AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
1
AUDISIS LTDA.AUDITORES - CONSULTORES
Especialistas en Controles, Seguridad y Auditoría de Sistemas de Información
AUDAP:Metodología Asistida por Computador para
auditoría orientada al riesgo en operaciones automatizadas
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
2
La Metodología AUDAP
¿Qué es Audap ?
Es la metodología asistida por computador, desarrollada por AUDISIS para conducir
auditorías orientadas al riesgo en operaciones automatizadas
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
3
La Metodología AUDAP
Desarrolla auditorías integrales de la Seguridad de la información y el Control Interno:
• Controles Automatizados - Implementados y ejecutados en el software aplicativo y del sistema.
• Controles No Automatizados. Implementados en los procedimientos ejecutados por personas en las áreas de operación del negocio o servicio.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
4
La Metodología AUDAP
Evalúa y verifica la satisfacción de 7 criterios de calidad en la información de negocios:
• Efectividad.• Eficiencia.• Confidencialidad.• Integridad.• Disponibilidad.• Cumplimiento con leyes y regulaciones.• Confiabilidad.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
5
La Metodología AUDAP
• Utiliza el enfoque de reingeniería de procesos de negocios. Ejecuta auditorías transversalmente por “escenarios de riesgo”, en lugar de hacerlo verticalmente por dependencias.
• Suministra bases de conocimientos con “best practices” sobre riesgos, causas de riesgo, controles, objetivos de control y cuestionarios.
• Aplica el enfoque de auditoría orientada al riesgo.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
6
La Metodología AUDAP
• Enfatiza en los Riesgos Potenciales “Críticos”, en lugar de dar la misma importancia a todos los riesgos.
• Califica la protección existente y el riesgo residual, en formas numérica y cualitativa.
• Genera papeles de trabajo en medios magnéticos.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
7
Estándares que utiliza AUDAP
• Las auditorías con AUDAP se desarrollan de acuerdo con normas de auditoría generalmente aceptadas, principalmente las promulgadas por ISACA para la auditoría de Sistemas y el IIA para el uso de la valoración de riesgos en auditoría.
• Como marco de referencia para las evaluaciones se utilizan entre otros los siguientes estándares:– COBIT (Control Objectives for information and related technology,
ISACA, 2002).
– SAC (Systems Auditability and Control. IIA, 1992).
– BSI 17799, ISO 9126, ISO 12207 y Orange Book.
– Normas de Auditoría de Aceptación General.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
8
Productos que recibe el Cliente de AUDAP
Manual - Libro de la metodología Software ejecutable (CD) Ayudas en Linea - Manual del usuario del software Bases de datos de conocimientos estándar Licencia de uso por tiempo indefinido. Una Llave de control de acceso fisico - Hardware Key.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
9
¿A quienes está dirigida la Metodología ¿A quienes está dirigida la Metodología AUDAP ?AUDAP ?
¿A quienes está dirigida la Metodología ¿A quienes está dirigida la Metodología AUDAP ?AUDAP ?
Auditores de Sistemas.Auditores Operativos.Auditores Financieros.Auditorías Integradas.Revisores Fiscales.
Auditores de Sistemas.Auditores Operativos.Auditores Financieros.Auditorías Integradas.Revisores Fiscales.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
10
Auditoría Orientada al Riesgo
Riesgo Potencial (Inherente): Riesgo asociado con la naturaleza de los procesos u operaciones. En su estimación no se tienen en cuenta los controles establecidos.
Punto de partida de la Auditoría: Verificar que la empresa está protegida contra los riesgos potenciales críticos que podrían presentarse.
