen en cuenta los controles establecidos.

Punto de partida de la Auditoría: Verificar que la empresa está protegida contra los riesgos potenciales críticos que podrían presentarse.

Riesgo Residual: Riesgo no cubierto por los controles establecidos.Punto de llegada de la Auditoría: Determinar si el riesgo residual asumido es aceptable.


11

METODOLOGIA DE AUDITORIA - AREAS AUTOMATIZADASINICIO

Planeacion

Determinarcomplejidady recursos

Comprension /Familiarización

Archivo permanente

Identificar y EvaluarRiesgos Potenciales

Riesgos inhere-ntes al negocio

Definir alcancede auditoría

Localizar losriesgos críticos

Evaluar Eestruc-tura del control

interno

Identificar fortalezas y debilidades de Control

Diseñar y planear pruebas de Auditoría

Informe de accionesde emergencia

Informe detallado

Altagerencia

Sistemas yusuarios

10

10

Pruebas manuales

Pruebas asistidaspor computador

CAATs

Ejecuta Pruebas de cumplimiento

y Sustantivas

Soportes o evidenciasde pruebas

Evaluación de resultadosde las Pruebas

Análisis de impacto de Hallazgos de

Auditoría s

Elaborar informede la Auditoría

Alta Gerencia

Informe Ejecutivo

Usuarios ySistemas

Informe detallado

2

5

Seguimieiento a Recomendaciones

1

2

3

4

5

6

8

9

10


12

Etapas de la Metodología AUDAP

1. Planeación - Preauditoría.

2. Comprensión del Proceso e Negocio (Relevamiento)

3. Identificación y Evaluación de Riesgos Críticos

4. Definición del alcance de la auditoría

5. Evaluación del Controles Existentes.

6. Definición y Diseño de Pruebas de Auditoría

7. Ejecución de Pruebas de Auditoría.

8. Análisis de los Resultados de las Pruebas

9. Elaboración de informe con los resultados de la Auditoría.

10. Seguimiento


13

Qué es una operación automatizada ?.Es el conjunto de procedimientos manuales y automatizados que

se utilizan para manejar en forma estandarizada, los datos y la

información de uno o más negocios (servicios) de la empresa

con ayuda de recursos de Tecnología de Información (software,

hardware, instalaciones, telecomunicaciones, etc.)

Generalmente se apoyan en una o más aplicaciones de

Computador o Sistemas de Información Automatizado (SIA).

Metodología AUDAP


14

Qué es Aplicación de computador ?.

Es un grupo integrado de programas de computador

diseñados para realizar una función particular que tiene

actividades de entrada de datos, procesamiento y

salida de información (ISACA).

ISACA: Information Systems Audit and Control Association.

Metodología AUDAP


15

Ejemplos de Operaciones Automatizadas.

• Sistema Integrado de Información Financiera

• Sistema de Recursos Humanos

• Sistema de Cartera

• Sistema de Tarjeta de Crédito.

