Docstoc

AUDISIS LTDA AUDITORES CONSULTORES Especialistas en Controles Seguridad y Auditoría de Sistemas de Información

Document Sample
AUDISIS LTDA AUDITORES CONSULTORES Especialistas en Controles Seguridad y Auditoría de Sistemas de Información Powered By Docstoc
					                   AUDISIS LTDA.
               AUDITORES - CONSULTORES
       Especialistas en Controles, Seguridad y Auditoría
                   de Sistemas de Información




                                   AUDAP:
       Metodología Asistida por Computador para
            auditoría orientada al riesgo en
              operaciones automatizadas

AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   1
Riesgo en Operaciones Automatizadas.
           La Metodología AUDAP

                      ¿Qué es Audap ?

Es la metodología asistida por computador,
 desarrollada por AUDISIS para conducir
     auditorías orientadas al riesgo en
       operaciones automatizadas



 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   2
 Riesgo en Operaciones Automatizadas.
          La Metodología AUDAP

Desarrolla auditorías integrales de la Seguridad
de la información y el Control Interno:

 • Controles Automatizados - Implementados                                    y
   ejecutados en el software aplicativo y del sistema.

 • Controles No Automatizados. Implementados en
   los procedimientos ejecutados por personas en las
   áreas de operación del negocio o servicio.



 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   3
 Riesgo en Operaciones Automatizadas.
          La Metodología AUDAP

Evalúa y verifica la satisfacción de 7 criterios de
calidad en la información de negocios:

 •   Efectividad.
 •   Eficiencia.
 •   Confidencialidad.
 •   Integridad.
 •   Disponibilidad.
 •   Cumplimiento con leyes y regulaciones.
 •   Confiabilidad.
 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   4
 Riesgo en Operaciones Automatizadas.
           La Metodología AUDAP

• Utiliza el enfoque de reingeniería de procesos de
  negocios. Ejecuta auditorías transversalmente por
  “escenarios de riesgo”, en lugar de hacerlo
  verticalmente por dependencias.

• Suministra bases de conocimientos con “best
  practices” sobre riesgos, causas de riesgo,
  controles, objetivos de control y cuestionarios.

• Aplica el enfoque de auditoría orientada al riesgo.

  AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   5
  Riesgo en Operaciones Automatizadas.
          La Metodología AUDAP

• Enfatiza en los Riesgos Potenciales “Críticos”,
  en lugar de dar la misma importancia a todos
  los riesgos.

• Califica la protección existente y el riesgo
  residual, en formas numérica y cualitativa.

• Genera papeles                       de        trabajo          en      medios
  magnéticos.

 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al     6
 Riesgo en Operaciones Automatizadas.
     Estándares que utiliza AUDAP
• Las auditorías con AUDAP se desarrollan de acuerdo
  con normas de auditoría generalmente aceptadas,
  principalmente las promulgadas por ISACA para la
  auditoría de Sistemas y el IIA para el uso de la
  valoración de riesgos en auditoría.
• Como marco de referencia para las evaluaciones se
  utilizan entre otros los siguientes estándares:
    – COBIT (Control Objectives for information and related technology,
      ISACA, 2002).
    – SAC (Systems Auditability and Control. IIA, 1992).
    – BSI 17799, ISO 9126, ISO 12207 y Orange Book.
    – Normas de Auditoría de Aceptación General.


AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   7
Riesgo en Operaciones Automatizadas.
             Productos que recibe el
                Cliente de AUDAP

 Manual - Libro de la metodología
 Software ejecutable (CD)
 Ayudas en Linea - Manual del usuario del
  software
 Bases de datos de conocimientos estándar
 Licencia de uso por tiempo indefinido.
 Una Llave de control de acceso fisico -
   Hardware Key.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   8
Riesgo en Operaciones Automatizadas.
  ¿A quienes está dirigida la Metodología
                AUDAP ?

 Auditores de Sistemas.
 Auditores Operativos.
 Auditores Financieros.
 Auditorías Integradas.
 Revisores Fiscales.



AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   9
Riesgo en Operaciones Automatizadas.
        Auditoría Orientada al Riesgo

 Riesgo Potencial (Inherente): Riesgo asociado con
     la naturaleza de los procesos u operaciones. En su estimación
     no se tienen en cuenta los controles establecidos.
     Punto de partida de la Auditoría: Verificar que la
     empresa está protegida contra los riesgos potenciales críticos
     que podrían presentarse.


 Riesgo Residual: Riesgo no cubierto por los controles
  establecidos.
  Punto de llegada de la Auditoría: Determinar si el
  riesgo residual asumido es aceptable.

AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   10
Riesgo en Operaciones Automatizadas.
              METODOLOGIA DE AUDITORIA - AREAS AUTOMATIZADAS
                 INICIO
                                            Identificar fortalezas
                                           y debilidades de Control               Informe de acciones                        Alta
        1       Planeacion
                                                                                     de emergencia                         gerencia
                                                                                                                                                          10

                Determinar
                complejidad                                                              Informe
                                                                                                                          Sistemas y
                 y recursos                                                              detallado
                                                                                                                           usuarios


                                    10
                                                                                           Pruebas manuales                             Ejecuta Pruebas
                                                                                                                                        de cumplimiento
    2         Comprension /              6
                                          Diseñar y planear pruebas                                                                       y Sustantivas
              Familiarización
                                                de Auditoría                               Pruebas asistidas
                                                                                           por computador
                                                                                               CAAT s                                       Soportes o
                 Archivo                                                                                                                    evidencias
                permanente                                                                                                                  de pruebas
                                                                              8        Evaluación de resultados
                                                                                           de las Pruebas
3
            Identificar y Evaluar
                                                                                        Análisis de impacto de
             Riesgos Potenciales
                                                                                            Hallazgos de
                                                                                             Auditoría s

               Riesgos inhere-                                                            Elaborar informe
                                                                                   9
               ntes al negocio                                                             de la Auditoría

    4        Definir alcance                              Informe Ejecutivo                                       Informe detallado
              de auditoría

                                                                                                                     Usuarios y
               Localizar los                                Alta Gerencia
                                                                                                                     Sistemas
              riesgos críticos

                                                                                                                               5
    5        Evaluar Eestruc-                                                              Seguimieiento a
             tura del control                                                      10
                                                                                          Recomendaciones
                 interno

                                                                                                 2


            AUDAP: Metodología Asistida por Computador para Auditoría Orientada al                                                     11
            Riesgo en Operaciones Automatizadas.
               Etapas de la Metodología
                       AUDAP
1.    Planeación - Preauditoría.
2.    Comprensión del Proceso e Negocio (Relevamiento)
3.    Identificación y Evaluación de Riesgos Críticos
4.    Definición del alcance de la auditoría
5.    Evaluación del Controles Existentes.
6.    Definición y Diseño de Pruebas de Auditoría
7.    Ejecución de Pruebas de Auditoría.
8.    Análisis de los Resultados de las Pruebas
9.    Elaboración de informe con los resultados de la Auditoría.
10.   Seguimiento
  AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   12
  Riesgo en Operaciones Automatizadas.
                   Metodología AUDAP

Qué es una operación automatizada ?.
Es el conjunto de procedimientos manuales y automatizados que
se utilizan para manejar en forma estandarizada, los datos y la
información de uno o más negocios (servicios) de la empresa
con ayuda de recursos de Tecnología de Información (software,
hardware, instalaciones, telecomunicaciones, etc.)


Generalmente se apoyan en una o más aplicaciones de
Computador o Sistemas de Información Automatizado (SIA).


  AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   13
  Riesgo en Operaciones Automatizadas.
               Metodología AUDAP

Qué es Aplicación de computador ?.
Es un grupo integrado de programas de computador
diseñados para realizar una función particular que tiene
actividades de entrada de datos, procesamiento y
salida de información (ISACA).

ISACA: Information Systems Audit and Control Association.



  AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   14
  Riesgo en Operaciones Automatizadas.
               Metodología AUDAP
Ejemplos de Operaciones Automatizadas.
• Sistema Integrado de Información Financiera
• Sistema de Recursos Humanos
• Sistema de Cartera
• Sistema de Tarjeta de Crédito.
Software de Categoría Mundial
• SAP /R3
• People SOFT


  AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   15
  Riesgo en Operaciones Automatizadas.
                       Bases de Conocimientos
                              de AUDAP
1. Bases Estándar : Suministradas por AUDISIS - Best Practices.
2. Bases de la Empresa : Creadas y personalizadas con AUDAP
         A partir de Bases Estándar
         A partir de Bases de Empresas Similares
3. Bases de Trabajo: Contienen Resultados de estudios realizados con
    AUDAP.
         A partir de Bases Estándares
         A partir de Bases de Empresa
         A partir de Bases de Trabajo con Resultados Estudio Anterior
   AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   16
   Riesgo en Operaciones Automatizadas.
        Bases de Conocimientos Estándar
                            Suministradas por AUDISIS
                                                   Best Practices sobre
                                              * Riesgos Potenciales
                                              * Causas de Riesgo
                                              * Controles

   AUDAP                                      * Procesos : COBIT y Audisis
                                              * Objetivos de Control COBIT
                                              * Cuestionarios de Riesgo
Bases de
Conocimiento                                  * Cuestionario de Diagnóstico Preliminar
Estándar

                                                     Relaciones entre
                                               * Riesgos - Causas de Riesgo
                                               * Causas de Riesgo - Controles
                                               * Procesos - Objetivos de Control COBIT

AUDAP: Metodología Asistida por Computador para Auditoría Orientada al           17
Riesgo en Operaciones Automatizadas.
Creación de Bases de Conocimientos de la
                Empresa
                             Personalizadas con AUDAP




                                   Copiar y
                                   Personalizar

 Bases de                           Adiciones                            Bases de
 Conocimiento                                                             Conocimiento
                                    Modificaciones
 Estándar                                                                 de la
                                    Retiros                              Empresa




 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al        18
 Riesgo en Operaciones Automatizadas.
Creación de Bases de Conocimientos de Trabajo
                            Personalizadas para cada operación
                                                                                Operación 1
                                                                          Bases de
                                                                          Conocimientos de
                                                                          Trabajo Inicial

                              Copiar y crear
                              bases      para                                   Operación 2
  Bases de
                              Operaciones
Conocimientos                 Individuales                                    BC de Trabajo
de la Empresa                                                                 Inicial


 BC Master
                                                                                Operación n

                                                                              BC de Trabajo
                                                                              Inicial