Riesgo Residual: Riesgo no cubierto por los controles establecidos.Punto de llegada de la Auditoría: Determinar si el riesgo residual asumido es aceptable.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
11
METODOLOGIA DE AUDITORIA - AREAS AUTOMATIZADASINICIO
Planeacion
Determinarcomplejidady recursos
Comprension /Familiarización
Archivo permanente
Identificar y EvaluarRiesgos Potenciales
Riesgos inhere-ntes al negocio
Definir alcancede auditoría
Localizar losriesgos críticos
Evaluar Eestruc-tura del control
interno
Identificar fortalezas y debilidades de Control
Diseñar y planear pruebas de Auditoría
Informe de accionesde emergencia
Informe detallado
Altagerencia
Sistemas yusuarios
10
10
Pruebas manuales
Pruebas asistidaspor computador
CAATs
Ejecuta Pruebas de cumplimiento
y Sustantivas
Soportes o evidenciasde pruebas
Evaluación de resultadosde las Pruebas
Análisis de impacto de Hallazgos de
Auditoría s
Elaborar informede la Auditoría
Alta Gerencia
Informe Ejecutivo
Usuarios ySistemas
Informe detallado
2
5
Seguimieiento a Recomendaciones
1
2
3
4
5
6
8
9
10
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
12
Etapas de la Metodología AUDAP
1. Planeación - Preauditoría.
2. Comprensión del Proceso e Negocio (Relevamiento)
3. Identificación y Evaluación de Riesgos Críticos
4. Definición del alcance de la auditoría
5. Evaluación del Controles Existentes.
6. Definición y Diseño de Pruebas de Auditoría
7. Ejecución de Pruebas de Auditoría.
8. Análisis de los Resultados de las Pruebas
9. Elaboración de informe con los resultados de la Auditoría.
10. Seguimiento
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
13
Qué es una operación automatizada ?.Es el conjunto de procedimientos manuales y automatizados que
se utilizan para manejar en forma estandarizada, los datos y la
información de uno o más negocios (servicios) de la empresa
con ayuda de recursos de Tecnología de Información (software,
hardware, instalaciones, telecomunicaciones, etc.)
Generalmente se apoyan en una o más aplicaciones de
Computador o Sistemas de Información Automatizado (SIA).
Metodología AUDAP
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
14
Qué es Aplicación de computador ?.
Es un grupo integrado de programas de computador
diseñados para realizar una función particular que tiene
actividades de entrada de datos, procesamiento y
salida de información (ISACA).
ISACA: Information Systems Audit and Control Association.
Metodología AUDAP
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
15
Ejemplos de Operaciones Automatizadas.
• Sistema Integrado de Información Financiera
• Sistema de Recursos Humanos
• Sistema de Cartera
• Sistema de Tarjeta de Crédito.
Software de Categoría Mundial
• SAP /R3
• People SOFT
Metodología AUDAP
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
16
Bases de Conocimientos de AUDAP
1. Bases Estándar : Suministradas por AUDISIS - Best Practices.
2. Bases de la Empresa : Creadas y personalizadas con AUDAP
A partir de Bases Estándar
A partir de Bases de Empresas Similares
3. Bases de Trabajo: Contienen Resultados de estudios realizados con AUDAP.
A partir de Bases Estándares
A partir de Bases de Empresa
A partir de Bases de Trabajo con Resultados Estudio Anterior
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
17
Suministradas por AUDISIS
Bases de Conocimiento Estándar
AUDAP
Bases de Conocimientos Estándar
* Riesgos Potenciales
* Causas de Riesgo
* Controles
* Procesos : COBIT y Audisis
* Objetivos de Control COBIT
* Cuestionarios de Riesgo
* Cuestionario de Diagnóstico Preliminar
Best Practices sobre
* Riesgos - Causas de Riesgo
* Causas de Riesgo - Controles
* Procesos - Objetivos de Control COBIT
Relaciones entre
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
18
Personalizadas con AUDAP
Bases de Conocimiento Estándar
Copiar y Personalizar
Adiciones
Modificaciones
Retiros
Creación de Bases de Conocimientos de la Empresa
Bases de Conocimiento de la Empresa
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
19
Personalizadas para cada operación
Bases de Conocimientos de la Empresa
Creación de Bases de Conocimientos de Trabajo
BC Master
Copiar y crear bases para Operaciones Individuales
Bases de Conocimientos de Trabajo Inicial
Operación 1
BC de Trabajo Inicial
Operación 2
Operación n
BC de Trabajo Inicial
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
20
BC de Trabajo Inicial
Seleccionar elementos aplicables
Adiciones
Modificaciones
Bases de Conocimientos de Trabajo
Operación 1
BC con Resultados
de la Auditoria
Operación 1
Con los Resultados de Auditorias Realizadas con AUDAP
Realizar auditoría con AUDAP
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
21
BC con Resultados de la Auditoria
Operación 1
Con Elementos :
Seleccionados
Adicionados
Modificados
BC Trabajo
Otros Productos Mapas de Riesgos
Guías de Control personazlizadas
Evaluación de Controles Existentes.