Software de Categoría Mundial

• SAP /R3

• People SOFT

Metodología AUDAP


16

Bases de Conocimientos de AUDAP

1. Bases Estándar : Suministradas por AUDISIS - Best Practices.

2. Bases de la Empresa : Creadas y personalizadas con AUDAP

A partir de Bases Estándar

A partir de Bases de Empresas Similares

3. Bases de Trabajo: Contienen Resultados de estudios realizados con AUDAP.

A partir de Bases Estándares

A partir de Bases de Empresa

A partir de Bases de Trabajo con Resultados Estudio Anterior


17

Suministradas por AUDISIS

Bases de Conocimiento Estándar

AUDAP

Bases de Conocimientos Estándar

* Riesgos Potenciales

* Causas de Riesgo

* Controles

* Procesos : COBIT y Audisis

* Objetivos de Control COBIT

* Cuestionarios de Riesgo

* Cuestionario de Diagnóstico Preliminar

Best Practices sobre

* Riesgos - Causas de Riesgo

* Causas de Riesgo - Controles

* Procesos - Objetivos de Control COBIT

Relaciones entre


18

Personalizadas con AUDAP

Bases de Conocimiento Estándar

Copiar y Personalizar

Adiciones

Modificaciones

Retiros

Creación de Bases de Conocimientos de la Empresa

Bases de Conocimiento de la Empresa


19

Personalizadas para cada operación

Bases de Conocimientos de la Empresa

Creación de Bases de Conocimientos de Trabajo

BC Master

Copiar y crear bases para Operaciones Individuales

Bases de Conocimientos de Trabajo Inicial

Operación 1

BC de Trabajo Inicial

Operación 2

Operación n



20


Seleccionar elementos aplicables

Adiciones

Modificaciones

Bases de Conocimientos de Trabajo

Operación 1

BC con Resultados

de la Auditoria

Operación 1

Con los Resultados de Auditorias Realizadas con AUDAP

Realizar auditoría con AUDAP


21

BC con Resultados de la Auditoria

Operación 1

Con Elementos :

Seleccionados

Adicionados

Modificados

BC Trabajo

Otros Productos Mapas de Riesgos

Guías de Control personazlizadas

Evaluación de Controles Existentes.

Diseño de Pruebas de Cumplimiento y Sustantivas.

Hlallazgos de Auditoría

Informe de la Auditoría

Bases de Conocimientos de TrabajoResultados de Auditorias Realizadas con

AUDAP


22

COBIT

AUDISIS

Empresa

Seleccionar

Adicionar

Crear Escenarios de Empresa

Auditorias Orientadas al Riesgo por Escenario de Riesgo

BC Escenarios BC Trabajo

Escenario 1

Escenario 2

Escenario n


23

Metodología AUDAP

Escenarios de Riesgo en las Operaciones de Negocio Automatizadas.Son las partes en que se divide el ciclo de vida de los datos en las operaciones automatizadas, desde las fuentes de los datos hasta los destinatarios de la información producida por las aplicaciones o sistemas de información automatizados (SIAs).

También se denominan Procesos sujetos a Control ó Areas de Exposición.

.


24

Escenarios de Riesgo en las Operaciones Automatizadas

Tres Alternativas de Escenarios de Riesgo.Una operación automatizada puede descomponerse en: 14 Escenarios de Riesgos del Ciclo de vida de los datos en

las operaciones automatizadas (procesos AUDISIS). 11 Procesos COBIT aplicables a las operaciones que se

apoyan en Tecnología de Información. Escenarios de Riesgo particulares de cada Operación.


25


14 Escenarios de Riesgo del Ciclo de Vida de los Datos

1. Generación y Registro de transacciones.

2. Grabación y validación de datos.

3. Actualización de archivos.

4. Generación de Salidas del proceso de Actualización.

5. Seguridad lógica del software de la aplicación.

6. Seguridad lógica de los archivos de computador.

7. Cambios al software de la Aplicación.

8. Procedimientos de Backup y Recuperación.


26


14 Escenarios de Riesgo del Ciclo de Vida de los Datos (Cont.)

9. Terminales y Comunicación de datos

10. Documentación del sistema de Información

11. Utilización y control de resultados por los usuarios.

Para Sistemas de Base de Datos.

13. El sistema de Directorio/Diccionario de datos (SD/DD)

14. La función del administrador de la Base de Datos.


27

¿Qué Significa COBIT?Control Objectives for Information and Related Technology

C ControlOB OBjectivesI for InformationT and Related Technology

Objetivos de Control para Informacióny Tecnología Relacionada


28

Control Objectives for Information and Related Technology

RECURSOS TI

INFORMACIÓN

PROCESOS DEL NEGOCIO

Criterios:* Efectividad* Eficiencia* Confidencialidad* Integridad* Disponibilidad* Cumplimiento* Confiabilidad