     AUDAP: Metodología Asistida por Computador para Auditoría Orientada al           19
     Riesgo en Operaciones Automatizadas.
      Bases de Conocimientos de Trabajo
                  Con los Resultados de Auditorias
                       Realizadas con AUDAP


                                  Realizar auditoría
                                  con AUDAP
Operación 1                                                                Operación 1
                                   Seleccionar
                                    elementos aplicables                    BC con
 BC de
                                                                           Resultados
 Trabajo                           Adiciones
                                                                              de la
  Inicial
                                   Modificaciones                          Auditoria




  AUDAP: Metodología Asistida por Computador para Auditoría Orientada al     20
  Riesgo en Operaciones Automatizadas.
    Bases de Conocimientos de Trabajo
           Resultados de Auditorias Realizadas con
                          AUDAP        BC Trabajo
                                                        Con Elementos :
                                                         Seleccionados
                                                         Adicionados
   Operación 1
                                                         Modificados

  BC con                                                   Otros Productos
  Resultados de la
                                                  Mapas de Riesgos
  Auditoria
                                                  Guías de Control personazlizadas
                                                  Evaluación de Controles Existentes.
                                                  Diseño de Pruebas de Cumplimiento y
                                                   Sustantivas.
                                                  Hlallazgos de Auditoría
                                                  Informe de la Auditoría

AUDAP: Metodología Asistida por Computador para Auditoría Orientada al        21
Riesgo en Operaciones Automatizadas.
     Auditorias Orientadas al Riesgo por
            Escenario de Riesgo

BC Escenarios                        Seleccionar                            BC Trabajo

 COBIT                              Adicionar                              Escenario 1

 AUDISIS                            Crear                                  Escenario 2
                                      Escenarios de
 Empresa                             Empresa
                                                                             Escenario n




   AUDAP: Metodología Asistida por Computador para Auditoría Orientada al      22
   Riesgo en Operaciones Automatizadas.
                     Metodología AUDAP
Escenarios de Riesgo en las Operaciones de
Negocio Automatizadas.
Son las partes en que se divide el ciclo de vida de los
datos en las operaciones automatizadas,        desde las
fuentes de los datos hasta los destinatarios de la
información producida por las aplicaciones o sistemas de
información automatizados (SIAs).

También se denominan Procesos sujetos a Control ó
Areas de Exposición.
.
  AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   23
  Riesgo en Operaciones Automatizadas.
              Escenarios de Riesgo en las
              Operaciones Automatizadas

Tres Alternativas de Escenarios de Riesgo.
Una operación automatizada puede descomponerse en:
 14 Escenarios de Riesgos del Ciclo de vida de los datos en
  las operaciones automatizadas (procesos AUDISIS).
 11 Procesos COBIT aplicables a las operaciones que se
  apoyan en Tecnología de Información.
 Escenarios de Riesgo particulares de cada Operación.

    AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   24
    Riesgo en Operaciones Automatizadas.
            Escenarios de Riesgo en las
            Operaciones Automatizadas
14 Escenarios de Riesgo del Ciclo de Vida de los
 Datos
1. Generación y Registro de transacciones.
2. Grabación y validación de datos.
3. Actualización de archivos.
4. Generación de Salidas del proceso de Actualización.
5. Seguridad lógica del software de la aplicación.
6. Seguridad lógica de los archivos de computador.
7. Cambios al software de la Aplicación.
8. Procedimientos de Backup y Recuperación.
  AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   25
  Riesgo en Operaciones Automatizadas.
            Escenarios de Riesgo en las
            Operaciones Automatizadas
14 Escenarios de Riesgo del Ciclo de Vida de los
 Datos (Cont.)

9. Terminales y Comunicación de datos
10. Documentación del sistema de Información
11. Utilización y control de resultados por los usuarios.
Para Sistemas de Base de Datos.
13. El sistema de Directorio/Diccionario de datos (SD/DD)
14. La función del administrador de la Base de Datos.


  AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   26
  Riesgo en Operaciones Automatizadas.
                              Control Objectives for Information and Related Technology



 ¿Qué Significa COBIT?
      C                       Control
      OB                      OBjectives
      I                       for Information
      T                       and Related Technology

Objetivos de Control para Información
    y Tecnología Relacionada
 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al    27
 Riesgo en Operaciones Automatizadas.
               COBIT               Control Objectives for Information and Related Technology

Lo que usted obtiene
                                                                                Lo que usted necesita
                                   PROCESOS DEL
                                   NEGOCIO
                                                                                Criterios:
                                                                                * Efectividad
                                                                                * Eficiencia
                                                                                * Confidencialidad
            INFORMACIÓN                                                         * Integridad
                                                                                * Disponibilidad
                                                                                * Cumplimiento
                                                                                * Confiabilidad


                                     RECURSOS TI

                                          * Datos
                                          * Aplicaciones
                                          * Tecnología
                                                                          ?       Concuerdan


                                          * Instalaciones
                                          * Gente

       AUDAP: Metodología Asistida por Computador para Auditoría Orientada al             28
       Riesgo en Operaciones Automatizadas.
           COBIT Control Objectives for Information and Related Technology
           Definición de los Dominios
                         1
                                  Planeación y
                                  Organización



4        Monitoreo                                      Adquisición e
                                                                             2
                                                        Implementación


                                    Prestación
                                                            3
                                    del Servicio
                                    y Soporte

    AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   29
    Riesgo en Operaciones Automatizadas.
           Escenarios de Riesgo en las
           Operaciones Automatizadas

11 Procesos COBIT aplicables.
Dominio: Prestación de Servicios & Soporte.
1.   Definir Niveles de Servicio (DS-01).
2.   Administrar servicios de Terceras Partes (DS-02).
3.   Asegurar el Servicio Continuo (DS-04).
4.   Garantizar la Seguridad del Sistema (DS-05).
5.   Identificar y Asignar Costos (DS-06).
6.   Educar y Entrenar a los usuarios (DS-07)


 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   30
 Riesgo en Operaciones Automatizadas.
            Escenarios de Riesgo en las
            Operaciones Automatizadas

 11 Procesos COBIT aplicables (Cont).
Dominio Prestación de Servicios y Soporte.
7. Asistir y Aconsejar a los Clientes de TI (DS-08).
8. Administración de Problemas e Incidentes (DS-10).
9. Administración de Datos (DS-11).
10. Administración de las Operaciones (DS-12).
Dominio Adquisición & Implantación.
11. Administración de Cambios (AI-01).



  AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   31
  Riesgo en Operaciones Automatizadas.
           Escenarios de Riesgo en las
           Operaciones Automatizadas

 Escenarios de Riesgo Particulares de cada
  Operación.
     Ejemplo: Nómina de Empleados.
     Generación de Novedades.
     Liquidación Horas Extras.
     Liquidación valor a pagar.
     Liquidación y pago de Aportes Fiscales.
     Liquidación y pago Aportes Parafiscales.
     Aumentos de Sueldos.
     Pago de Prestaciones Sociales.
 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   32
 Riesgo en Operaciones Automatizadas.
           ¿ Qué Produce el Software
                  de AUDAP?

 Planeación de la Auditoría.

         Diagnóstico sobre el riesgo potencial y
          las necesidades de seguridad de la
          operación automatizada objeto de la
          auditoría.
         Cronogramas por etapa y auditor.
         Costos de personal asignado a la
          auditoría.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   33
Riesgo en Operaciones Automatizadas.
        Planeación de la Auditoría

 Utilización del Principio de Pareto.
 Asignar los recursos de auditoría a los escenarios de
 riesgo de mayor criticidad, de acuerdo con puntajes
 obtenidos

 0 - 20%      Criticidad Baja.
 20 - 40%     Criticidad Media Baja.
 40 - 60%     Criticidad Media.
 60 - 80%     Criticidad Media Alta.
 80 - 100%    Criticidad Alta.
 Elaborar Plan para auditar escenarios más
 críticos
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   34
Riesgo en Operaciones Automatizadas.
        Planeación de la Auditoría

Ejemplo de aplicación Principio de Pareto.
Puntaje Máximo Posible del Cuestionario: 270
Intervalo para estratos : 270/5 = 54
Estratos de Pareto.

 0 -      20%                0 - 54               Criticidad Baja.
20 -      40%               54 - 128              Criticidad Media Baja.
40 -      60%              128 - 162.             Criticidad Media.
60 -      80%              162 - 216              Criticidad Media Alta.
80 -     100%              216 - 270              Criticidad Alta.


AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   35
Riesgo en Operaciones Automatizadas.
            PRIORIZACIÓN DE ESCENARIOS DE
             RIESGO SEGÚN SU EXPOSICION A
                 RIESGOS POTENCIALES

EMPRESA:___________________________

ESCENARIOS                          PUNTAJE                 %          CLASIFICACION
1.   Generación de Datos            ____________           ____       ______________
2.   Entrada de datos               ____________           ____       ______________
3.   Procesamiento                  ____________           ____       ______________
4.   Acceso a la BD                 ____________           ____       ______________
5.   Acceso al Software             ____________           ____       ______________
6.   Uso de Salidas                 ____________           ____       ______________


     AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   36
     Riesgo en Operaciones Automatizadas.
           ¿ Qué Produce el Software
                  de AUDAP?
 Identificar y clasificar la importancia
  de los Riesgos Potenciales.

 Identificación y Valoracion de los riesgos
  potenciales      tipicos   que     podrían
  presentarse en el proceso de negocio o
  sistema de informacion sujeto a auditoria.


AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   37
Riesgo en Operaciones Automatizadas.
        Modelo de Riesgos Tipicos

Audirisk, considera 8 categorias de riesgos típicos:

    Pérdidas por Sanciones Legales.
    Pérdidas por Errores en el Cálculo de Ingresos.
    Pérdidas por Errores en el cálculo de Egresos.
    Pérdida de Reputación o de Credibilidad Pública.
    Pérdida de Ventaja Competitiva.
    Pérdidas por Daño o Destrucción de Activos.
    Pérdidas por Fraude ó Hurto.
    Pérdidas por Decisiones Erróneas.

AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   38
Riesgo en Operaciones Automatizadas.
      PARA QUE Y COMO UTILIZAR LA
       VALORACION DE RIESGOS EN
              AUDITORIA

 Identificar y clasificar la importancia de
 los Riesgos Potenciales.

 Método Delphy: clasificación de los riesgos por
 votación de expertos.
      Constituir equipo de expertos.
      Comparar importancia por parejas de
         riesgos aplicables.
      Sumar votaciones y obtener puntajes.
      Aplicar Principio de Pareto.
      Clasificar riesgos de mayor o menor puntaje.

AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   39
Riesgo en Operaciones Automatizadas.
  VALORACION DE RIESGOS POTENCIALES
      1   METODO DELPHY
  2                   2


                              3
  3
                                       4

 4
                                              5
 5
                                                       6
 6
                                                              7
 7

 8                                                                       8

                                                                             9
 9

 10                                                                               10


 R



AUDAP: Metodología Asistida por Computador para Auditoría Orientada al       40
Riesgo en Operaciones Automatizadas.
            PARA QUE Y COMO UTILIZAR LA
             VALORACION DE RIESGOS EN
                    AUDITORIA
Identificar y clasificar la importancia de los
Riesgos Potenciales.

Método de Scoring o clasificación de los riesgos
potenciales por el sistema de puntajes.

Elaborar un cuestionario para cada Riesgo Potencial
          Definir Factores de Exposición al Riesgo
          Definir Criterios para valorar cada factorde Exposición
          Contestar cuestionario y obtener puntaje
          Aplicar Principio de Pareto
          Clasificar riesgo dentro de estratos de Pareto.

 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   41
 Riesgo en Operaciones Automatizadas.
    RESUMEN VALORACION DE RIESGOS
             POTENCIALES
PROCESO DE NEGOCIO:___________________________

RIESGOS                         PUNTAJE              %         CALIFICACION
1. Sanciones legales            ____________        ____       ______________
2. Pérdida de Ingresos          ____________        ____       ______________
3. Exceso de pagos              ____________        ____       ______________
4. Pérdida de Reputacion y
   credibilidad pública          ____________       ____       ______________
5. Desventaja ante la
   competencia.                   ____________       ____      ______________
6. Daño/Destrucción               ____________       ____      ______________
7. Decisiones Erróneas            ____________       ____      ______________
8. Fraude/Hurto                   ____________       ____      _____________
  AUDAP: Metodología Asistida por Computador para Auditoría Orientada al    42
  Riesgo en Operaciones Automatizadas.
               Valoración de Riesgos Potenciales (*)
 Riesgos Potenciales
                                                                             Riesgos Potenciales
       Típicos                                                               Críticos
1. Sanciones Legales
                                                    Valoración de Riesgos         Riesgo 1
2. Pérdida de Ingresos
3. Exceso Desembolsos                                Método Delphy
4. Hurto / Fraude                                            ó                    Riesgo 2
5. Desventaja Competitiva                            Cuestionarios con
6. Decisiones Erróneas                                Factores de Riesgo          Riesgo 3
7. Daño o Destrucción de
   activos
8. Pérdida Credibilidad

    (*) Para la organización, vista como un todo.
      Por líneas de Negocio
      Por Grupos de operaciones relacionadas.
      Por Operaciones Individuales
      Por Centro de Procesamiento de Datos.

    AUDAP: Metodología Asistida por Computador para Auditoría Orientada al          43
    Riesgo en Operaciones Automatizadas.
           ¿ Qué Produce el Software
                  de AUDAP?
     Identificar  y                         clasificar                   Riesgos
     Potenciales.

 Mapa de Riesgos para cada operación
  automatizada sujeto de auditoría.
  Tres Matrices:
        Escenarios de Riesgo - dependencias.
        Riesgos Criticos - Escenarios de Riesgo
        Riesgos Críticos - Dependencias.
 Objetivos de Control COBIT aplicables.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al       44
Riesgo en Operaciones Automatizadas.
                                 Mapa de Riesgos (*)
                              Localizar Riesgos Críticos en Escenarios de
                                        Riesgo y Dependencias             Escenarios
                                                                        P1      P2   P3
     Riesgos
   Potenciales                                                          X            X    Riesgo 1
     Críticos
                                          Localizar Riesgos
                                                                                X         Riesgo 2
   Riesgo 1
                                             Críticos en                X            X    Riesgo 3
                                                                                X
                                            Escenarios d
                                              Riesgo y
   Riesgo 2                                Dependencias
                                                                              Dependencias
                                                                        D1      D2   D3
   Riesgo 3                                                             X            X    Riesgo 1
                                                                        X       X         Riesgo 2
(*) Para la Empresa vista como un todo.
  Por línea de Negocio
                                                                                X    X Riesgo 3
  Por Grupo de operaciones relacionadas.
  Por Operación (Sistema)

     AUDAP: Metodología Asistida por Computador para Auditoría Orientada al          45
     Riesgo en Operaciones Automatizadas.
     Asociación Automática de Procesos con Arboles
               “Riesgo-Causas-Controles”         Control 1

                                                                        Causa 1         Control 2

                                                                                        Control 3
                                                       Riesgo 1         Causa 2


                                                                        Causa 3
                        Asociar con
Escenario               Arboles de
                        BC
    1
                                                                                  Arbol 2
                                                       Riesgo 2




    AUDAP: Metodología Asistida por Computador para Auditoría Orientada al         46
    Riesgo en Operaciones Automatizadas.
                                Mapa de Riesgos
                     Identificar y Localizar Causas de Riesgos Críticos (*)

                                                                               Escenarios
                                                                         E1      E2   E3
Causas - Riesgos                      Identificar y                     CR1,
    Críticos                          Localizar                         CR12                Riesgo 1
                                      Causas de                                             Riesgo 2
Causas - Riesgo 1
                                      Riesgos Críticos
                                                                                            Riesgo 3
                                       Seleccionar
Causas - Riesgo 2
                                       Modificar
                                                                               Dependencias
                                       Adicionar
                                                                         D1      D2   D3
Causas - Riesgo 3
                                                                                            Riesgo 1
                                                                        CR15,
                                                                        CR20                Riesgo 2
                                                                                            Riesgo 3
(*) CR : Causas de Riesgo ó Factores de Riesgo.

     AUDAP: Metodología Asistida por Computador para Auditoría Orientada al           47
     Riesgo en Operaciones Automatizadas.
  Calificación del Riesgo Potencial por
             Causa de Riesgo

                               Causa de Riesgo
                                 P                  C
                           Probabilidad       Costo de las
                           de                 pérdidas por
                           ocurrencia         ocurrencia



Riesgo : P * C
Riesgo : Valor de las pérdidas generadas por causas de Riesgo o Amenazas

   AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   48
   Riesgo en Operaciones Automatizadas.
   Calificación del Riesgo Potencial por
              Causa de Riesgo
                                           Probabilidad
                                    Alta           Media   Baja

                       Alto                                A
            Costo
               ($)     Medio


                       Bajo


Ejemplo : Riesgo generado por la causa TERREMOTO
           A : Alto
           M : Medio
           B : Bajo
   AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   49
   Riesgo en Operaciones Automatizadas.
        ¿ Qué Produce el Software
              de AUDAP ?
Evaluar Controles Existentes.
 Guía Generalizada de Controles asociados
  con las causas de riesgos críticos de las
  operaciones objeto de auditoría.
      Guía Resumida
      Cuestionario de controles.

 Identificación y documentación de los
  controles que actúan sobre las Causas de
  Riesgos críticos identificadas para el
  proceso sujeto a auditoría.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   50
Riesgo en Operaciones Automatizadas.
                Evaluar Controles Existentes
                   Generar Cuestionario para identificar Controles
                                    Existentes



Base de Conoc.
                                 Generar                             Cuestionarios de Control
 de Controles                    Cuestionarios
                                 de controles                    1. Control “x” esta establecido?
Dependencia 1                    por                             Puntaje ___ SI ___ NO ___
                                 Dependencia y
Dependencia 2                                                    2. Control “y” esta ostablecido?
                                 por Escenarios
                                                                 Puntaje ___ SI ___ NO ___




    AUDAP: Metodología Asistida por Computador para Auditoría Orientada al        51
    Riesgo en Operaciones Automatizadas.
         Identificación y Evaluación
                  de Riesgos
               Evaluar Controles Existentes

 Evaluar protección que ofrecen        los controles
  seleccionados, por cada causa de riesgo crítico. Para
  que sea Apropiada, valida que se satisfagan dos de
  los tres criterios exigidos:

        Se cumple mezcla de tres tipos de controles:
         Preventivo, Detectivo y Correctivo ?.
        Calificación Promedio por clase es superior a 3.5 ?
        Beneficios mayores que los costos ?.

 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   52
 Riesgo en Operaciones Automatizadas.
        Identificación y Evaluación
                 de Riesgos
 Identificar y evaluar Controles Existentes
              y Riesgo Residual

    Evaluar protección que ofrecen los controles
     seleccionados por cada objetivo de control COBIT, por
     escenario de riesgo y por dependencia que intervienen
     en el manejo del proceso de negocio o sistema sujeto
     a diseño de controles. Protección         Apropiada:
     Promedio por clase superior a 3.5?

    Generar Hallazgos de auditoría para causas de riesgo
     con protección inapropiada.
    Generar Diagnóstico de la Auditoría.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   53
Riesgo en Operaciones Automatizadas.
Evaluar los Controles Existentes
Definición de Control Interno
COBIT define control interno así:
“Las políticas, procedimientos, prácticas y
estructuras   organizacionales    diseñadas   para
proporcionar razonable confianza de que los
objetivos del negocio serán alcanzados y que los
eventos indeseados serán prevenidos ó detectados y
corregidos”.
ISACA (Information                    Systems           Audit         and   Control
Association, 2.000).
 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al     54
 Riesgo en Operaciones Automatizadas.
Evaluar los Controles Existentes
Definiciones de Control.
 “Control es la acción que se ejerce sobre una causa de
  riesgo con el fin de reducir su probabilidad de
  ocurrencia o el impacto que puede generar su
  ocurrencia”.
 “Control es la capacidad de ejercer restricciones o
  influencia directa sobre una situación o evento
  determinado”.
 “Control es la acción que se ejerce para hacer que un
  evento ocurra conforme a un plan”.
 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   55
 Riesgo en Operaciones Automatizadas.
            OBJETIVO DE LOS CONTROLES

                                                   Deficiencias de
                                                      control
                                                                Insuficientes
                                                                Inefectivos
                                                                No cumplen
Control 1              Prevenir
                                            Causas del
Control 2              Detectar
                       Corregir              Riesgo
Control 3                                                   Errores Humanos
                                                            Actos malintencionados
Control 4
                                                               Pérdida de Activos
                                                               Fraude
                                                 Riesgos       Sanciones Legales


 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al         56
 Riesgo en Operaciones Automatizadas.
            Relación entre Causas del
               Riesgo y Controles
Objetivo de los controles.
Los controles actúan sobre las causas del riesgo de tres maneras,
mutuamente excluyentes:
    a) Como control Preventivo. Para evitar la ocurrencia de
       la causa del riesgo, ó
    b) Como control Detectivo. Para detectar, registrar e
       informar la ocurrencia de la causa (actuar como alarma
       que se dispara cuando detecta la causa), ó
    c) Como control Correctivo. Obligan a tomar acción
       correctiva para resolver el problema detectado por los
       controles detectivos.

  AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   57
  Riesgo en Operaciones Automatizadas.
                     ENFOQUE PREVENTIVO DE LAS
                     TRES BARRERAS DE CONTROL
                                                                                   ORGANIZACIÓN




          C1                                                                           INSTALA-
CAUSAS                              C2                                                  CIONES

DE
                     BARRERA                  BARRERA                 BARRERA
RIESGO     C2                                                C3
                    PREVENTIVA                                      CORRECTI-VA
                                             DETECTIVA

                                    C3                                               PERSONAS
          C3


                                                                                     DATOS




                                                                                       HW - SW
                                          FEEDBACK
                                                                                  FINANCIEROS




         AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   58
         Riesgo en Operaciones Automatizadas.
          Etapa 5: Evaluación del
         Control Interno Existente
Que produce AUDAP ?
• Identificación y documentación de los controles
  existentes que actúan sobre cada causa de riesgo
  crítico (Base de conocimientos con la realidad de la
  empresa).
• Hojas - Resumen de evaluación de los controles
  existentes, por cada Escenario de Riesgo,
  dependencia y objetivo de control .

  AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   59
  Riesgo en Operaciones Automatizadas.
                        EVALUACION DE CONTROLES SELECCIONADOS
ESCENARIO (PROCESO): ___________________________

RIESGOS CRITICOS:                   ___________________________



        CAUSAS DE                     CONTROLES                      NIVEL DE                OBSERVACIONES
          RIESGO                      EXISTENTES                    PROTECCION
            No.                            M                            (A)




OPINION DEL AUDITOR ____________________________________________________________________
________________________________________________________________________________________________________________________


ELABORADO POR           ________________________________________                FECHA ______________________




   AUDAP: Metodología Asistida por Computador para Auditoría Orientada al                                      60
   Riesgo en Operaciones Automatizadas.
FORMULARIOS EVALUACION DE CONTROLES POR PROCESO

                                                  LISTA DE CAUSAS DE RIESGOS CRITICOS
                                            LISTA DE CONTROLES ESTABLECIDOS
                  •   EVALUACION DE CONTROLES ESTABLECIDOS
  •      ESCENARIO DE RIESGO:__________________

      CAUSAS DE     CONT ROLES             NIVEL DE PROT ECCION                        OBSERVACIONES
      RIESGO No.   EXIST ENTES No.
                                                    (*)

         1             5, 7, 11                      A
         2              1, 3                          I
         3                -                          I




      OPINION DEL AUDITOR ___________________________________________________
      ____________________________________________________________________________




                   Elaborado por:_____________                        FECHA:___/___/___
*A:Apropiado. Los controles utilizados son apropiados porque provienen o, detectan o corrigen la causa de riesgo.
 I: Inapropiado. Los controles son insuficientes o no existen controles sobre la causa de riesgo.

 AUDAP: Metodología Asistida por Computador para Auditoría Orientada al                                        61
 Riesgo en Operaciones Automatizadas.
         Evaluación de Controles Existentes
                         Identificar y Localizar Controles Necesarios (*)
                                                                               Escenarios
                                                                          E1     E2    E3
Guía Controles                                                           C1,C3
                                         Identificar y                   C2                  Riesgo 1
                                                                                 C2
Causas - Riesgo 1                        Localizar                                           Riesgo 2
                                                                                 C5
                                         Controles
                                         Existentes                      C17           C30   Riesgo 3

Causas - Riesgo 2                         Seleccionar
                                                                               Dependencias
                                          Modificar
                                                                          D1      D2    D3
Causas - Riesgo 3                         Adicionar                             C1,
                                                                                 C3          Riesgo 1
                                                                                       C17
                                                                                       C2    Riesgo 2
                                                                                 C15
                                                                                             Riesgo 3
  (*) Por cada Causa de Riesgo Crítico
    C: Control

      AUDAP: Metodología Asistida por Computador para Auditoría Orientada al           62
      Riesgo en Operaciones Automatizadas.
         Evaluación de Controles Existentes
                      Evaluar Protección Existente para Riesgos Críticos
                                                                       CR1   CR2    CR3
                                                                        A                 Riesgo 1
   Controles
                                                                              A           Riesgo 2
   Existentes
                                                                                     I    Riesgo 3
Controles - Causas                  Evaluar
                                                                        E1    E2    E3
Riesgo 1                            Protección
                                                                        A      I          Riesgo 1
                                    Existente (*)
                                                                                          Riesgo 2
Controles Causas
                                                                                          Riesgo 3
Riesgo 2
                                                                        D1     D2    D3
                                                                               I          Riesgo 1
Controles Causas
Riesgo 3                                                                 A           A    Riesgo 2
                                                                               A          Riesgo 3
 (*) A : Apropiada
    I : Inapropiada                                            Acciones de la Administración
    AUDAP: Metodología Asistida por Computador para Auditoría Orientada al          63
    Riesgo en Operaciones Automatizadas.
        ¿ Qué Produce el Software
              de AUDAP ?

Pruebas de Auditoria / Cumplimiento.
 Lista de Comprobación de                                           Controles
  (Checklist) por escenarios de                                      riesgo y
  dependencias,

 Evaluación de Protección Existente (PE) y del
  riesgo residual (RR) por escenario de riesgo,
  dependencia y Objetivo de Control.


AUDAP: Metodología Asistida por Computador para Auditoría Orientada al    64
Riesgo en Operaciones Automatizadas.
                   Pruebas de Cumplimiento
                             Generar Checklist de Controles




Controles Claves
                                 Generar                             Checklists de Controles
 Establecidos                    Checklist de
                                 controles por                   1. Control “x” esta operando?
Dependencia 1                    Dependencia y                   Puntaje ___ SI ___ NO ___
                                 por proceso
Dependencia 2                                                    2. Control “y” esta operando?
                                                                 Puntaje ___ SI ___ NO ___




    AUDAP: Metodología Asistida por Computador para Auditoría Orientada al       65
    Riesgo en Operaciones Automatizadas.
        ¿ Qué Produce el Software
              de AUDAP ?

Pruebas de Auditoria.

 Diseño de Pruebas de Cumplimiento y
  Sustantivas por Escenario y Técnica de
  comprobacion.
 Hallazgos de Auditoría.
 Resumen - Resultados de las Pruebas
  efectuadas.

AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   66
Riesgo en Operaciones Automatizadas.
             Resultados Pruebas de Cumplimiento
                Medir y Monitorear Protección Existente y Riesgo Residual

                                                         Protección      D1     D2     D3

   Controles                                             Existente      30% 70% 40% Riesgo 1
  Establecidos                                                                              Riesgo 2
                                    Medir y
 Respuestas -                       Monitorear                                              Riesgo 3
 Checklists                         Riesgo
                                    Residual
                                                                         D1     D2     D3
                                                                        70% 30% 60% Riesgo 1
                                                         Riesgo                             Riesgo 2
                                                         Residual
                                                         (*)                                Riesgo 3


(*) Alerta Roja, si Riesgo Residual mayor al 20%                Acciones de la Administración (*)


     AUDAP: Metodología Asistida por Computador para Auditoría Orientada al           67
     Riesgo en Operaciones Automatizadas.
        ¿ Qué Produce el Software
              de AUDAP ?
Resultados para el Informe de la Auditoria.
 Lista de Hallazgos y recomendaciones de
  evaluación de control interno, pruebas de
  cumplimiento y pruebas sustantivas.

 Evaluación del Grado de Satisfacción de
  los 7 Criterios de Calidad de la información
  de Negocios producida por el proceso de
  negocios o sistema auditado.

AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   68
Riesgo en Operaciones Automatizadas.
        ¿ Qué Produce el Software
              de AUDAP ?
Seguimiento a Recomendaciones de Auditoria
 Plan de Seguimiento a Recomendaciones
  de la Auditoría.

 Resultados del Seguimiento.




AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   69
Riesgo en Operaciones Automatizadas.
           ¿ Qué Produce el Software
                 de AUDAP ?
 Bases de Datos Trabajo: Bases de
  conocimientos con los resultados de la
  auditoria realizada,      personalizadas con
  circunstancias particulares de las empresas y
  de      las operaciones o         sistemas de
  información auditadas.

 Papeles de Trabajo en medios magneticos
  (Bases de Trabajo). Punto de partida para la
  siguiente auditoria.
AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   70
Riesgo en Operaciones Automatizadas.
    Bases de Conocimientos de Trabajo
            Con Resultados de un Estudio Realizado
                                                          BC Trabajo
                                                        Con Elementos :
                                                         Seleccionados
                                                         Adicionados
   Operación 1
                                                         Modificados

  BC con                                                   Otros Productos
  Resultados del
                                                  Mapas de Riesgos
  Estudio
                                                  Guías de Control personalizadas
                                                  Evaluación de Controles Existentes.
                                                  Diseño de Pruebas de Cumplimiento y
                                                   Sustantivas.
                                                  Hlallazgos de Auditoría
                                                  Informe de la Auditoría

AUDAP: Metodología Asistida por Computador para Auditoría Orientada al         71
Riesgo en Operaciones Automatizadas.
    Usuarios de AUDAP en Colombia y
                 el Exterior
En Colombia.
•      Ministerio de Hacienda.
•      Universidad Santo Tomás de Bucaramanga
•      Universidad Católica de Colombia.
•      Compensar -Caja de Compensación Familiar
•      Cedenar : Centrales Electricas de Nariño.
•      Universidad Jorge Tadeo Lozano.
•      Universidad EAFIT.

    AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   72
    Riesgo en Operaciones Automatizadas.
    Usuarios de AUDAP en Colombia y
              el Exterior (cont.)
En el Exterior.
•      Banco Central del Ecuador.
•      Banco Centroamericano de Integración
       Económica (BCIE) - Honduras.
•      Cervecería de Costa Rica
•      Instituto Nacional de Seguros (Costa Rica)
•      Auditoría General de Bancos (Costa Rica)
•      Banco Nacional de Costa Rica
•      Cía. Nal. de Fuerza y Luz (Costa Rica)

    AUDAP: Metodología Asistida por Computador para Auditoría Orientada al   73
    Riesgo en Operaciones Automatizadas.

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:43
posted:4/21/2012
language:Spanish
pages:73