Diseño de Pruebas de Cumplimiento y Sustantivas.
Hlallazgos de Auditoría
Informe de la Auditoría
Bases de Conocimientos de TrabajoResultados de Auditorias Realizadas con
AUDAP
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
22
COBIT
AUDISIS
Empresa
Seleccionar
Adicionar
Crear Escenarios de Empresa
Auditorias Orientadas al Riesgo por Escenario de Riesgo
BC Escenarios BC Trabajo
Escenario 1
Escenario 2
Escenario n
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
23
Metodología AUDAP
Escenarios de Riesgo en las Operaciones de Negocio Automatizadas.Son las partes en que se divide el ciclo de vida de los datos en las operaciones automatizadas, desde las fuentes de los datos hasta los destinatarios de la información producida por las aplicaciones o sistemas de información automatizados (SIAs).
También se denominan Procesos sujetos a Control ó Areas de Exposición.
.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
24
Escenarios de Riesgo en las Operaciones Automatizadas
Tres Alternativas de Escenarios de Riesgo.Una operación automatizada puede descomponerse en: 14 Escenarios de Riesgos del Ciclo de vida de los datos en
las operaciones automatizadas (procesos AUDISIS). 11 Procesos COBIT aplicables a las operaciones que se
apoyan en Tecnología de Información. Escenarios de Riesgo particulares de cada Operación.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
25
Escenarios de Riesgo en las Operaciones Automatizadas
14 Escenarios de Riesgo del Ciclo de Vida de los Datos
1. Generación y Registro de transacciones.
2. Grabación y validación de datos.
3. Actualización de archivos.
4. Generación de Salidas del proceso de Actualización.
5. Seguridad lógica del software de la aplicación.
6. Seguridad lógica de los archivos de computador.
7. Cambios al software de la Aplicación.
8. Procedimientos de Backup y Recuperación.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
26
Escenarios de Riesgo en las Operaciones Automatizadas
14 Escenarios de Riesgo del Ciclo de Vida de los Datos (Cont.)
9. Terminales y Comunicación de datos
10. Documentación del sistema de Información
11. Utilización y control de resultados por los usuarios.
Para Sistemas de Base de Datos.
13. El sistema de Directorio/Diccionario de datos (SD/DD)
14. La función del administrador de la Base de Datos.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
27
¿Qué Significa COBIT?Control Objectives for Information and Related Technology
C ControlOB OBjectivesI for InformationT and Related Technology
Objetivos de Control para Informacióny Tecnología Relacionada
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
28
Control Objectives for Information and Related Technology
RECURSOS TI
INFORMACIÓN
PROCESOS DEL NEGOCIO
Criterios:* Efectividad* Eficiencia* Confidencialidad* Integridad* Disponibilidad* Cumplimiento* Confiabilidad