* Datos* Aplicaciones* Tecnología* Instalaciones* Gente

? Concuerdan

Lo que usted obtieneLo que usted necesita

COBIT


29

Control Objectives for Information and Related Technology

Definición de los DominiosPlaneación y Organización

Adquisición eImplementación

Prestación del Servicio y Soporte

Monitoreo

1

2

3

4

COBIT


30


11 Procesos COBIT aplicables.Dominio: Prestación de Servicios & Soporte.1. Definir Niveles de Servicio (DS-01).

2. Administrar servicios de Terceras Partes (DS-02).

3. Asegurar el Servicio Continuo (DS-04).

4. Garantizar la Seguridad del Sistema (DS-05).

5. Identificar y Asignar Costos (DS-06).

6. Educar y Entrenar a los usuarios (DS-07)


31


11 Procesos COBIT aplicables (Cont).Dominio Prestación de Servicios y Soporte.

7. Asistir y Aconsejar a los Clientes de TI (DS-08).

8. Administración de Problemas e Incidentes (DS-10).

9. Administración de Datos (DS-11).

10. Administración de las Operaciones (DS-12).

Dominio Adquisición & Implantación.

11. Administración de Cambios (AI-01).


32


Escenarios de Riesgo Particulares de cada Operación.

Ejemplo: Nómina de Empleados.Generación de Novedades.Liquidación Horas Extras.Liquidación valor a pagar.Liquidación y pago de Aportes Fiscales.Liquidación y pago Aportes Parafiscales.Aumentos de Sueldos.Pago de Prestaciones Sociales.


33

¿ Qué Produce el Software de AUDAP?

Planeación de la Auditoría.

Diagnóstico sobre el riesgo potencial y las necesidades de seguridad de la operación automatizada objeto de la auditoría.

Cronogramas por etapa y auditor.Costos de personal asignado a la

auditoría.


34

Planeación de la Auditoría

Utilización del Principio de Pareto.

Asignar los recursos de auditoría a los escenarios de riesgo de mayor criticidad, de acuerdo con puntajes obtenidos

0 - 20% Criticidad Baja.20 - 40% Criticidad Media Baja.40 - 60% Criticidad Media.60 - 80% Criticidad Media Alta.80 - 100% Criticidad Alta.Elaborar Plan para auditar escenarios más críticos


35

Planeación de la Auditoría

Ejemplo de aplicación Principio de Pareto.

Puntaje Máximo Posible del Cuestionario: 270Intervalo para estratos : 270/5 = 54Estratos de Pareto.

0 - 20% 0 - 54 Criticidad Baja.20 - 40% 54 - 128 Criticidad Media Baja.40 - 60% 128 - 162. Criticidad Media.60 - 80% 162 - 216 Criticidad Media Alta.80 - 100% 216 - 270 Criticidad Alta.


36

PRIORIZACIÓN DE ESCENARIOS DE RIESGO SEGÚN SU EXPOSICION A

RIESGOS POTENCIALES

EMPRESA:___________________________

ESCENARIOS PUNTAJE % CLASIFICACION

1. Generación de Datos ____________ ____ ______________

2. Entrada de datos ____________ ____ ______________

3. Procesamiento ____________ ____ ______________

4. Acceso a la BD ____________ ____ ______________

5. Acceso al Software ____________ ____ ______________

6. Uso de Salidas ____________ ____ ______________


37


Identificar y clasificar la importancia de los Riesgos Potenciales.

Identificación y Valoracion de los riesgos potenciales tipicos que podrían presentarse en el proceso de negocio o sistema de informacion sujeto a auditoria.


38

Modelo de Riesgos Tipicos

Audirisk, considera 8 categorias de riesgos típicos:

Pérdidas por Sanciones Legales. Pérdidas por Errores en el Cálculo de Ingresos. Pérdidas por Errores en el cálculo de Egresos. Pérdida de Reputación o de Credibilidad Pública. Pérdida de Ventaja Competitiva. Pérdidas por Daño o Destrucción de Activos. Pérdidas por Fraude ó Hurto. Pérdidas por Decisiones Erróneas.


39

PARA QUE Y COMO UTILIZAR LA VALORACION DE RIESGOS EN

AUDITORIA

Identificar y clasificar la importancia de los Riesgos Potenciales.

Método Delphy: clasificación de los riesgos por votación de expertos.

Constituir equipo de expertos. Comparar importancia por parejas de

riesgos aplicables. Sumar votaciones y obtener puntajes. Aplicar Principio de Pareto. Clasificar riesgos de mayor o menor puntaje.


40

VALORACION DE RIESGOS POTENCIALES METODO DELPHY

2

3

7

8

9

10

R

1

2

3

4

5

6

7

8

9

10

4

5

6


41

PARA QUE Y COMO UTILIZAR LA VALORACION DE RIESGOS EN

AUDITORIAIdentificar y clasificar la importancia de los Riesgos Potenciales.

Método de Scoring o clasificación de los riesgos potenciales por el sistema de puntajes.

Elaborar un cuestionario para cada Riesgo Potencial Definir Factores de Exposición al Riesgo Definir Criterios para valorar cada factorde Exposición Contestar cuestionario y obtener puntaje Aplicar Principio de Pareto Clasificar riesgo dentro de estratos de Pareto.


42

RESUMEN VALORACION DE RIESGOS POTENCIALES

PROCESO DE NEGOCIO:___________________________

RIESGOS PUNTAJE % CALIFICACION

1. Sanciones legales ____________ ____ ______________

2. Pérdida de Ingresos ____________ ____ ______________

3. Exceso de pagos ____________ ____ ______________

4. Pérdida de Reputacion y

credibilidad pública ____________ ____ ______________

5. Desventaja ante la

competencia. ____________ ____ ______________

6. Daño/Destrucción ____________ ____ ______________

7. Decisiones Erróneas ____________ ____ ______________

8. Fraude/Hurto ____________ ____ _____________


43

Valoración de Riesgos Potenciales (*)

Riesgos Potenciales Típicos

1. Sanciones Legales

2. Pérdida de Ingresos

3. Exceso Desembolsos

4. Hurto / Fraude

5. Desventaja Competitiva

6. Decisiones Erróneas

7. Daño o Destrucción de activos

8. Pérdida Credibilidad

Riesgo 1

Riesgo 2

Riesgo 3

Riesgos Potenciales Críticos

(*) Para la organización, vista como un todo.

Por líneas de Negocio

Por Grupos de operaciones relacionadas.

Por Operaciones Individuales

Por Centro de Procesamiento de Datos.

Valoración de RiesgosValoración de Riesgos

Método Delphy

ó

Cuestionarios con Factores de Riesgo


44


Identificar y clasificar Riesgos Potenciales.

Mapa de Riesgos para cada operación automatizada sujeto de auditoría.Tres Matrices: Escenarios de Riesgo - dependencias.Riesgos Criticos - Escenarios de RiesgoRiesgos Críticos - Dependencias.

Objetivos de Control COBIT aplicables.


45

Mapa de Riesgos (*)Localizar Riesgos Críticos en Escenarios de

Riesgo y Dependencias

Riesgo 1

Riesgo 2

Riesgo 3

Riesgos Potenciales

CríticosLocalizar Riesgos

Críticos en Escenarios d

Riesgo y Dependencias

(*) Para la Empresa vista como un todo.

Por línea de Negocio

Por Grupo de operaciones relacionadas.