* Datos* Aplicaciones* Tecnología* Instalaciones* Gente
? Concuerdan
Lo que usted obtieneLo que usted necesita
COBIT
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
29
Control Objectives for Information and Related Technology
Definición de los DominiosPlaneación y Organización
Adquisición eImplementación
Prestación del Servicio y Soporte
Monitoreo
1
2
3
4
COBIT
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
30
Escenarios de Riesgo en las Operaciones Automatizadas
11 Procesos COBIT aplicables.Dominio: Prestación de Servicios & Soporte.1. Definir Niveles de Servicio (DS-01).
2. Administrar servicios de Terceras Partes (DS-02).
3. Asegurar el Servicio Continuo (DS-04).
4. Garantizar la Seguridad del Sistema (DS-05).
5. Identificar y Asignar Costos (DS-06).
6. Educar y Entrenar a los usuarios (DS-07)
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
31
Escenarios de Riesgo en las Operaciones Automatizadas
11 Procesos COBIT aplicables (Cont).Dominio Prestación de Servicios y Soporte.
7. Asistir y Aconsejar a los Clientes de TI (DS-08).
8. Administración de Problemas e Incidentes (DS-10).
9. Administración de Datos (DS-11).
10. Administración de las Operaciones (DS-12).
Dominio Adquisición & Implantación.
11. Administración de Cambios (AI-01).
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
32
Escenarios de Riesgo en las Operaciones Automatizadas
Escenarios de Riesgo Particulares de cada Operación.
Ejemplo: Nómina de Empleados.Generación de Novedades.Liquidación Horas Extras.Liquidación valor a pagar.Liquidación y pago de Aportes Fiscales.Liquidación y pago Aportes Parafiscales.Aumentos de Sueldos.Pago de Prestaciones Sociales.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
33
¿ Qué Produce el Software de AUDAP?
Planeación de la Auditoría.
Diagnóstico sobre el riesgo potencial y las necesidades de seguridad de la operación automatizada objeto de la auditoría.
Cronogramas por etapa y auditor.Costos de personal asignado a la
auditoría.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
34
Planeación de la Auditoría
Utilización del Principio de Pareto.
Asignar los recursos de auditoría a los escenarios de riesgo de mayor criticidad, de acuerdo con puntajes obtenidos
0 - 20% Criticidad Baja.20 - 40% Criticidad Media Baja.40 - 60% Criticidad Media.60 - 80% Criticidad Media Alta.80 - 100% Criticidad Alta.Elaborar Plan para auditar escenarios más críticos
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
35
Planeación de la Auditoría
Ejemplo de aplicación Principio de Pareto.
Puntaje Máximo Posible del Cuestionario: 270Intervalo para estratos : 270/5 = 54Estratos de Pareto.
0 - 20% 0 - 54 Criticidad Baja.20 - 40% 54 - 128 Criticidad Media Baja.40 - 60% 128 - 162. Criticidad Media.60 - 80% 162 - 216 Criticidad Media Alta.80 - 100% 216 - 270 Criticidad Alta.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
36
PRIORIZACIÓN DE ESCENARIOS DE RIESGO SEGÚN SU EXPOSICION A
RIESGOS POTENCIALES
EMPRESA:___________________________
ESCENARIOS PUNTAJE % CLASIFICACION
1. Generación de Datos ____________ ____ ______________
2. Entrada de datos ____________ ____ ______________
3. Procesamiento ____________ ____ ______________
4. Acceso a la BD ____________ ____ ______________
5. Acceso al Software ____________ ____ ______________
6. Uso de Salidas ____________ ____ ______________
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
37
¿ Qué Produce el Software de AUDAP?
Identificar y clasificar la importancia de los Riesgos Potenciales.
Identificación y Valoracion de los riesgos potenciales tipicos que podrían presentarse en el proceso de negocio o sistema de informacion sujeto a auditoria.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
38
Modelo de Riesgos Tipicos
Audirisk, considera 8 categorias de riesgos típicos:
Pérdidas por Sanciones Legales. Pérdidas por Errores en el Cálculo de Ingresos. Pérdidas por Errores en el cálculo de Egresos. Pérdida de Reputación o de Credibilidad Pública. Pérdida de Ventaja Competitiva. Pérdidas por Daño o Destrucción de Activos. Pérdidas por Fraude ó Hurto. Pérdidas por Decisiones Erróneas.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
39
PARA QUE Y COMO UTILIZAR LA VALORACION DE RIESGOS EN
AUDITORIA
Identificar y clasificar la importancia de los Riesgos Potenciales.
Método Delphy: clasificación de los riesgos por votación de expertos.
Constituir equipo de expertos. Comparar importancia por parejas de
riesgos aplicables. Sumar votaciones y obtener puntajes. Aplicar Principio de Pareto. Clasificar riesgos de mayor o menor puntaje.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
40
VALORACION DE RIESGOS POTENCIALES METODO DELPHY
2
3
7
8
9
10
R
1
2
3
4
5
6
7
8
9
10
4
5
6
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
41
PARA QUE Y COMO UTILIZAR LA VALORACION DE RIESGOS EN
AUDITORIAIdentificar y clasificar la importancia de los Riesgos Potenciales.
Método de Scoring o clasificación de los riesgos potenciales por el sistema de puntajes.
Elaborar un cuestionario para cada Riesgo Potencial Definir Factores de Exposición al Riesgo Definir Criterios para valorar cada factorde Exposición Contestar cuestionario y obtener puntaje Aplicar Principio de Pareto Clasificar riesgo dentro de estratos de Pareto.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
42
RESUMEN VALORACION DE RIESGOS POTENCIALES
PROCESO DE NEGOCIO:___________________________
RIESGOS PUNTAJE % CALIFICACION
1. Sanciones legales ____________ ____ ______________
2. Pérdida de Ingresos ____________ ____ ______________
3. Exceso de pagos ____________ ____ ______________
4. Pérdida de Reputacion y
credibilidad pública ____________ ____ ______________
5. Desventaja ante la
competencia. ____________ ____ ______________
6. Daño/Destrucción ____________ ____ ______________
7. Decisiones Erróneas ____________ ____ ______________
8. Fraude/Hurto ____________ ____ _____________
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
43
Valoración de Riesgos Potenciales (*)
Riesgos Potenciales Típicos
1. Sanciones Legales
2. Pérdida de Ingresos
3. Exceso Desembolsos
4. Hurto / Fraude
5. Desventaja Competitiva
6. Decisiones Erróneas
7. Daño o Destrucción de activos
8. Pérdida Credibilidad
Riesgo 1
Riesgo 2
Riesgo 3
Riesgos Potenciales Críticos
(*) Para la organización, vista como un todo.
Por líneas de Negocio
Por Grupos de operaciones relacionadas.
Por Operaciones Individuales
Por Centro de Procesamiento de Datos.
Valoración de RiesgosValoración de Riesgos
Método Delphy
ó
Cuestionarios con Factores de Riesgo
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
44
¿ Qué Produce el Software de AUDAP?
Identificar y clasificar Riesgos Potenciales.
Mapa de Riesgos para cada operación automatizada sujeto de auditoría.Tres Matrices: Escenarios de Riesgo - dependencias.Riesgos Criticos - Escenarios de RiesgoRiesgos Críticos - Dependencias.
Objetivos de Control COBIT aplicables.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
45
Mapa de Riesgos (*)Localizar Riesgos Críticos en Escenarios de
Riesgo y Dependencias
Riesgo 1
Riesgo 2
Riesgo 3
Riesgos Potenciales
CríticosLocalizar Riesgos
Críticos en Escenarios d
Riesgo y Dependencias
(*) Para la Empresa vista como un todo.
Por línea de Negocio
Por Grupo de operaciones relacionadas.
Por Operación (Sistema)
X
X
X
XXX
X
X X
X X
X
Escenarios
P1 P2 P3
Dependencias
D1 D2 D3
Riesgo 1
Riesgo 2
Riesgo 3
Riesgo 1
Riesgo 2
Riesgo 3
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
46
Asociar con Arboles de BC
Asociación Automática de Procesos con Arboles Asociación Automática de Procesos con Arboles “Riesgo-Causas-Controles”“Riesgo-Causas-Controles”
Escenario 1
Riesgo 1
Riesgo 2
Causa 2
Causa 1
Causa 3
Control 1
Control 2
Control 3
Arbol 2
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
47
Mapa de RiesgosIdentificar y Localizar Causas de Riesgos Críticos (*)
Causas - Riesgo 1
Causas - Riesgo 2
Causas - Riesgo 3
Causas - Riesgos Críticos
Identificar y Localizar Causas de Riesgos Críticos
Seleccionar
Modificar
Adicionar
(*) CR : Causas de Riesgo ó Factores de Riesgo.