Por Operación (Sistema)

X

X

X

XXX

X

X X

X X

X

Escenarios

P1 P2 P3

Dependencias

D1 D2 D3

Riesgo 1

Riesgo 2

Riesgo 3

Riesgo 1

Riesgo 2

Riesgo 3


46

Asociar con Arboles de BC

Asociación Automática de Procesos con Arboles Asociación Automática de Procesos con Arboles “Riesgo-Causas-Controles”“Riesgo-Causas-Controles”

Escenario 1

Riesgo 1

Riesgo 2

Causa 2

Causa 1

Causa 3

Control 1

Control 2

Control 3

Arbol 2


47

Mapa de RiesgosIdentificar y Localizar Causas de Riesgos Críticos (*)

Causas - Riesgo 1

Causas - Riesgo 2

Causas - Riesgo 3

Causas - Riesgos Críticos

Identificar y Localizar Causas de Riesgos Críticos

Seleccionar

Modificar

Adicionar

(*) CR : Causas de Riesgo ó Factores de Riesgo.

Escenarios

E1 E2 E3

Dependencias

D1 D2 D3

Riesgo 1

Riesgo 2

Riesgo 3

Riesgo 1

Riesgo 2

Riesgo 3

CR1,CR12

CR15,CR20


48

Calificación del Riesgo Potencial por Causa de Riesgo

Riesgo : P * C

Riesgo : Valor de las pérdidas generadas por causas de Riesgo o Amenazas

P C

Causa de Riesgo

Probabilidad de ocurrencia

Costo de las pérdidas por ocurrencia


49

Calificación del Riesgo Potencial por Causa de Riesgo

Ejemplo : Riesgo generado por la causa TERREMOTO

A : Alto

M : Medio

B : Bajo

A

Probabilidad Alta Media Baja

Alto

Medio

Bajo

Costo

($)


50

¿ Qué Produce el Software de AUDAP ?

Evaluar Controles Existentes. Guía Generalizada de Controles asociados

con las causas de riesgos críticos de las operaciones objeto de auditoría.Guía ResumidaCuestionario de controles.

Identificación y documentación de los controles que actúan sobre las Causas de Riesgos críticos identificadas para el proceso sujeto a auditoría.


51

Generar Cuestionario para identificar Controles Existentes

Dependencia 1

Dependencia 2

Base de Conoc.

de ControlesGenerar Cuestionarios de controles por Dependencia y por Escenarios

Evaluar Controles Existentes

Cuestionarios de ControlCuestionarios de Control

1. Control “x” esta establecido?

Puntaje ___ SI ___ NO ___

2. Control “y” esta ostablecido?



52

Evaluar Controles Existentes

Evaluar protección que ofrecen los controles seleccionados, por cada causa de riesgo crítico. Para que sea Apropiada, valida que se satisfagan dos de los tres criterios exigidos:

Se cumple mezcla de tres tipos de controles: Preventivo, Detectivo y Correctivo ?.

Calificación Promedio por clase es superior a 3.5 ? Beneficios mayores que los costos ?.

Identificación y Evaluación de Riesgos


53

Identificar y evaluar Controles Existentesy Riesgo Residual

Evaluar protección que ofrecen los controles seleccionados por cada objetivo de control COBIT, por escenario de riesgo y por dependencia que intervienen en el manejo del proceso de negocio o sistema sujeto a diseño de controles.Protección Apropiada: Promedio por clase superior a 3.5?

Generar Hallazgos de auditoría para causas de riesgo con protección inapropiada.

Generar Diagnóstico de la Auditoría.

Identificación y Evaluación de Riesgos


54

Evaluar los Controles ExistentesDefinición de Control Interno

COBIT define control interno así:

“Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar razonable confianza de que los objetivos del negocio serán alcanzados y que los eventos indeseados serán prevenidos ó detectados y corregidos”.ISACA (Information Systems Audit and Control Association, 2.000).


55

Evaluar los Controles Existentes

Definiciones de Control. “Control es la acción que se ejerce sobre una causa de riesgo

con el fin de reducir su probabilidad de ocurrencia o el impacto que puede generar su ocurrencia”.

“Control es la capacidad de ejercer restricciones o influencia directa sobre una situación o evento determinado”.

“Control es la acción que se ejerce para hacer que un evento ocurra conforme a un plan”.


56

OBJETIVO DE LOS CONTROLES

Deficiencias de control

Causas del

Riesgo

Control 1

Control 2

Control 3

Control 4

Riesgos

Pérdida de ActivosFraudeSanciones Legales

Prevenir

DetectarCorregir

InsuficientesInefectivosNo cumplen

Errores HumanosActos malintencionados


57

Relación entre Causas del Riesgo y Controles

Objetivo de los controles.Los controles actúan sobre las causas del riesgo de tres maneras, mutuamente excluyentes:

a) Como control Preventivo. Para evitar la ocurrencia de la causa del riesgo, ó

b) Como control Detectivo. Para detectar, registrar e informar la ocurrencia de la causa (actuar como alarma que se dispara cuando detecta la causa), ó

c) Como control Correctivo. Obligan a tomar acción correctiva para resolver el problema detectado por los controles detectivos.


58

ENFOQUE PREVENTIVO DE LAS TRES BARRERAS DE CONTROL

CAUSAS

DE

RIESGOBARRERA

DETECTIVA

C1

C2

C3

BARRERA

PREVENTIVA

BARRERA

CORRECTI-VA

ORGANIZACIÓN

INSTALA-

CIONESC2

C3

C3

PERSONAS

HW - SW

FINANCIEROS

DATOS

FEEDBACK


59

Etapa 5: Evaluación del Control Interno Existente

Que produce AUDAP ?• Identificación y documentación de los controles

existentes que actúan sobre cada causa de riesgo crítico (Base de conocimientos con la realidad de la empresa).

• Hojas - Resumen de evaluación de los controles existentes, por cada Escenario de Riesgo, dependencia y objetivo de control .


60

EVALUACION DE CONTROLES SELECCIONADOS

ESCENARIO (PROCESO): ___________________________

RIESGOS CRITICOS: ___________________________

CAUSAS DERIESGO

No.

CONTROLESEXISTENTES

M

NIVEL DEPROTECCION

(A)

OBSERVACIONES

OPINION DEL AUDITOR ____________________________________________________________________

________________________________________________________________________________________________________________________

ELABORADO POR ________________________________________ FECHA ______________________


61

FORMULARIOS EVALUACION DE CONTROLES POR PROCESO

• EVALUACION DE CONTROLES ESTABLECIDOS

• ESCENARIO DE RIESGO:__________________

LISTA DE CAUSAS DE RIESGOS CRITICOS

LISTA DE CONTROLES ESTABLECIDOS

CAUSAS DE RIESGO No.

CONTROLES EXISTENTES No.

NIVEL DE PROTECCION

(*)

OBSERVACIONES

1 5, 7, 11 A

2

3

1, 3 I

I-

OPINION DEL AUDITOR ___________________________________________________

____________________________________________________________________________

Elaborado por:_____________ FECHA:___/___/___

*A:Apropiado. Los controles utilizados son apropiados porque provienen o, detectan o corrigen la causa de riesgo.

I: Inapropiado. Los controles son insuficientes o no existen controles sobre la causa de riesgo.


62

Identificar y Localizar Controles Necesarios (*)

Causas - Riesgo 1

Causas - Riesgo 2

Causas - Riesgo 3

Guía ControlesIdentificar y Localizar Controles Existentes

Seleccionar

Modificar

Adicionar

Escenarios

E1 E2 E3

Dependencias

D1 D2 D3

Riesgo 1

Riesgo 2

Riesgo 3

Riesgo 1

Riesgo 2

Riesgo 3

C1,C3C2

Evaluación de Controles Existentes

C2 C5

C30C17

C1, C3

C17 C2

C15

(*) Por cada Causa de Riesgo Crítico

C: Control


63

Evaluar Protección Existente para Riesgos Críticos

Controles - Causas Riesgo 1

Controles Causas Riesgo 2

Controles Causas Riesgo 3

Controles Existentes

Evaluar Protección Existente (*)