Escenarios
E1 E2 E3
Dependencias
D1 D2 D3
Riesgo 1
Riesgo 2
Riesgo 3
Riesgo 1
Riesgo 2
Riesgo 3
CR1,CR12
CR15,CR20
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
48
Calificación del Riesgo Potencial por Causa de Riesgo
Riesgo : P * C
Riesgo : Valor de las pérdidas generadas por causas de Riesgo o Amenazas
P C
Causa de Riesgo
Probabilidad de ocurrencia
Costo de las pérdidas por ocurrencia
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
49
Calificación del Riesgo Potencial por Causa de Riesgo
Ejemplo : Riesgo generado por la causa TERREMOTO
A : Alto
M : Medio
B : Bajo
A
Probabilidad Alta Media Baja
Alto
Medio
Bajo
Costo
($)
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
50
¿ Qué Produce el Software de AUDAP ?
Evaluar Controles Existentes. Guía Generalizada de Controles asociados
con las causas de riesgos críticos de las operaciones objeto de auditoría.Guía ResumidaCuestionario de controles.
Identificación y documentación de los controles que actúan sobre las Causas de Riesgos críticos identificadas para el proceso sujeto a auditoría.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
51
Generar Cuestionario para identificar Controles Existentes
Dependencia 1
Dependencia 2
Base de Conoc.
de ControlesGenerar Cuestionarios de controles por Dependencia y por Escenarios
Evaluar Controles Existentes
Cuestionarios de ControlCuestionarios de Control
1. Control “x” esta establecido?
Puntaje ___ SI ___ NO ___
2. Control “y” esta ostablecido?
Puntaje ___ SI ___ NO ___
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
52
Evaluar Controles Existentes
Evaluar protección que ofrecen los controles seleccionados, por cada causa de riesgo crítico. Para que sea Apropiada, valida que se satisfagan dos de los tres criterios exigidos:
Se cumple mezcla de tres tipos de controles: Preventivo, Detectivo y Correctivo ?.
Calificación Promedio por clase es superior a 3.5 ? Beneficios mayores que los costos ?.
Identificación y Evaluación de Riesgos
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
53
Identificar y evaluar Controles Existentesy Riesgo Residual
Evaluar protección que ofrecen los controles seleccionados por cada objetivo de control COBIT, por escenario de riesgo y por dependencia que intervienen en el manejo del proceso de negocio o sistema sujeto a diseño de controles.Protección Apropiada: Promedio por clase superior a 3.5?
Generar Hallazgos de auditoría para causas de riesgo con protección inapropiada.
Generar Diagnóstico de la Auditoría.
Identificación y Evaluación de Riesgos
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
54
Evaluar los Controles ExistentesDefinición de Control Interno
COBIT define control interno así:
“Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar razonable confianza de que los objetivos del negocio serán alcanzados y que los eventos indeseados serán prevenidos ó detectados y corregidos”.ISACA (Information Systems Audit and Control Association, 2.000).
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
55
Evaluar los Controles Existentes
Definiciones de Control. “Control es la acción que se ejerce sobre una causa de riesgo
con el fin de reducir su probabilidad de ocurrencia o el impacto que puede generar su ocurrencia”.
“Control es la capacidad de ejercer restricciones o influencia directa sobre una situación o evento determinado”.
“Control es la acción que se ejerce para hacer que un evento ocurra conforme a un plan”.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
56
OBJETIVO DE LOS CONTROLES
Deficiencias de control
Causas del
Riesgo
Control 1
Control 2
Control 3
Control 4
Riesgos
Pérdida de ActivosFraudeSanciones Legales
Prevenir
DetectarCorregir
InsuficientesInefectivosNo cumplen
Errores HumanosActos malintencionados
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
57
Relación entre Causas del Riesgo y Controles
Objetivo de los controles.Los controles actúan sobre las causas del riesgo de tres maneras, mutuamente excluyentes:
a) Como control Preventivo. Para evitar la ocurrencia de la causa del riesgo, ó
b) Como control Detectivo. Para detectar, registrar e informar la ocurrencia de la causa (actuar como alarma que se dispara cuando detecta la causa), ó
c) Como control Correctivo. Obligan a tomar acción correctiva para resolver el problema detectado por los controles detectivos.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
58
ENFOQUE PREVENTIVO DE LAS TRES BARRERAS DE CONTROL
CAUSAS
DE
RIESGOBARRERA
DETECTIVA
C1
C2
C3
BARRERA
PREVENTIVA
BARRERA
CORRECTI-VA
ORGANIZACIÓN
INSTALA-
CIONESC2
C3
C3
PERSONAS
HW - SW
FINANCIEROS
DATOS
FEEDBACK
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
59
Etapa 5: Evaluación del Control Interno Existente
Que produce AUDAP ?• Identificación y documentación de los controles
existentes que actúan sobre cada causa de riesgo crítico (Base de conocimientos con la realidad de la empresa).
• Hojas - Resumen de evaluación de los controles existentes, por cada Escenario de Riesgo, dependencia y objetivo de control .
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
60
EVALUACION DE CONTROLES SELECCIONADOS
ESCENARIO (PROCESO): ___________________________
RIESGOS CRITICOS: ___________________________
CAUSAS DERIESGO
No.
CONTROLESEXISTENTES
M
NIVEL DEPROTECCION
(A)
OBSERVACIONES
OPINION DEL AUDITOR ____________________________________________________________________
________________________________________________________________________________________________________________________
ELABORADO POR ________________________________________ FECHA ______________________
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
61
FORMULARIOS EVALUACION DE CONTROLES POR PROCESO
• EVALUACION DE CONTROLES ESTABLECIDOS
• ESCENARIO DE RIESGO:__________________
LISTA DE CAUSAS DE RIESGOS CRITICOS
LISTA DE CONTROLES ESTABLECIDOS
CAUSAS DE RIESGO No.
CONTROLES EXISTENTES No.
NIVEL DE PROTECCION
(*)
OBSERVACIONES
1 5, 7, 11 A
2
3
1, 3 I
I-
OPINION DEL AUDITOR ___________________________________________________
____________________________________________________________________________
Elaborado por:_____________ FECHA:___/___/___
*A:Apropiado. Los controles utilizados son apropiados porque provienen o, detectan o corrigen la causa de riesgo.
I: Inapropiado. Los controles son insuficientes o no existen controles sobre la causa de riesgo.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
62
Identificar y Localizar Controles Necesarios (*)
Causas - Riesgo 1
Causas - Riesgo 2
Causas - Riesgo 3
Guía ControlesIdentificar y Localizar Controles Existentes
Seleccionar
Modificar
Adicionar
Escenarios
E1 E2 E3
Dependencias
D1 D2 D3
Riesgo 1
Riesgo 2
Riesgo 3
Riesgo 1
Riesgo 2
Riesgo 3
C1,C3C2
Evaluación de Controles Existentes
C2 C5
C30C17
C1, C3
C17 C2
C15
(*) Por cada Causa de Riesgo Crítico
C: Control
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
63
Evaluar Protección Existente para Riesgos Críticos
Controles - Causas Riesgo 1
Controles Causas Riesgo 2
Controles Causas Riesgo 3
Controles Existentes
Evaluar Protección Existente (*)
CR1 CR2 CR3
Riesgo 1
Riesgo 2
Riesgo 3
Riesgo 1
Riesgo 2
Riesgo 3
Evaluación de Controles Existentes
D1 D2 D3
Riesgo 1
Riesgo 2
Riesgo 3
E1 E2 E3
A I
A
I
Acciones de la Administración
(*) A : Apropiada
I : Inapropiada
A
A
I
A
A
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
64
¿ Qué Produce el Software de AUDAP ?
Pruebas de Auditoria / Cumplimiento. Lista de Comprobación de Controles
(Checklist) por escenarios de riesgo y dependencias,
Evaluación de Protección Existente (PE) y del riesgo residual (RR) por escenario de riesgo, dependencia y Objetivo de Control.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
65
Generar Checklist de Controles
Dependencia 1
Dependencia 2
Controles Claves
EstablecidosGenerar Checklist de controles por Dependencia y por proceso
Pruebas de Cumplimiento
Checklists de ControlesChecklists de Controles
1. Control “x” esta operando?
Puntaje ___ SI ___ NO ___
2. Control “y” esta operando?
Puntaje ___ SI ___ NO ___
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
66
¿ Qué Produce el Software de AUDAP ?
Pruebas de Auditoria.
Diseño de Pruebas de Cumplimiento y Sustantivas por Escenario y Técnica de comprobacion.
Hallazgos de Auditoría. Resumen - Resultados de las Pruebas
efectuadas.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
67
Medir y Monitorear Protección Existente y Riesgo Residual
Respuestas - Checklists
Controles Establecidos
Medir y Monitorear Riesgo Residual
Protección Existente
D1 D2 D3
Riesgo Residual(*)
D1 D2 D3
Riesgo 1
Riesgo 2
Riesgo 3
Riesgo 1
Riesgo 2
Riesgo 3
Resultados Pruebas de Cumplimiento
(*) Alerta Roja, si Riesgo Residual mayor al 20%
70% 30% 60%
40%70%30%
Acciones de la Administración (*)
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
68
¿ Qué Produce el Software de AUDAP ?
Resultados para el Informe de la Auditoria. Lista de Hallazgos y recomendaciones de
evaluación de control interno, pruebas de cumplimiento y pruebas sustantivas.
Evaluación del Grado de Satisfacción de los 7 Criterios de Calidad de la información de Negocios producida por el proceso de negocios o sistema auditado.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
69
¿ Qué Produce el Software de AUDAP ?
Seguimiento a Recomendaciones de Auditoria
Plan de Seguimiento a Recomendaciones de la Auditoría.
Resultados del Seguimiento.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
70
¿ Qué Produce el Software de AUDAP ?
Bases de Datos Trabajo: Bases de conocimientos con los resultados de la auditoria realizada, personalizadas con circunstancias particulares de las empresas y de las operaciones o sistemas de información auditadas.
Papeles de Trabajo en medios magneticos (Bases de Trabajo). Punto de partida para la siguiente auditoria.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
71
BC con Resultados del Estudio
Operación 1
Con Elementos :
Seleccionados
Adicionados
Modificados
BC Trabajo
Otros Productos Mapas de Riesgos
Guías de Control personalizadas
Evaluación de Controles Existentes.
Diseño de Pruebas de Cumplimiento y Sustantivas.
Hlallazgos de Auditoría
Informe de la Auditoría
Bases de Conocimientos de TrabajoCon Resultados de un Estudio Realizado
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
72
Usuarios de AUDAP en Colombia y el Exterior
En Colombia. • Ministerio de Hacienda.• Universidad Santo Tomás de Bucaramanga• Universidad Católica de Colombia.• Compensar -Caja de Compensación Familiar • Cedenar : Centrales Electricas de Nariño.• Universidad Jorge Tadeo Lozano.• Universidad EAFIT.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al Riesgo en Operaciones Automatizadas.
73
Usuarios de AUDAP en Colombia y el Exterior (cont.)
En el Exterior.• Banco Central del Ecuador.• Banco Centroamericano de Integración
Económica (BCIE) - Honduras.• Cervecería de Costa Rica• Instituto Nacional de Seguros (Costa Rica)• Auditoría General de Bancos (Costa Rica)• Banco Nacional de Costa Rica• Cía. Nal. de Fuerza y Luz (Costa Rica)