CR1 CR2 CR3

Riesgo 1

Riesgo 2

Riesgo 3

Riesgo 1

Riesgo 2

Riesgo 3

Evaluación de Controles Existentes

D1 D2 D3

Riesgo 1

Riesgo 2

Riesgo 3

E1 E2 E3

A I

A

I

Acciones de la Administración

(*) A : Apropiada

I : Inapropiada

A

A

I

A

A


64


Pruebas de Auditoria / Cumplimiento. Lista de Comprobación de Controles

(Checklist) por escenarios de riesgo y dependencias,

Evaluación de Protección Existente (PE) y del riesgo residual (RR) por escenario de riesgo, dependencia y Objetivo de Control.


65

Generar Checklist de Controles

Dependencia 1

Dependencia 2

Controles Claves

EstablecidosGenerar Checklist de controles por Dependencia y por proceso

Pruebas de Cumplimiento

Checklists de ControlesChecklists de Controles

1. Control “x” esta operando?


2. Control “y” esta operando?



66


Pruebas de Auditoria.

Diseño de Pruebas de Cumplimiento y Sustantivas por Escenario y Técnica de comprobacion.

Hallazgos de Auditoría. Resumen - Resultados de las Pruebas

efectuadas.


67

Medir y Monitorear Protección Existente y Riesgo Residual

Respuestas - Checklists

Controles Establecidos

Medir y Monitorear Riesgo Residual

Protección Existente

D1 D2 D3

Riesgo Residual(*)

D1 D2 D3

Riesgo 1

Riesgo 2

Riesgo 3

Riesgo 1

Riesgo 2

Riesgo 3

Resultados Pruebas de Cumplimiento

(*) Alerta Roja, si Riesgo Residual mayor al 20%

70% 30% 60%

40%70%30%

Acciones de la Administración (*)


68


Resultados para el Informe de la Auditoria. Lista de Hallazgos y recomendaciones de

evaluación de control interno, pruebas de cumplimiento y pruebas sustantivas.

Evaluación del Grado de Satisfacción de los 7 Criterios de Calidad de la información de Negocios producida por el proceso de negocios o sistema auditado.


69


Seguimiento a Recomendaciones de Auditoria

Plan de Seguimiento a Recomendaciones de la Auditoría.

Resultados del Seguimiento.


70


Bases de Datos Trabajo: Bases de conocimientos con los resultados de la auditoria realizada, personalizadas con circunstancias particulares de las empresas y de las operaciones o sistemas de información auditadas.

Papeles de Trabajo en medios magneticos (Bases de Trabajo). Punto de partida para la siguiente auditoria.


71

BC con Resultados del Estudio

Operación 1

Con Elementos :

Seleccionados

Adicionados

Modificados

BC Trabajo

Otros Productos Mapas de Riesgos

Guías de Control personalizadas

Evaluación de Controles Existentes.

Diseño de Pruebas de Cumplimiento y Sustantivas.

Hlallazgos de Auditoría

Informe de la Auditoría

Bases de Conocimientos de TrabajoCon Resultados de un Estudio Realizado


72

Usuarios de AUDAP en Colombia y el Exterior

En Colombia. • Ministerio de Hacienda.• Universidad Santo Tomás de Bucaramanga• Universidad Católica de Colombia.• Compensar -Caja de Compensación Familiar • Cedenar : Centrales Electricas de Nariño.• Universidad Jorge Tadeo Lozano.• Universidad EAFIT.


73

Usuarios de AUDAP en Colombia y el Exterior (cont.)

En el Exterior.• Banco Central del Ecuador.• Banco Centroamericano de Integración

Económica (BCIE) - Honduras.• Cervecería de Costa Rica• Instituto Nacional de Seguros (Costa Rica)• Auditoría General de Bancos (Costa Rica)• Banco Nacional de Costa Rica• Cía. Nal. de Fuerza y Luz (Costa Rica)

AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones...

Documents

Transcript of AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones...