audirisk web - softwareaudisis.com · 1) elaborar el plan anual de auditoría, basado en la...

AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información .

AUDIRISK WebSoftware de Auditoría Basada en

Riesgos Críticos

AUDIRISK WebSoftware de Auditoría Basada en

Riesgos Críticos

Versión 5.0

Presentación del Software

AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información.

Agenda• AudiRisk: Qué es y para Qué Sirve?.• Características del Software AudiRisk que agregan

valor a las Organizaciones y las Auditorías.• Especificaciones Técnicas del Software AudiRisk.• Requerimientos de Hardware y Software y

Modalidades de Licenciamiento.• Entregables que recibe el Usuario de AUDIRISK.• Presentación detallada de los Módulos Componentes

del Software AudiRisk.• Beneficios de Utilizar AudiRisk.• Usuarios del software AudiRisk.

2

Estado Actual deLa Auditoría Estado Deseable - AUDIRISK

1) Enfoque Reactivo – Detrás de loshechos conocidos ó riesgos ocurridos.

2) Sin herramientas de software deAuditoría Especializadas.

3) Auditoría a las operaciones, “PorAreas” (oficinas).

4) Auditoría “No basada en Riesgos” osin considerar los riesgos críticos.

5) Solo Pruebas de Cumplimiento ySustantivas.

6) Cumplimiento limitado (parcial) deNormas de Auditoría (NAGAs, NIAs,IIA, ISACA,.

1) Enfoque Reactivo – Detrás de loshechos conocidos ó riesgos ocurridos.

2) Sin herramientas de software deAuditoría Especializadas.

3) Auditoría a las operaciones, “PorAreas” (oficinas).

4) Auditoría “No basada en Riesgos” osin considerar los riesgos críticos.

5) Solo Pruebas de Cumplimiento ySustantivas.

6) Cumplimiento limitado (parcial) deNormas de Auditoría (NAGAs, NIAs,IIA, ISACA,.

1) Enfoque Proactivo – Preventivo: Advierte ala Gerencia propensión a los riesgos antesque estos se presenten.

2) Uso de herramientas de software deAuditoría Especializadas.

3) Auditorías a las Operaciones “por procesos(del modelo de operación, procesos de TICy servicios automatizados)”.

4) Planeación y Desarrollo de la Auditoría“Basada en Riesgos Críticos”.

5) Evalúa efectividad de los ControlesExistentes como base para diseñar lasPruebas de Cumplimiento y Sustantivas.

6) Se planea y ejecuta de acuerdo conestándares de auditoría internacionalesvigentes.

1) Enfoque Proactivo – Preventivo: Advierte ala Gerencia propensión a los riesgos antesque estos se presenten.

2) Uso de herramientas de software deAuditoría Especializadas.

3) Auditorías a las Operaciones “por procesos(del modelo de operación, procesos de TICy servicios automatizados)”.

4) Planeación y Desarrollo de la Auditoría“Basada en Riesgos Críticos”.

5) Evalúa efectividad de los ControlesExistentes como base para diseñar lasPruebas de Cumplimiento y Sustantivas.

6) Se planea y ejecuta de acuerdo conestándares de auditoría internacionalesvigentes.

Ayuda a Modernizar enfoque y procedimientos de Auditoría.

El Software AUDIRISK


Estado Actual deLa Auditoría Estado Deseable - AUDIRISK

7) Auditoría sin utilizar el computadorcomo herramienta - Alrededor delComputador

8) Poco Enfasis a los servicios deSistemas de la Empresa (TICs).

9) Papeles de trabajo tradicionales –Hard Copy.

10) Seguimiento Manual a los hallazgos yrecomendaciones de la Auditoría.

11) Débiles conocimientos en Gestión deRiesgos y Diseño de controles

7) Auditoría sin utilizar el computadorcomo herramienta - Alrededor delComputador

8) Poco Enfasis a los servicios deSistemas de la Empresa (TICs).

9) Papeles de trabajo tradicionales –Hard Copy.

10) Seguimiento Manual a los hallazgos yrecomendaciones de la Auditoría.

11) Débiles conocimientos en Gestión deRiesgos y Diseño de controles

7) Auditoría “Con y a Través del Computador. -Asistida por computador”.

8) Enfasis en los Servicios Automatizados. Loscontroles automatizados son el corazón delcontrol interno

9) Papeles de trabajo Electrónicos.

10) Seguimiento electrónico de hallazgos deauditoría.

11) Conocimientos sobresalientes en Gestión deRiesgos y Diseño de Controles

7) Auditoría “Con y a Través del Computador. -Asistida por computador”.

8) Enfasis en los Servicios Automatizados. Loscontroles automatizados son el corazón delcontrol interno

9) Papeles de trabajo Electrónicos.

10) Seguimiento electrónico de hallazgos deauditoría.

11) Conocimientos sobresalientes en Gestión deRiesgos y Diseño de Controles

Ayuda a Modernizar enfoque y procedimientos de Auditoría.



AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información . 5


Es un software en tecnología WEB (Cloud Computing) para conducir lassiguientes actividades de Auditorías Internas y Externas, con un enfoquePROACTIVO Y PREVENTIVO:1) Elaborar el Plan Anual de Auditoría, basado en la “Valoración de la

Propensión a Riesgos” de los componentes del Universo Auditable(las operaciones misionales, administrativas y de TI de la Empresa).

2) Desarrollar Auditorías “Basada en Riesgos Críticos” a los procesosdel Modelo de Operación y los Servicios de Sistemas de la Empresa(Procesos del Área de TICs y Aplicaciones de Computador).

3) Generar Informes con Indicadores de Gestión de la Auditoría.De conformidad con las normas y procedimientos de auditoría generalmente aceptados, lasnormas de auditoría interna del Instituto de Auditores Internos (IIA) y las normas deauditoría de sistemas de la Asociación de Control y Auditoría de Sistemas (ISACA).

Qué es y para que sirve?

Elaboración del Plan Anual de AuditoríaInterna “Basado en Riesgos”

6

PLANANUAL DE

AUDITORÍAINTERNAAÑO 2017

DeterminarUniverso

Auditable yUniverso de

Categorías deriesgo Aplicables

Medir(Estimar)

Propensión ariesgos

DeterminarPanoramas deRiesgo en elUniverso de

AuditoríaSeleccionar

Componentes delUniverso para elPlan Anual de

Auditoría.

DefinirAuditorías arealizar para

Componentes

Definir recursosy Alternativaspara Ejecutar elPlan Anual de

Auditoría

AUDIRISK: Conduce la elaboración del

Plan de trabajo Anual de laauditoría interna basado enuna evaluación de riesgosdocumentada, realizada almenos anualmente.

Ayuda en la Comunicacióny Aprobación del plan y losrequerimientos de recursospara la actividad deAuditoría Interna.


Planeación Anual de la Auditoría “Basada en Riesgos”Articulación del Plan Anual con el Desarrollo de Auditorías Basada en Riesgos.

Planeación AnualBasada en Riesgos.

Auditorias a realizar en el año. Categorías de riesgo críticas

por componente..

Proceso de Auditoría “Basada en Riesgos Críticos”

Planeacióndetallada y

Familiarización

Memorandodeplaneación.

Actualización de archivopermanente

Identificación yAnálisis Riesgos

Inherentes.Eventos/Amenazas

que puedenpresentarse (20-30)

Cubo deriesgos

Cubo deriesgos

E: ExtremoA: Alto

M: Moderado

B: Bajo

EjecuciónAuditoría

Evaluacióncontrol Interno.

Pruebas deCumplimiento

Pruebassustantivas.

Informes conResultados de la

Auditoria. Evaluación

control Interno. Pruebas de

Cumplimiento Pruebas

sustantivas.

Seguimiento ahallazgos de

Auditoría Evaluación

controlInterno.


Pruebassustantivas.


AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información8

Qué es “Auditoría Basada en Riesgos Críticos”

Desarrollo de Auditorías “Basadasen Riesgos Críticos”

“Es una forma de conducir auditorías internaso externas de diferentes tipos (operativa, deestados financieros, de sistemas deinformación, de sistemas de gestión), CONENFOQUE PROACTIVO Y PREVENTIVO,basando su planeación y desarrollo en larevisión de una muestra de eventos de riesgonegativos considerados críticos por laAuditoría, que pudieran impactarnegativamente los procesos o sistemas y laactividad económica de una organización,para confirmar si éstos se ajustan a lo fijadopor las leyes, las reglas del negocio y lasbuenas y mejores prácticas de control internoy seguridad”.

“Es una forma de conducir auditorías internaso externas de diferentes tipos (operativa, deestados financieros, de sistemas deinformación, de sistemas de gestión), CONENFOQUE PROACTIVO Y PREVENTIVO,basando su planeación y desarrollo en larevisión de una muestra de eventos de riesgonegativos considerados críticos por laAuditoría, que pudieran impactarnegativamente los procesos o sistemas y laactividad económica de una organización,para confirmar si éstos se ajustan a lo fijadopor las leyes, las reglas del negocio y lasbuenas y mejores prácticas de control internoy seguridad”.

Por cada auditoría, la revisión de lamuestra de eventos negativos incluye:

Identificación y Análisis de riesgosInherentes que pueden generar lascategorías de riesgo críticas,

Evaluación del diseño y efectividadde controles establecidos,

Diseño y ejecución de pruebas deauditoría (de cumplimiento ysustantivas),

Generación de informes con losresultados de la auditoría y

Seguimiento a Hallazgos deAuditoría y al Plan deMejoramiento.

Por cada auditoría, la revisión de lamuestra de eventos negativos incluye:

Identificación y Análisis de riesgosInherentes que pueden generar lascategorías de riesgo críticas,

Evaluación del diseño y efectividadde controles establecidos,

Diseño y ejecución de pruebas deauditoría (de cumplimiento ysustantivas),

Generación de informes con losresultados de la auditoría y

Seguimiento a Hallazgos deAuditoría y al Plan deMejoramiento.

9

Desarrollo de Auditorías “Basadas enRiesgos Críticos”

1. Por cada auditoría, para revisar la muestra de eventos de riesgoinherentes (por ejemplo, 30 eventos), el software AUDIRISKconduce el desarrollo de las fases, etapas y pasos del proceso estándarde Auditoría.

• Planeación Detallada Basada en Riesgos.• Evaluación del Control Interno.• Pruebas de Cumplimiento.• Pruebas Sustantivas.• Generar los Informes con los resultados de la Auditoría – 4 informes.• Seguimiento a hallazgos de la auditoría.

2. Elaborar los papeles de trabajo de la auditoría – formato electrónico.Mantener disponible y Actualizada la Base de Datos de“Conocimientos de Auditoría de la Empresa”.

3. Controlar el tiempo asignado, por cada auditoría y auditor.

AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.

AUDIRISK : Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 10

Desarrollo de AuditoríasBasadas en Riesgos Críticos

Riesgos Inherentes: Eventos negativos (amenazas) que pueden presentarse enlas actividades y servicios del proceso o sistema y obstruir la consecución de losobjetivos estratégicos y de las operaciones de negocio de la Organización. En laestimación de su SEVERIDAD no se tienen en cuenta los controles establecidos.Punto de partida de la Auditoría: Verificar que la empresa está protegidaadecuadamente para una muestra de riesgos inherentes que podríanpresentarse.

Riesgo Residual: Riesgo que permanece o persiste después de Evaluación deControl Interno y Pruebas de Auditoría, para la muestra de eventos negativos(amenazas) críticos seleccionados por la auditoría.Punto de llegada de la Auditoría: Determinar si el riesgo residual asumido por laempresa es aceptable.

Considera dos (2) Estados de los Riesgos para una Muestrade Riesgos Inherentes seleccionados por la Auditoría.

Desarrollo de Auditorías Basadasen Riesgos Críticos

AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 11

Ejemplo: Dos Estados de los Riesgos, por Evento de Riesgo Negativo(Amenaza).

Evento de Riesgo (Amenaza): “Ingresar fecha que no corresponde a la lógica de lasoperaciones”.Severidad Riesgo Inherente (Potencial): Riesgo antes de Controles y Pruebas de Auditoría.

Severidad: E - Extremo.Acciones de Respuesta: Reducir (mitigar) el riesgo.

Controles:• Preventivos: La fecha debe tener el formato dd/mm/aaaa; El día debe se menor o igual que 31; mes menor o igual que

12; año debe ser el actual.• Detectivos: Validar que la fecha satisfaga los estándares – Los controles preventivos; Informar cuando no coinciden –

“Error Fecha , Fecha No válida”; Disparar Alarma cuando se detecta una desviación respecto al “debería ser”; Bloquea – nodeja continuar hasta que la fecha sea válida

• Correctivos: Debe volver a ingresar la fecha (Obliga); vuelve a validar los estándares y si no coinciden se emitemensaje, bloquea y exige que se ingrese nuevamente la fecha.

Severidad Riesgo Residual: Riesgo que permanece o subsiste después de Evaluación del ControlInterno y Pruebas de Auditoría. Severidad del Riesgo no protegido o no cubierto por los controlesverificados . Severidad : B - Bajo (Tolerable).

Desarrollo de Auditorías Basadasen Riesgos Críticos

AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información12

Pre- auditoría ComprensiónProceso o Sistema

Cubo deRiesgos de la

Auditoría

Id. y Análisis deRiesgos

1 23

4

Memorando dePlaneación

Caracterización

Muestra de RiesgosInherentes Críticos

Contexto deRiesgos de la

AuditoríaArchivoPermanente

Programa deTrabajo

Mapa de RiesgosInherentes

FASE 1: PLANEACIÓN BASADA EN RIESGOSFASE 1: PLANEACIÓN BASADA EN RIESGOS


Metodología de Auditoría “Basadaen Riesgos Críticos”

Evaluar ControlesEstablecidos


Informe EstadoAcciones de Mejora

PruebasSustantivas

5

6 7

8

Evaluar Diseñoy Efectividad

Informes Pruebasde Cumplimiento

A ExactitudCifras Claves

SeguimientoHallazgos Informes

de Auditoría% Cumplim. Cont.y Proced. Claves

Medir / evaluarRiesgo Residual

Informes PruebasSustantivas

Informe –Evaluación Control

Interno

FASES 2, 3 y 4: EJECUCION E INFORME DE LA AUDITORIAFASES 2, 3 y 4: EJECUCION E INFORME DE LA AUDITORIA



15


Generar Informescon indicadores de

Gestión de laAuditoría.

Generar Informescon indicadores de

Gestión de laAuditoría.

Informes de Gestión de laAuditoría. Estadísticas y gráficos deAuditorías realizadas:

• Hallazgos de Auditoría: ControlInterno (CI), pruebas deCumplimiento (PC) y pruebasSustantivas (PS).

• Recomendaciones Emitidas: CI;PC; PS.

• Estado de las Recomendaciones.• Auditorías Programadas y

Ejecutadas.• Horas Cargables por Auditoría y

Auditor.• Costos por Auditoría y Auditor.









AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información . 16


Módulos del Software AUDIRISK.Consta de cinco (5) módulos interrelacionados:1) Administración de Usuarios.2) Parametrización / Configuración del Software.3) Planeación Anual de la Auditoría (Interna ó Externa) Basada en

Valoración de la Exposición a Riesgos.4) Desarrollo de Auditorías “Basadas en Riesgos Críticos” para

procesos y Servicios de Sistemas de Información.5) Gestión de Resultados de la Auditoría.


17


Módulos del Software AUDIRISK


MODULO 1: Administración de Usuarios

Asignar Perfiles de acceso.Asignar Perfiles de acceso.

Asignación de Auditores a Auditorías.Asignación de Auditores a Auditorías.

Cambio / inactivación de password.Cambio / inactivación de password.

Copias de Seguridad (Backups).Copias de Seguridad (Backups).

• Gerente de Auditoría.• Administrador de Usuarios.• Supervisor de Auditoría.• Analista de Auditoría (Auditor de Procesos o de

Aplicaciones).• Auditor Regional.• Solo Consulta.• Auditores de Gestión .

Perfiles deacceso alSoftwareAUDIRISK

Perfiles deacceso alSoftwareAUDIRISK

AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información. 18


19

Módulo 2: Parametrización delSoftware

1. Dar Mantenimiento a la Base de Datos de “Conocimientosde Auditoría” suministrada por el proveedor (AUDISIS), antesde iniciar uso del software.

• Categorías de Riesgo.• Eventos de Riesgo Inherentes por categoría de riesgo.• Controles por Evento de riesgo inherente.• Técnicas de auditoría.• Otras.

2. Cargar o poblar tablas con información privada específica dela Empresa licenciataria.

3. Definir parámetros para CALIFICAR (medir) la severidad delriesgo, efectividad de los controles, los resultados de pruebasde auditoría, severidad de los hallazgos de auditoría y otros.

Objetivos:


MODULO 2: Parametrización del SoftwareConfiguración de los estándares de trabajo de las Auditorías Basadas en Riesgos.Configuración de los estándares de trabajo de las Auditorías Basadas en Riesgos.

Para Evaluar la efectividad de los controles establecidos.Para Evaluar la efectividad de los controles establecidos.

Para evaluar resultados de pruebas de cumplimiento y sustantivas.Para evaluar resultados de pruebas de cumplimiento y sustantivas.

Para Evaluación satisfacción de los siete (7) criterios de la información de negocios (eficacia,eficiencia, integridad, disponibilidad, confidencialidad, confiabilidad y cumplimiento).Para Evaluación satisfacción de los siete (7) criterios de la información de negocios (eficacia,eficiencia, integridad, disponibilidad, confidencialidad, confiabilidad y cumplimiento).

• Los responsables de implantar, supervisar laimplantación y hacer seguimiento a las acciones demejora por hallazgos de control interno.

• Responsables de implantar, supervisar laimplantación y hacer seguimiento a las acciones demejora por hallazgos de Pruebas de Cumplimiento.

• Responsables de implantar, supervisar laimplantación y hacer seguimiento a las acciones demejora por hallazgos de Pruebas Sustantivas.

• Responsables de implantar, supervisar laimplantación y hacer seguimiento a las acciones demejora por hallazgos de Auditorías efectuadas porTerceros.

AudiRisk proveefuncionalidades paraconfigurar el correo

electrónico corporativode la Auditoría y enviar

automáticamentemensajes de

recordatorio dirigidos a:

AudiRisk proveefuncionalidades paraconfigurar el correo

electrónico corporativode la Auditoría y enviar

automáticamentemensajes de

recordatorio dirigidos a:



1. Definir las auditorías (nombre y alcance) que se ejecutarán durante el año, utilizandocomo criterio de selección el “Nivel de Exposición a Riesgos” de los componentes delUniverso de Auditoría, es decir:

a) De los procesos del modelo de operación de la empresa;b) De los procesos de la infraestructura de TIC, yc) De las Aplicaciones de Computador (módulos de ERPs) que soportan las

operaciones criticas de la Empresa.

2. Definir los recursos de personal, tiempo, financieros y tecnológicos necesarios paraejecutar y cumplir el plan Anual de la Auditoría.

3. Generar “documentos soportes de la Planeación Anual de la Auditoría”, paraconsideración y aprobación de la Alta Dirección y el Comité de Auditoría.

Módulo 3: Planeación Anual de laAuditoría, Basada en Valoración de Riesgos

Objetivos:


• Seleccionar Trabajos que se incluirán en elPlan Anual de Auditoría, los trabajos seseleccionarán de acuerdo al nivel deexposición a Riesgos.

• Programar Trabajos de Auditoría.• Generar el Plan Anual de Auditoría.

Elaborar PlanAnual de laAuditoría :

Elaborar PlanAnual de laAuditoría :

AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información.22

El Software AUDIRISKMODULO 3: Planeación Anual de la Auditoría, Basada en Valoración

de la Exposición a Riesgos.

Crear Ambiente de Trabajo.

Procesar Cuestionarios.

Elaborar Plan Anual de la Auditoría.Elaborar Plan Anual de la Auditoría.

Efectuar Seguimiento al desarrollo del Plan Anual.

Entregables de la Planeación Anual de la AuditoríaInterna.

1) Universo de Trabajos de Auditoría requeridos en la Empresa: lista oinventario de procesos del modelo de operación, lista de procesos de TI, listade aplicaciones de computador y otros.

2) Universo de Categorías de Riesgos que pueden presentarse en lasoperaciones de la Empresa. Por ejemplo: SARO, SARLAFT, MECI.

SARO (7 categorías): Fraude interno, fraude externo, daños a activos físicos, fallas en atencióna los clientes, problemas laborales, fallas tecnológicas y errores en la ejecución del proceso.MECI (6 categorías): Estratégicos, Financieros, Operativos, de Corrupción, Fallas Tecnológicas yDe Cumplimento.

23AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información

Planeación Anual de la Auditoría, Basadaen Valoración de Riesgos – Auditoría

Interna

Entregables de la Planeación Anual de la AuditoríaInterna – Modelo - Cont.

3) Cuestionarios para Valorar la Exposición a riesgos potenciales en el Universode Auditoría – Con Factores de Riesgo (preguntas) y Opciones de respuesta.

• TRES (3) cuestionarios: Procesos del Modelo de Operación, Procesos de lainfraestructura de TI y Aplicaciones de Computador o ERPs.

• Resultados del Procesamiento de Respuestas – Un puntaje entre 0 y 100 porcada proceso o sistema.

24


Interna

AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información


4) Panoramas de Riesgo para los procesos del Modelo de Operación de laEmpresa (Estratégicos, Misionales, de Soporte):

a) Priorización de los procesos según puntajes de Exposición a RiesgosPotenciales (Puntajes de seguridad requerida).

b) Panorama de Riesgos Nivel 1: Priorización de las categorías de riesgo dentrode los procesos del modelo de operación, según puntajes obtenidos por cadacategoría.

c) Panorama de Riesgos Nivel 2: Priorización de las categorías de riesgo dentrode cada proceso, según puntajes de exposición a riesgos.

d) Perfiles de Riesgo.

25


Interna

AUDIRISK: Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información


5) Panoramas de Riesgo para los procesos de la Infraestructura de TIC dela Empresa.

6) Panoramas de Riesgo para las Aplicaciones de Computador de laEmpresa.

7) Lista de Procesos, Sistemas y Categorías de Riesgo seleccionadospara el Plan Anual de Auditoría, según NIVEL DE EXPOSICIÓN ARIESGOS: del modelo de operación, de TIC y Aplicaciones de Computador.



Interna


8) Programación de Auditorías por cada proceso o sistema incluido en elplan Anual de Auditoría:

a) Auditorías de Control Interno.b) Pruebas de Cumplimiento.c) Pruebas sustantivas.d) Auditoría completa (control interno + pruebas de cumplimiento + pruebas

sustantivas).

9) Gráfico de Barras – Gantt con la programación anual de auditorías a realizar.10) Seguimiento a la Ejecución del Plan Anual



Interna

28

Módulo 4: Desarrollo de AuditoríasBasadas en Riesgos

1. Para una muestra de eventos de riesgo inherentes (por ejemplo, 30eventos), conducir el desarrollo de las fases, etapas y pasos delproceso de auditoría a los procesos del modelo de operación de laempresa, los procesos de la infraestructura de TI y las Aplicaciones deComputador.

• Planeación Basada en Riesgos.• Evaluación del Control Interno.• Pruebas de Cumplimiento.• Pruebas Sustantivas.• Generar los Informes con los resultados de la Auditoría – 4 informes.• Seguimiento a hallazgos de la auditoría.

2. Elaborar los papeles de trabajo de la auditoría – formato electrónico.

3. Controlar el tiempo asignado, por cada auditoría.

Objetivos:


AUDIRISK : Software de Auditoría Basada en Riesgos Críticos a Procesos y Sistemas de Información 29

Desarrollo de AuditoríasBasadas en Riesgos

AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información30

Concepto de “Auditoría Basada en Riesgos Críticos”

La auditoría es el examen crítico y sistemático que realiza una persona o grupo depersonas independientes del sistema auditado.

La Auditoría Basada en Riesgos Críticos es una forma de conducir auditoríasinternas o externas de diferentes tipos (operativa, de estados financieros, desistemas de información, de sistemas de gestión), con enfoque proactivo ypreventivo, basando su planeación y desarrollo en la revisión de una muestra deeventos de riesgo negativos “considerados críticos por la Auditoría”, quepudieran impactar negativamente los procesos o sistemas y la actividadeconómica de una organización, para confirmar si se ajustan a lo fijado por lasleyes, las reglas del negocio y las buenas y mejores prácticas de control interno yseguridad.

Módulo 4: Desarrollo deAuditorías Basadas en Riesgos

31

El Enfoque Proactivo / Preventivo de laAuditoría Basada en Riesgos

El objetivo principal de la Auditoría NO ES: “Detectar los errores e irregularidades quepodrían presentarse en la operación de los procesos y sistemas de la organización - Noes detectar o descubrir eventos de riesgo ocurridos”.

El objetivo de la Auditoría PROACTIVA - PREVENTIVA es evaluar y verificar que losprocesos y sistemas de la empresa funcionan de manera eficaz, eficiente y segura yestán protegidos adecuadamente contra los riesgos críticos que pudieran presentarse enlas operaciones. Anticiparse a la ocurrencia de los eventos de riesgos para ayudar aprevenirlos.

El tiempo de la Auditoría es menor o igual que el tiempo de los eventos de riesgo.

AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información


Ejemplo: Dos Estados de los Riesgos, por Evento de RiesgoNegativo (Amenaza).Evento de Riesgo (Amenaza): “Ingresar fecha que no corresponde a la lógica delas operaciones”.Severidad Riesgo Inherente (Potencial): Riesgo antes de Controles y Pruebas deAuditoría.

Severidad: E - Extremo.Acciones de Respuesta: Reducir (mitigar) el riesgo.

Controles:• Preventivos: La fecha debe tener el formato dd/mm/aaaa; El día debe se menor o igual que 31; mes menor o

igual que 12; año debe ser el actual.• Detectivos: Validar que la fecha satisfaga los estándares – Los controles preventivos; Informar cuando no

coinciden – “Error Fecha , Fecha No válida”; Disparar Alarma cuando se detecta una desviación respecto al“debería ser”; Bloquea – no deja continuar hasta que la fecha sea válida

• Correctivos: Debe volver a ingresar la fecha (Obliga); vuelve a validar los estándares y si no coinciden seemite mensaje, bloquea y exige que se ingrese nuevamente la fecha.

Severidad Riesgo Residual: Riesgo que permanece o subsiste después de Evaluacióndel Control Interno y Pruebas de Auditoría. Severidad del Riesgo no protegido o nocubierto por los controles verificados . Severidad : B - Bajo (Tolerable).



Pre- auditoría ComprensiónProceso o Sistema

Cubo deRiesgos de la

Auditoría

Id. y Análisis deRiesgos

1 23

4

Memorando dePlaneación

Caracterización

Muestra de RiesgosInherentes Críticos



Programa deTrabajo

Mapa de RiesgosInherentes

FASE 1: PLANEACIÓN BASADA EN RIESGOSFASE 1: PLANEACIÓN BASADA EN RIESGOS



Evaluar ControlesEstablecidos


Informe EstadoAcciones de Mejora

PruebasSustantivas

5

6 7

8

Evaluar Diseñoy Efectividad

Informes Pruebasde Cumplimiento

A ExactitudCifras Claves

SeguimientoHallazgos Informes

de Auditoría% Cumplim. Cont.y Proced. Claves


Informes PruebasSustantivas

Informe –Evaluación Control

Interno

FASES 2, 3 y 4: EJECUCION E INFORME DE LA AUDITORIAFASES 2, 3 y 4: EJECUCION E INFORME DE LA AUDITORIA



Entregables de la Auditoría Basada en RiesgosCríticos, “por cada proceso o Sistema”.

1) Memorando de Planeación de la Auditoría.2) Comprensión del Contexto Interno y Externo del Proceso.3) Categorías de Riesgo Críticas Aplicables al Proceso.4) Cuestionario de Eventos de Riesgo que pueden generar las Categorías de Riesgo

Críticas. – Muestra para el desarrollo de la Auditoría – Máximo 30, mínimo 18.5) Resultados del Análisis de los Eventos de Riesgo de la Muestra de Auditoría – De al

menos 7 Elementos del riesgo.6) Mapas de Riesgos Inherentes y reportes de Análisis de Riesgos.7) Cubo de Riesgos de la Auditoría del proceso.8) Objetivos de control que deben satisfacerse para el proceso.9) Opciones de manejo de riesgo para los eventos de riesgo de la muestra de auditoría

(asumir, evitar, mitigar, transferir, distribuir).



Entregables de la Auditoría Basada en RiesgosCríticos, “por cada proceso o sistema” (Cont).

10) Cuestionario de Controles “Que deberían Existir” para los eventos de riesgo de lamuestra de auditoría.

11) Identificación de Controles “Establecidos ó existentes”, para los eventos de riesgo dela muestra de auditoría.

12) Tablas y reportes con resultados de la Evaluación de la Efectividad de los controlesestablecidos por Evento de Riesgo. – Incluye los Hallazgos de Auditoría.

13) Mapa de Riesgos Residuales, después de evaluar EFECTIVIDAD de los controles.14) Informe con los Resultados de la Auditoría de Control Interno del proceso o sistema.15) Checklists de Controles para efectuar pruebas de Cumplimiento, por sitios de

prueba, (para eventos que tienen controles apropiados).16) Tablas y reportes de resultados de las pruebas de cumplimiento - – Incluye los

Hallazgos de Auditoría.



Entregables de la Auditoría Basada en RiesgosCríticos,“por cada proceso o sistema” (Cont).

17) Mapa de Riesgos Residuales – Antes y Después de pruebas de cumplimiento.18) Informe con los Resultados de las Pruebas de Cumplimiento, por sitios de prueba y

consolidados por áreas organizacionales-19) Checklists de Datos para Ejecutar Pruebas Sustantivas (para eventos que tienen

debilidades de control).20) Tablas y reportes de resultados de las pruebas Sustantivas . Incluye Hallazgos de la

Auditoría.21) Mapa de Riesgos Residuales – Antes y Después de pruebas sustantivas.22) Informe con los Resultados de las Pruebas Sustantivas, por sitios de prueba y

consolidados por áreas organizacionales.



Entregables de la Auditoría “por cada proceso osistema” (Cont).

23) Informe con Resultados de la Evaluación de los siete (7) criterios que debe satisfacerla información de negocios.

24) Plan de Mejoramiento para atender los hallazgos de Auditoría. (de Control Interno,Pruebas de Cumplimiento y Pruebas Sustantivas).

25) Planeación del Seguimiento al Plan.26) Correos Electrónicos de Recordatorio a responsables de implantar acciones de

mejora.27) Informe con los Resultados del Seguimiento.



AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información.40

Auditoría Proactiva Basada en Riesgos- Análisis de los 7 Elementos del Riesgo

2. Eventos/Amenazas Explotan

4. Vulnerabilidades

Que resultan en ?

5. Exposición

Que es ?6. RiesgoOcurrido(Consecuencias)

Que es mitigado por ?

7. Salvaguardas(Controles)

Que protegen ?

Que son dañados por ?

1. Activos

3. AgentesGeneradores

AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información . 41

El enfoque Proactivo / Preventivo de la AuditoríaBasada en Riesgos

Por cada evento de riesgo inherente (amenaza) de la “muestra de eventosseleccionada por la Auditoría”, que pudiera presentarse en las operaciones de unproceso o sistema (Máximo 30, Mínimo 18), el análisis de la auditoría enfatiza almenos en siete (7) elementos del riesgo:

Activos impactados – Tangibles e intangibles.Vulnerabilidades que crean el ambiente propicio para que las amenazas se materialicen.Agentes generadores y factores de riesgo: personas y actos de la naturaleza.Severidad o Nivel Exposición al riesgo (Combina frecuencia estimada de ocurrencia anual e impactofinanciero y operacional).Consecuencias que tendría que afrontar la organización en caso de ocurrir.Fuentes del riesgo (actividades del proceso y áreas organizacionales o terceros).La efectividad y cumplimiento de los controles establecidos, para reducir o disminuir la severidad de losriesgos inherentes a niveles de riesgo residual aceptables - Apetito de riesgos, yLa información del proceso o sistema que pudiera ser impactada por los riesgos inherentes.


Mapa de Riesgos InherentesMapa de Riesgos Inherentes


Escala para evaluar Severidadde los Riesgos

43

Niveles deSeveridad del

Riesgo(Inherente oResidual )

Consecuencias en caso de Presentarse

1: BajoLa ocurrencia del evento (amenaza) tendría consecuencias leves, tolerables por laorganización. Se puede gestionar mediante procedimiento de rutina. En caso depresentarse no desestabiliza a la organización.

2: ModeradoEn caso de presentarse ocasionaría consecuencias que superan el nivel de toleranciade la organización. Requiere atención de la Gerencia. Debe ser gestionado concontroles para disminuir su impacto o la frecuencia de ocurrencia.

3: AltoEn caso de presentarse ocasionaría consecuencias financieras y operacionales deimpacto severo o significativo para la organización. Es necesaria la atención inmediatade la Gerencia. Debe gestionarse con acciones para transferir el riesgo a terceros,dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.

4: ExtremoSu ocurrencia ocasionaría consecuencias financieras y operacionales de impactocatastrófico para la organización. Es necesaria la atención inmediata de la Gerencia.Debe gestionarse con mecanismos para evitar su ocurrencia o transferir el riesgo aterceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.

AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información .

Auditoría Basada en RiesgosCríticos


Aplica tres (3) criterios para “Evaluar la Efectividad (eficacia +eficiencia)” de los Controles establecidos, por cada evento deriesgo inherente (amenaza).

Para la Eficacia de los Controles Se utiliza Enfoque de los 3 niveles o anillos de Seguridad o Líneas de

Defensa ? – Al menos 3 controles que hagan SINERGIA. CriterioObligatorio.

Es significativo el Grado de Automatización y Discrecionalidad de losControles ?. Calificación promedio > 3.5.

Para la Eficiencia de los Controles. El Costo / Beneficio esRAZONABLE (Máximo 10% del valor de los activos protegidos por loscontroles)?.

Evaluación de la Efectividad de los Controles –Protección Existente.

AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información .44


Enfoque de las Tres Anillos Seguridad oLíneas de Defensa

AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información .45

EVENTOSDE RIESGOINHERENTE(Amenazas)

A2

A3

A2

A3

A3BARRERA

PREVENTIVABARRERA

DETECTIVABARRERA

CORRECTIVA

A1

FEEDBACK

ORGANIZACIÓN

PERSONAS

HW - SW

FINANCIEROS

INSTALACIONES

DATOS

Clases de Controles CalificaciónAutomáticos no discrecionales (Clase A). Los

controles son automatizados y se aplican sin excepciones a

todo el universo.

5.0 puntos

Automáticos discrecionales (Clase B). Los controles

son automáticos y aplican solo a una parte del Universo.

4.5 puntos

Manuales no discrecionales(Clase C). Los controles

son manuales y se aplican sin excepciones a todo el universo.

4.0 puntos

Manuales discrecionales(Clase D). Los controles son

manuales y aplican solo a una parte del Universo.

3.5 puntos

Grado de Automatización /Discrecionalidad de los Controles

Criterio de Aceptación:La calificación promedio de los controles por clase, por cada amenaza,deberá ser mayor que 3.5

46AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información .

Eficiencia de los controles por Amenaza:Según el costo / beneficio del conjunto de controles que actúan sobre cadaamenaza.

Eficiencia

Bene

ficio

s

Alto 5: Muy Alta 4: Alta3:

Moderada

Moderado 4: Alta3:

Moderada 2: Baja

Bajo 3: Moderada 2: Baja 1: Muy Baja

Bajo Moderado AltoCostos

RAZONABLE (R )NO RAZONABLE (NR)

Criterio de Aceptación:La calificación promedio de la eficiencia de los controles, por cadaamenaza, deberá ser mayor o igual a 4.0 (Razonable)

Etapa 5: Evaluación del ControlInterno Existente



Criterios para Evaluar la Efectividad de los ControlesEstablecidos

Niveles deEfectividad delos Controles

Criterios de Evaluación / Significado de la Efectividad de los ControlesEstablecidos por cada Evento de Riesgo Inherente (Amenaza)

1: ApropiadaLos controles establecidos son efectivos (eficaces y eficientes) para reducir losriesgos potenciales a nivel aceptable o tolerable de riesgo residual.Satisfacen los 3 anillos de seguridad y el nivel de automatización es aceptableo el costo beneficio es razonable.

2: MejorableLos controles satisfacen los 3 anillos de seguridad (preventivo, detectivo ycorrectivo), pero no son eficientes o tienen bajo nivel de automatización

3:Insuficiente

Los controles utilizados no satisfacen los tres anillos de seguridad. Senecesitan controles adicionales.

4: DeficienteLos controles utilizados no satisfacen los tres anillos de seguridad y no soneficientes o tienen bajo nivel de automatización. Se necesitan controlesadicionales

5: MuyDeficiente

No existen controles o los que se utilizan no sirven para controlar los riesgospotenciales.




Evento (Amenaza): Robo de dinero en cajero automático (ATM), por suplantación delpropietario de la tarjeta.

Riesgo Potencial (Inherente): Evento de riesgo al que se expone el Banco (usuario), de acuerdo conla naturaleza y modo de operación del cajero automático . En su evaluación no se tienen en cuentalos controles establecidos.

Evaluación Severidad, antes de Controles : E - Extremo.Acciones de Respuesta: Reducir (mitigar) el riesgo.

Controles:• Preventivos: Uso de tarjeta y PIN. Políticas de seguridad para uso de cajero automático.• Detectivos: Validar que tarjeta y PIN coincidan. Informar desviación (mensaje) y bloquear.• Correctivos: Reemplazar la tarjeta bloqueada y asignar nuevo PIN.

Efectividad de los Controles. 1: Apropiada.Riesgo Residual: Riesgo que permanece después de Evaluación de Controles y Pruebas deAuditoría. Riesgo no protegido o no cubierto por los controles establecidos. Evaluación Severidad:B - Bajo (Tolerable).

Aplicación del enfoque de los (3) Anillos deSeguridad o Líneas de Defensa - Ejemplo.


Ries

go In

here

nte 4: Extremo Bajo Moderado. Alto. Extremo Extremo

3: Alto Bajo Moderado. Alto. Alto. Alto.

2: Moderado Bajo Moderado. Moderado. Moderado. Moderado.

1: Bajo Bajo Bajo Bajo Bajo Bajo

1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: MuyDeficiente

Efectividad de los Controles (ProtecciónExistente)

Medición de Riesgos Residuales, después de evaluar y verificarlos Controles Establecidos - MODELO "AUDISIS“




51

Selección de Eventos de Riesgo(Amenazas) para Pruebas de Auditoría

Selección de Amenazas para Pruebas de Auditoría, segúnresultados de la Evaluación del Control Interno.

Eventos de Riesgo Inherentes(Amenazas)

RiesgoInherente

Efectividad ControlesEstablecidos - Etapa 5


Etapa 6

Controles averificar

PruebasSustantivas -

Etapa 7Datos a Verificar

Omitir InvestigaciónAntecedentes del cliente E: Extremo 1: Apropiada Si 1,3,10, 12

Girar Cheques con una sola firma A: Alto 2: Mejorable Si 3,5,8

Omitir cifras de cuadre diario E: Extremo 3: Insuficiente Si Vr Efectivo recibido; VrEfectivo pagado

Alterar cifras registradas en labase de datos de cuentascorrientes

A: Alto 4: Deficiente Si Saldo disponible; vrcheques pagados

Alterar registros de Soporte deIngresos M: Moderado 5: Muy deficiente Si Vr depósitos recibidos;

Falsificar firmas en los cheques M: Moderado 2: Mejorable Si 1,2,3,5

Falsificar comprobantes dedepósito M: Moderado 3: Insuficiente Si Saldo disponible

Falsificar Cheques A: Alto 1: Apropiada Si4,7,9


52

Estructura de Checklists de Pruebas deCumplimiento y Sustantivas.

Se Generan por Sitios de Prueba, técnicas de auditoría y amenazas. El software genera Checklist con cuatro Opciones de Respuesta que

tienen puntajes asociados:5: Siempre (Satisfactorio).4: Casi Siempre (Con excepciones no significativas).3: Algunas Veces (con excepciones significativas.0: Nunca (No satisfactorio).

Espacios para: Ref a PT, Fecha ejecución y Comentarios del auditor.

Pruebas de Cumplimiento ySustantivas


53

EjecuciónPruebas de Cumplimiento

Evaluación de Resultados de las Pruebas, por Amenaza

Amenaza: Alteración de los datos de los datos registrados en documentosfuente.

% Cumplimiento

Riesgo Residual 22.86%

77.14%

1 Control 1

5

3

No CONTROLES ESTABLECIDOS 5:Siempre

4: CasiSiempre

3: AlgunasVeces REF A PTTecnica de

Verificacion Hallazgos de Auditoria

Control 3

4 Control 4

Control 5

x6 Control 6

7 Control 7

0:Nunca

x

2 Control 2 x

x

x

x

x


54

Criterios para Evaluar los resultados de lasPruebas de Auditoría.

Rangos % de Puntaje Obtenido

(PO)

Protección Existente (PE)Según Cumplimiento /Exactitud de la Información

Riesgo Residual – RR-(después de Pruebas )

1 Mayor del 80 % 1: Apropiada 1: Aceptable

2 Entre 60 y 80% 2: Mejorable 2: Moderado

3 Entre 40 y 60% 3: Insuficiente 3: Alto

4 Entre 20 y 40% 4: Deficiente 4: Extremo

5 Menor del 20% 5: Muy deficiente 5: Extremo

Resultados de las Pruebas de Auditoría- De Cumplimiento y Sustantivas


55

Comprende las actividades de Generación, validación y emisión de tres (3)Informes:

De la Evaluación de Control Interno Existente – Etapa 5. Paralas 3 dimensiones del Cubo de Riesgos.De las Pruebas de cumplimiento – Etapa 6.• Por sitios de prueba.• Por Áreas Organizacionales – varios sitios de prueba.• Consolidado del proceso a nivel organización.

De las Pruebas Sustantivas – Etapa 7.• Por sitios de prueba.• Por Áreas Organizacionales – varios sitios de prueba.• Consolidado del proceso a nivel organización.• Para las 7 características de la información de negocios.

Fase III: Comunicación de Resultados de laAuditoría.

Auditorías PROACTIVAS Basadas enRiesgos Críticos


AUDIRISK: Software de Auditoria Basada en Riesgos Críticos para Procesos y Sistemas de Información 56

Fase IV: Seguimiento a Hallazgos de Auditoría yAcciones de Mejoramiento.

Comprende actividades de planeación (elaborar plan),ejecución de seguimiento e informe de seguimiento de tres (3)Informes:

De Control Interno Existente – Etapa 5.De Pruebas de cumplimiento – Etapa 6.De Pruebas Sustantivas – Etapa 7.

Auditorías PROACTIVAS Basadas enRiesgos Críticos



• Se realiza por Sitios de Prueba, en diferentes fechas de corte.• Generación y envío automático de Correos Electrónicos de

Recordatorio, a responsables de implantar, supervisar y hacerseguimiento a acciones de mejora.

• Genera estadísticas del estado de implantación de lasrecomendaciones y acciones de mejora (implantadas, enproceso, pendientes de atender, anulados).

Desarrollo de AuditoríasPROACTIVAS Basadas en Riesgos

Críticos

58


MODULO 5:Gestión de la

Auditoría.

MODULO 5:Gestión de la

Auditoría.
















Agenda

• AudiRisk: Qué es y para Qué Sirve?.• Características del Software AudiRisk que agregan

valor a las Organizaciones y las Auditorías.• Especificaciones Técnicas del Software AudiRisk.• Requerimientos de Hardware y Software para instalar

AUDIRISK.• Productos que recibe el Usuario de AUDIRISK.• Beneficios de Utilizar AudiRisk.• Usuarios del software AudiRisk.

59

60

AUDIRISK está alineado y es compatible conestándares internacionales y nacionales vigentes deauditoría, gestión de riesgos, control interno yseguridad.

Normas de Auditoría de Aceptación General. Normas de Auditoria Interna del IIA. Normas de Auditoría de Sistemas de ISACA. Modelos de Control Interno COSO 2013, COBIT Y MECI. Gestión de Seguridad de la Información: Normas ISO 27001. ISO 20000: Gestión de Servicios de TI. Otras ISO 9126, ISO 12207 e ISO 38500 (Gobierno de TI). Marcos de Referencia para Gestión de Riesgos: ISO 31000,

ERM, SARO, SARLAFT, DAFP, SALUD.




Agenda


valor a las Organizaciones y las Auditorías.• Especificaciones Técnicas del Software AudiRisk.• Requerimientos de Hardware y Software para instalar

AUDIRISK.• Productos que recibe el Usuario de AUDIRISK.• Beneficios de Utilizar AudiRisk.• Usuarios del software AudiRisk.

61

1) Provee una metodología sencilla y efectiva para conducir la elaboración delPlan Anual de Auditoría, “basado en la valoración de la exposición ariesgos” en los componentes del Universo de Auditoría.

2) Conduce el desarrollo del enfoque “Proactivo y preventivo de la Auditoría”,en lugar del enfoque “Reactivo o detrás de los hechos conocidos”. La Auditoríaes más un control Preventivo / Proactivo que un control detectivo o aposteriori. Se anticipa a la ocurrencia de los eventos de riesgos inherentesque pueden presentarse, para ayudar a prevenirlos.

3) Por cada auditoría, planea y desarrolla las fases del proceso de auditoría para“una muestra de eventos de riesgo inherentes Críticos”, seleccionados acriterio de la auditoría, los cuales representan los riesgos de mayor impactopara la organización (materialidad e importancia relativa).

Valor Percibido que genera para las Empresas

Propuesta de valor delSoftware AUDIRISK.


4) Evalúa y verifica que los procesos y sistemas satisfacen los objetivos deempresa y que los controles establecidos y en operación, para “la muestrade riesgos inherentes seleccionados por la auditoría”, son efectivos parareducir los riesgos inherentes a niveles aceptables de riesgo residual.

5) Como apoyo para la planeación y desarrollo de las auditorías, provee una Basede Datos de Conocimientos de Auditoría, con numerosas “best practices”universales de gestión de riesgos, controles, procedimientos y técnicas deauditoría. Esta Base de Conocimientos crece continuamente con los resultadosde las auditorías realizadas en la organización.

6) Verifica que las políticas, normas y procedimientos de Gestión de Riesgos dela organización, utilicen el enfoque proactivo ó “A priori” de los controles, esdecir, que los controles se diseñan, implantan y actúan antes depresentarse los riesgos inherentes.




64

7. Provee funcionalidades para elaborar cuestionarios y Checklists(CSAs: Control Self Assessment). Estos no son insumos, sonproductos de AudiRisk: Para estimar la exposición a riesgos de los procesos y sistemas de la

organización – Del Universo de Auditoría. Para identificar y seleccionar los eventos de riesgos inherentes (amenazas) para

las tres o cuatro categorías de riesgos críticas, que serán considerados por elalcance de las auditorías.

Para identificar los controles que “deberían existir” y los “controles establecidos”para los eventos de riesgo (amenazas) considerados en alcance de las auditorías

Para verificar los controles (pruebas de cumplimiento) de amenazas que tienenprotección apropiada.

Para verificar la exactitud de la información (pruebas sustantivas) a cifrasimpactadas por eventos de riesgo (amenazas) con debilidades de control.

Para evaluar la satisfacción de las siete (7) características de las información denegocios.

7. Provee funcionalidades para elaborar cuestionarios y Checklists(CSAs: Control Self Assessment). Estos no son insumos, sonproductos de AudiRisk: Para estimar la exposición a riesgos de los procesos y sistemas de la

organización – Del Universo de Auditoría. Para identificar y seleccionar los eventos de riesgos inherentes (amenazas) para

las tres o cuatro categorías de riesgos críticas, que serán considerados por elalcance de las auditorías.

Para identificar los controles que “deberían existir” y los “controles establecidos”para los eventos de riesgo (amenazas) considerados en alcance de las auditorías

Para verificar los controles (pruebas de cumplimiento) de amenazas que tienenprotección apropiada.

Para verificar la exactitud de la información (pruebas sustantivas) a cifrasimpactadas por eventos de riesgo (amenazas) con debilidades de control.

Para evaluar la satisfacción de las siete (7) características de las información denegocios.




8) Cada auditoría evalúa el estado de la “Cultura de Riesgos y Controles”existente en la Empresa y estimula (potencia) a los auditores para actuarcomo “Agentes de Cambio” de la cultura existente.

9) Verifica que los controles por cada evento de riesgo inherente, satisfagan dosrequisitos para ser eficaces: a) Eliminan las vulnerabilidades y b) bloquean oneutralizan los agentes generadores del riesgo.

10) Aplica y promueve la implantación del enfoque de los “tres anillos deseguridad o Líneas de defensa” y del nivel de automatización y nodiscrecionalidad de los controles, como criterios para evaluar la EFICACIAde los controles establecidos sobre los riesgos inherentes.

11) Evalúa que sea RAZONABLE la relación COSTO /BENEFICIO de los controlesestablecidos por cada evento de riesgo inherente, como criterio para evaluar laEFICIENCIA de los controles.




12) Lo que no se puede medir, no se puede administrar. Utiliza una escalanumérica para CALIFICAR la Efectividad (Eficacia + eficiencia) de loscontroles por evento de riesgo inherente, en Evaluación del Control Interno yPruebas de auditoría: 1- Apropiada, 2-Mejorable, 3-Insufiicente, 4-Deficiente y 5- Muy deficiente.

13) Lo que no se puede medir, no se puede administrar. Utiliza una escalapara CALIFICAR el Riesgo Residual por evento de riesgo inherente,después de realizar la Evaluación del Control Interno y Ejecutar las Pruebas deAuditoría: 1- Bajo (Tolerable), 2-Moderado, 3- Alto y 4: Extremo.

14) Diseña y Ejecuta las pruebas de cumplimiento y sustantivas de acuerdo conlos resultados de la Evaluación de Control Interno (Aplica la Segunda Normade Auditoría relativa a la Ejecución del Trabajo).




15) Con los resultados de las pruebas de cumplimiento y sustantivas, la auditoríamide porcentualmente (%) el cumplimiento de los controlesestablecidos y de la exactitud de la información, por cada riesgo inherentede la muestra de auditoría, para presentar el estado de severidad real de losriesgos residuales que esta asumiendo la organización.

16) Provee funcionalidades para generar y conservar todos los papeles detrabajo de las auditorías en formato electrónico (archivos permanentes yarchivos corrientes).

17) Provee funcionalidades para elaborar el plan de mejoramiento que resulta delos hallazgos de las auditorías, planear su implantación y ejecutar elseguimiento. Genera correos electrónicos recordatorios para losresponsables de implantar, supervisar la implantación y efectuar elseguimiento a las acciones de mejora.




18) El enfoque Basada en Riesgos, facilita la transición de los auditores, delestado “ser y actuar como consumidores de conocimientos” a convertirse en“generadores de conocimiento y de valor para las organizaciones”.

19) El enfoque Basada en Riesgos, contribuye a superar algunas Críticas a laAuditoría.

a) Históricamente se les conoce por su habilidad para encontrar fallas en el trabajo delos auditados – El Auditor Investigador y Acusador.

b) Promueve la Cultura de priorización en la Auditoría. “Por estar cuidando las hormigas,se dejan pasar los Elefantes…” POR QUE?.

c) Desestimula la Controlitis Aguda. Evalúa el diseño y el C/B (la eficiencia) de losControles, cuando se recomiendan controles.

d) Desestimula la Inoportunidad de las Recomendaciones: Las revisiones y consejosllegan tarde – Después de la ocurrencia de los riesgos / problemas.

e) Desestimula el enfoque Reactivo de la Auditoría: Algunas veces, los Auditoresactúan como los “Bomberos”.




20) Utiliza modelos Universales de “clases o categorías de riesgo”como base para determinar el “Universo de Riesgos de laEmpresa”, planear y desarrollar las Auditorías.

Sistema de Administración de Riesgo Operativo- SARO. Sistema de Administración de Riesgos de Lavado de Activos y Financiación del

Terrorismo - SARLAFT. MECI (Modelo Estándar de Control Interno para las Entidades del Estado

Colombiano). Riesgos en el Sector Salud - Res 1740 de 2008 MPS. AUDIRISK. Otros Modelos ( Basilea en Sector financiero y Sector Salud).

69AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.



70

21) “Lo que no se mide, no se puede administrar / Controlar”.Por cada Auditoría: Evalúa y Mide la Efectividad de los Controles Existentes, por Evento

de Riesgo Inherente (Amenaza), categorías de riesgo, actividades, áreasorganizacionales y objetivos de control. 1: Apropiada, 2: Mejorable; 3:Insuficiente; 4: Deficiente y 5: Muy deficiente

En las pruebas de Cumplimiento, mide el % de Cumplimiento de losControles Establecidos, por amenazas, categorías de riesgo,actividades, áreas organizacionales.

En las Pruebas Sustantivas, mide el % de Exactitud de las Cifrasverificadas, por amenazas, categorías de riesgo, actividades, áreasorganizacionales.

Mide porcentualmente la satisfacción de los siete (7) criterios de lainformación de negocios.

21) “Lo que no se mide, no se puede administrar / Controlar”.Por cada Auditoría: Evalúa y Mide la Efectividad de los Controles Existentes, por Evento

de Riesgo Inherente (Amenaza), categorías de riesgo, actividades, áreasorganizacionales y objetivos de control. 1: Apropiada, 2: Mejorable; 3:Insuficiente; 4: Deficiente y 5: Muy deficiente

En las pruebas de Cumplimiento, mide el % de Cumplimiento de losControles Establecidos, por amenazas, categorías de riesgo,actividades, áreas organizacionales.

En las Pruebas Sustantivas, mide el % de Exactitud de las Cifrasverificadas, por amenazas, categorías de riesgo, actividades, áreasorganizacionales.

Mide porcentualmente la satisfacción de los siete (7) criterios de lainformación de negocios.




71

22) Otras características del software que generan valor. Es una aplicación WEB que se puede instalar en la Nube (Cloud

Computing), servidores de la empresa y equipos stand alone. Produce Papeles de Trabajo en formato electrónico. Ofrece ayudas de Supervisión de los Auditores (TO DOs o pendientes

por hacer). Por cada auditoría genera 5 tipos informes de Auditoria: Evaluación de

control interno, pruebas de cumplimiento, pruebas sustantivas,satisfacción de las siete (7) características de la información denegocios y del seguimiento a los hallazgos de auditoría.

Deja Rastros de las actividades ejecutadas por los Auditores. Genera indicadores de Gestión de la Auditoría.

22) Otras características del software que generan valor. Es una aplicación WEB que se puede instalar en la Nube (Cloud

Computing), servidores de la empresa y equipos stand alone. Produce Papeles de Trabajo en formato electrónico. Ofrece ayudas de Supervisión de los Auditores (TO DOs o pendientes

por hacer). Por cada auditoría genera 5 tipos informes de Auditoria: Evaluación de

control interno, pruebas de cumplimiento, pruebas sustantivas,satisfacción de las siete (7) características de la información denegocios y del seguimiento a los hallazgos de auditoría.

Deja Rastros de las actividades ejecutadas por los Auditores. Genera indicadores de Gestión de la Auditoría.




72

Satisface necesidades de diferentesmodalidades de Auditoría. Auditores de Sistemas. Auditores Operativos. Auditores de Procesos. Auditorías Integrales. Revisores Fiscales.

Satisface necesidades de diferentesmodalidades de Auditoría. Auditores de Sistemas. Auditores Operativos. Auditores de Procesos. Auditorías Integrales. Revisores Fiscales.

El software AUDIRISKEl software AUDIRISK



Agenda• AudiRisk: Qué es y para Qué Sirve?.• Características del Software AudiRisk que agregan valor a

las Organizaciones y las Auditorías.• Especificaciones Técnicas del Software AudiRisk.• Requerimientos de Hardware y Software para instalar

AUDIRISK.• Productos que recibe el Usuario de AUDIRISK.• Presentación de Módulos Componentes del Software

AudiRisk.• Beneficios de Utilizar AudiRisk.• Usuarios del software AudiRisk.

73

74

Especificaciones Técnicas delSoftware AUDIRISK

Especificaciones Técnicas delSoftware AUDIRISK

• Herramienta de Desarrollo: .NET, Visual Studio.• Sistema Operacional: Windows Server 2008 a 2012.

Windows Vista, 7, 8 Y 10. Excepto las versionesHome.

• Motor de Base de datos: SQL Server.• Memoria RAM: 4GB en servidor.• Disco Duro: 16 GB.• Navegadores: Internet Explorer 8.0 o superiores,

Google Chrome, Firefox y Opera.


75

Por la compra de Licencias del Software

Licenciamiento a perpetuidad, por equipo (servidor) y cantidad deusuarios concurrentes con perfiles Gerente de Auditoría, Supervisor,Analista de Auditoría y Auditor Regional.

La licencia hasta de 10 usuarios concurrentes, incluye el derecho deacceso para dos (2) usuarios adicionales, sin costo: uno (1) con perfil“Administrador” y otro con perfil “Solo Lectura”.

Por cada 10 usuarios concurrentes adicionales, de perfiles diferentes deAdministrador y Solo Consulta, se adicionan dos (2) usuarios de perfil“solo consulta”, sin costo.

Modalidades deLicenciamiento del Software



76

Por Arrendamiento de Licencias delSoftware El software se instalará en un Hosting de la Empresa ó Comercial contratado

por la empresa que adquiere el servicio de arrendamiento del software.

El arrendamiento se pacta por cantidad de usuarios concurrentes con perfilesGerente de Auditoría, Supervisor, Analista de Auditoría y Auditor Regional.

El Arrendamiento hasta de 10 usuarios concurrentes, incluye el derecho deacceso para dos (2) usuarios adicionales, sin costo: uno (1) con perfil“Administrador” y otro con perfil “Solo Lectura”.

Por cada 10 usuarios concurrentes adicionales, de perfiles diferentes deAdministrador y Solo Consulta, se adicionan dos (2) usuarios de perfil “soloconsulta”, sin costo.




77

Por la compra de Licencias del Software

Manual del Usuario del Software (E-book). Software ejecutable (CD). Bases de datos de conocimientos estándar. Licencia de uso a perpetuidad, por servidor y cantidad de

usuarios concurrentes. Acceso a la Empresa ITF “Morraos de Colombia”, para consultar

dos (2) Ejemplos de Auditorías Basadas en Riesgos Críticos yrealizar pruebas con fines de capacitación y entrenamiento .

Derecho a recibir soporte técnico y actualizaciones del softwarey la metodología durante un año.


Entregables que recibe elUsuario de AUDIRISK


78

Por el Arrendamiento de Licencias delSoftware

Manual del Usuario del Software (E-book). Acceso utilizar el Software ejecutable (CD) como empresa

Licenciataria. Acceso a Bases de datos de conocimientos estándar. Acceso a la Empresa ITF “Morraos de Colombia”, para consultar

dos (2) Ejemplos de Auditorías Basadas en Riesgos Críticos yrealizar pruebas con fines de capacitación y entrenamiento .

Derecho a recibir soporte técnico y actualizaciones del softwarey la metodología durante un año.




Servicios Complementarios. Consultoría - Acompañamiento para Integrar el Software al

proceso de la Auditoría Interna. Por cada tema principaldel software, consta de 3 sesiones:

Sesión 1: Capacitación para el uso de la metodología y elsoftware, por parte del Consultor.

Sesión 2: Trabajo de campo por los auditores de la Empresa,en Ejecución de Auditorías a procesos y sistemas.

Sesión 3: Retroalimentación por el consultor.

Servicio Anual de Actualización y Soporte Técnico.79AUDIRISK : Software de Auditoría Basada en Riesgos Críticos para Procesos y Sistemas de Información.



Agenda


valor a las Organizaciones y las Auditorías.• Especificaciones Generales y Técnicas del Software

AudiRisk.• Presentación Detallada de Módulos Componentes

del Software AudiRisk.• Beneficios de Utilizar AudiRisk.• Usuarios del software AudiRisk.


81

Módulo 3:

Planeación Anual de la Auditoría,Basada en Valoración de Riesgos


82

Planeación Anual de las AuditoríasPlaneación Anual de las Auditorías

Alineada con los Pronunciamientos del Instituto de Auditores Internosde USA (IIA) y de la Asociación de Control y Auditoría de Sistemas deInformación (ISACA) y la materialidad o significancia de los riesgos alos que se exponen las Empresas.

La base de planeación es el Universo de Riesgos de la Empresa:las categorías o clases de riesgo que podrían presentarse en lasoperaciones de organización. Por ejemplo: SARO+ SARLAFT+RIESGO ESTRATEGICO.

Para las Auditorías Internas y Externas, el Plan Anual se elaborabasándose en los resultados de la valorar la “exposición a riesgos delos procesos del modelo de operación y los servicios de sistemas dela Empresa”. Un puntaje entre 0 y 100.

Basada en “Valoración de la Exposición a RiesgosRiesgos”.


83


Para Auditorías Internas / Oficinas de Control Interno.

Provee Cuestionarios con Factores de Riesgo, por tiposde auditoría (procesos del modelo de operación, procesosde TIC y otros servicios de sistemas )

Estima la Exposición a Riesgos de los trabajos deauditoría, por Categorías de Riesgo y por tipos deauditoría.

Prioriza los trabajos de auditoría por tipos de auditoría. Elaborar cronograma anual de la auditoría. Permite realizar seguimiento al plan.

Basada en “Valoración de la Exposición aRiesgos”.


84


Para Auditorías Externas y Organismos de Control delEstado Elabora y controla el plan anual de auditoría por sector y

empresas, según su nivel de exposición a riesgos :

Provee Cuestionarios con Factores de Riesgo, por sectores Estima Exposición a Riesgos de las Empresas dentro de

cada sector, por empresa y categorías de riesgo. Elaborar cronograma anual de la auditoría por Sector. Define trabajos a realizar por empresa.

Permite hacer seguimiento al Plan Anual.

Basada en “Valoración de la Exposición aRiesgos”.


85

Planeación Anual de la AuditoríaBasada en Valoración de Riesgos

AUDIRISK elabora el plan anual de auditoría y controla su ejecución,a través de los siguientes pasos:

1. Por cada tipo de auditoría (revisiones), permite priorizar lostrabajos candidatos a ser auditados, de acuerdo con el nivel deExposición a Riesgos:Tipos de Auditorías: A Procesos del modelo de operación de la empresa. A Procesos de tecnología de información (TI). A Aplicaciones de computador ó Módulos de ERPs. Seguimientos a auditorías efectuadas por terceros. Otros tipos de revisiones.

Planeación Anual de la Auditoría Interna.


86

Módulo 3: Planeación Anual de laAuditoría Basada en Riesgos


2. Por cada tipo de auditoría (revisiones), permite generarpanoramas de riesgo a nivel Corporativo:

Por Tipos de Auditorías Priorización de Categorías de Riesgos en los procesos del modelo

de operación de la empresa. Priorización de Categorías de Riesgos en los procesos de

tecnología de información. Priorización de Categorías de Riesgos en las Aplicaciones de

computador.



87



3. Elaborar programación de auditorías a realizar durante el año, deacuerdo con las prioridades asignadas por tipos de auditorías opor clases de riesgo.

4. Efectuar seguimiento al plan anual de la auditoría / Evaluar lagestión de la auditoría de acuerdo al cumplimiento del plan anual.

5. Generar reportes de planeación, seguimiento y control del plananual de auditoría.



88



89

Módulo 4

Desarrollo de Auditorías Basadas enRiesgos Críticos, a procesos y

sistemas de información


90


Críticos

1. A los procesos del Modelo de Operación de la Empresa(estratégicos, misionales, de soporte y de supervisión ycontrol).

2. A los procesos de Tecnología de Información yComunicaciones (por ejemplo, los procesos COBIT, ITIL, ISO27001).

3. A las aplicaciones de computador en producción (ó módulosde ERPs), y

4. A los componentes clave de la Infraestructura de Tecnologíade Información.

Tipos de Auditorías que soporta AUDIRISK


91

Módulo 4: Desarrollo de AuditoríasBasadas en Riesgos

1. Para una muestra de eventos de riesgo inherentes (por ejemplo, 30eventos), conducir el desarrollo de las fases, etapas y pasos delproceso de auditoría a los procesos del modelo de operación de laempresa, los procesos de la infraestructura de TI y las Aplicaciones deComputador.

• Planeación Basada en Riesgos.• Evaluación del Control Interno.• Pruebas de Cumplimiento.• Pruebas Sustantivas.• Generar los Informes con los resultados de la Auditoría – 4 informes.• Seguimiento a hallazgos de la auditoría.

2. Elaborar los papeles de trabajo de la auditoría – formato electrónico.3. Controlar el tiempo asignado por cada auditoría.

Objetivos:


92

Cómo Iniciar el desarrollo deAuditorías con AUDIRISK ?

Cómo Iniciar el desarrollo deAuditorías con AUDIRISK ?

Parametrización: Crear y conocer Ambiente deTrabajo.

Poblar tablas privadas de la Empresa en Base de Conocimientos de laEmpresa.

Conocer parámetros establecidos en el software con estándares deauditoría a emplear en la Empresa.1. Para evaluación de riesgos – inherentes y residuales.2. Para Evaluación del Control Interno Existente.3. Para Medición del cumplimiento de controles y exactitud de la información

(cifras que pudieran ser impactadas por amenazas con debilidades decontrol).

4. Estados de Auditoría.5. Estado de las Recomendaciones.6. Correos electrónicos y mensajes de Recordatorio.


93

Cómo iniciar o Continuar unaAuditoría con el Software AUDIRISK


Para Iniciar una Auditoría.

Crear en AUDIRISK la auditoría que será ejecutada.

Programada en el Plan Anual No Programada en el Plan Anual. A partir de la última auditoría ejecutada. A partir de estudios de gestión de riesgos desarrollados con el

software CONTROLRISK.

Seleccionar Auditoría.

Ingresar al tablero de control “Etapas de la Metodología de laAuditoría”.


94



Para Continuar el desarrollo de una Auditoría yaIniciada.

Ingresar al menú principal. Seleccionar empresa. Seleccionar Módulo 4 – “Auditorías Basadas en Riesgos”. Seleccionar Auditoría. Ingresar al tablero de control “Etapas de la Metodología de la

Auditoría”. Continuar con la primera etapa donde el menú se visualice

“Activo” (prendido o iluminado).


95

Fases del Proceso de AuditoríaBasada en Riesgos Críticos


96

Preauditoría

Comprensión

Cubo de laAuditoría

Id., y Análisisde Riesgos

12

3

4

MemorandoPlaneación

Caracterización

RiesgosInherentes

Críticos



Programa deTrabajo

Mapas deRiesgos Pot.

Fases y Etapas de las Auditorías con AUDIRISKFASE 1: PLANEACIÓN BASADA EN RIESGOS


97

Evaluar ControlesEstablecidos Pruebas de

CumplimientoPruebas

Sustantivas

56

7

8Medir Efectividadde los controles

A ExactitudDatos Claves

SeguimientoInformes Aud.

A ControlesClaves


Hallazgos deAuditoría


Fases y Etapas de las Auditorías con AUDIRISKFASES 2 Y 3 : EJECUCION E INFORMES DE LA AUDITORÍAFASES 2 Y 3 : EJECUCION E INFORMES DE LA AUDITORÍA

Informe de Auditoría







Fase I: Planificación de la Auditoría Basada enRiesgo.

La base para la planificación y desarrollo de las Auditorías es laimportancia relativa o materialidad de las clases de riesgos del Universode Riesgos de la Empresa, a las que se expone cada proceso o sistema deinformación de la organización. Por ejemplo, en un proceso de compraspueden presentarse las siete (7) clases de riesgo del SARO y de estas solotres (3) son CRITICAS porque podrían producir las mayores pérdidas a laorganización, estimadas en el horizonte de un año (pérdida anual estimada,PAE).


Críticos


Fase I: Planificación de la Auditoría Basada enRiesgo.

Comprende:

1) Pre-auditoría: Definición del Memorando de Planeación de la Auditoría:objetivos, alcance y recursos, puntos de énfasis y recursos requeridos.

2) Comprensión o Entendimiento del Contexto Interno del proceso o sistema objetode la Auditoría. Elaborar Archivo Permanente o Expediente continuo de laAuditoría.

3) Identificación y Análisis de cada evento de riesgo inherente de la Muestra deEventos seleccionados por la Auditoría.

4) Elaboración del Cubo de Riesgos de la Auditoría .


Críticos

Priorizar las Clases de Riesgo- Técnica Delphy


103

Provee una Base de Datos de Conocimientos de Gestiónde Riesgos y procedimientos de auditoría, con “bestpractices” universales:

Clases o Categorías de Riesgos (SARO, SARLAFT, MECI, SECTOR SALUD). Cuestionarios para evaluar la “Exposición a riesgos” en los procesos y sistemas de la empresa. Eventos de riesgo Inherentes (amenazas) que podrían presentarse. Objetivos de Auditoría. Tipos y clases de Auditorías. Objetivos de control. Controles Aplicables, Cuestionarios y Checklists de Controles (CSA: Control Self Assessment). Tipos de Hallazgos de Auditoría. Técnicas de auditoría. Cuestionarios para evaluar satisfacción de criterios de la información de negocios (de calidad,

seguridad, confiabilidad y cumplimiento). Modelos de Procesos de TIC (COBIT, ISO 27001) y Escenarios de Riesgo aplicables a TICs según

marcos de referencia universales vigentes (Controles Generales y Controles de Aplicaciones decomputador).

El software AUDIRISK


104

Suministrada por AUDISIS

Bases deConocimientoEstándar

AUDIRISK

• Categorías Riesgos: SARO,SARLAFT, MECI, AUDIRISK.

• Eventos de Riesgo (amenazas).

* Controles.

* Escenarios de riesgo: de TI,aplicaciones y a la medida.

* Técnicas de auditoria.

* Objetivos de Control.

• Modelos de evaluación deriesgos y Controles.

Best Practices sobre

* Riesgos – Amenazas de Riesgo.

* Amenazas de Riesgo – Controles.

• Escenarios - Objetivos de Control.

Articulaciones entre

Base de Conocimientos Estándar


105

Por cada Auditoría “Basada en Riesgos Críticos”realizada con AudiRisk:INPUT

Base de Datos de Conocimientos de Gestión de Riesgos y Auditoríasuministrada con AUDIRISK. Punto de partida para la planeación y desarrollo de lasauditorías Basadas en Riesgos Críticos en la Empresa.

OUTPUT

1. Papeles de Trabajo de la Auditoría: Elementos de la base de conocimientosaplicables al proceso o sistema objeto de auditoría, incrementada con elementosparticulares de las operaciones de cada proceso o sistema.

2. Base de Conocimientos Actualizada: “Best Practices” de la Base deConocimientos de entrada, incrementada con prácticas especificas utilizadas porla Empresa, identificadas en el desarrollo de la auditoría realizada con AUDIRISK.

El software AUDIRISK


106

Bases de Conocimientos con Resultadosde las Auditorías

Base de laEmpresa- Antesde la Auditoria

Proceso deNegocio

Base de Datos de la Empresaincrementada con Riesgos,Amenazas, Controles,técnicas de auditoria y otraspracticas utilizadas.

BC de la Empresa

Base de Trabajo

Cubo de Riesgos para la Auditoría.

Guías de Control personalizadas.

Evaluación de Controles Existentes.

Diseño de Pruebas deCumplimiento y Sustantivas.

Hallazgos de Auditoría.

Informe de la Auditoría.




Auditoría Basada en Riesgos a losProcesos y Sistemas de la Empresa



Medición Severidad del RiesgoInherente

Medición Severidad del RiesgoInherente


Escala para evaluar Severidadde los Riesgos

109

Niveles deSeveridad del

Riesgo(Inherente oResidual )

Consecuencias en caso de Presentarse

1: BajoLa ocurrencia del evento (amenaza) tendría consecuencias leves, tolerables por laorganización. Se puede gestionar mediante procedimiento de rutina. En caso depresentarse no desestabiliza a la organización.

2: ModeradoEn caso de presentarse ocasionaría consecuencias que superan el nivel de toleranciade la organización. Requiere atención de la Gerencia. Debe ser gestionado concontroles para disminuir su impacto o la frecuencia de ocurrencia.

3: AltoEn caso de presentarse ocasionaría consecuencias financieras y operacionales deimpacto severo o significativo para la organización. Es necesaria la atención inmediatade la Gerencia. Debe gestionarse con acciones para transferir el riesgo a terceros,dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.

4: ExtremoSu ocurrencia ocasionaría consecuencias financieras y operacionales de impactocatastrófico para la organización. Es necesaria la atención inmediata de la Gerencia.Debe gestionarse con mecanismos para evitar su ocurrencia o transferir el riesgo aterceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.





Fase II: Ejecución de la Auditoría Basada en RiesgosCríticos.

Para los eventos de riesgo inherentes seleccionados en lamuestra de auditoría, comprende:1) Evaluación del Diseño y Efectividad de los Controles Existentes: por cada evento

de riesgo inherente.2) Diseño, Planeación y Ejecución de Pruebas de Cumplimiento, para los controles

de los eventos de riesgo que ofrecen protección APROPIADA.3) Diseño, Planeación y Ejecución de Pruebas Sustantivas, a los datos impactados

por los eventos de riesgo que presentan DEBILIDADES DE CONTROL.4) Generación de informes con los resultados de la Auditoría.


Críticos

Criterios para Evaluar la Efectividad de los ControlesEstablecidos

Niveles deEfectividad delos Controles

Criterios de Evaluación / Significado de la Efectividad de los ControlesEstablecidos por cada Evento de Riesgo Inherente (Amenaza)



3:Insuficiente



5: MuyDeficiente





Ries

go In

here







Medición de Riesgos Residuales, después de evaluar y verificarlos Controles Establecidos - MODELO "AUDISIS“




Evento (Amenaza): Robo de dinero en cajero automático (ATM), por suplantación delpropietario de la tarjeta.

Riesgo Potencial (Inherente): Evento de riesgo al que se expone el Banco (usuario), de acuerdocon la naturaleza y modo de operación del cajero automático . En su evaluación no se tienen encuenta los controles establecidos.

Evaluación Severidad, antes de Controles : E - Extremo.Acciones de Respuesta: Reducir (mitigar) el riesgo.

Controles:• Preventivos: Uso de tarjeta y PIN. Políticas de seguridad para uso de cajero automático.

• Detectivos: Validar que tarjeta y PIN coincidan. Informar desviación (mensaje) y bloquear.• Correctivos: Reemplazar la tarjeta bloqueada y asignar nuevo PIN.

Efectividad de los Controles. 1: Apropiada.Riesgo Residual: Riesgo que permanece después de Evaluación de Controles yPruebas de Auditoría. Riesgo no protegido o no cubierto por los controles establecidos.Evaluación Severidad: B - Bajo (Tolerable).

Aplicación del enfoque de los (3) Anillos deSeguridad o Líneas de Defensa - Ejemplo.


114

El conjunto de controles que actúan sobre cada evento de riesgo inherente,deberá satisfacer dos de los tres siguientes criterios de Efectividad:

Eficacia:Los controles se orientan a reducir el riesgo (eliminan las vulnerabilidades yagentes generados que pudieran explotar esas vulnerabilidades y materializar elevento de riesgo crítico?. Se dispone al menos una vez los tres anillos de control: Preventivo,

Detectivo y Correctivo?. Al menos 3 controles que hagan SINERGIA.Criterio Obligatorio. Calificación Promedio nivel de automatización (por clase) y discrecionalidad

es superior a 3.5?.Eficiencia

Relación C / B. Beneficios mayores que los costos?. : Calificación: Razonable(R) o No Razonable (NR).El costo de los controles por amenaza es máximo el 10% del valor de losactivos que pudieran ser impactados por el evento de riesgos

Efectividad: Eficacia + Eficiencia.

Criterios para Evaluar Efectividadde los Controles Establecidos


Enfoque de las Tres Anillos de Seguridad oLíneas de Defensa para los Eventos de Riesgo


Los tres (3) Anillos de Seguridad o Líneas deDefensa.Los controles actúan sobre los eventos de riesgo inherentes de tresmaneras, interdependientes: Como control Preventivo. Condicionan los actos de la organización

para asegurar que ocurran de manera preestablecida – Sonestándares de actuación.

Como control Detectivo. Para detectar, registrar e informar laocurrencia de la amenaza (son alarmas que se disparan cuando sedetecta que está presentándose la amenaza). Refuerzan y validanel control preventivo. Hacen pareja con el control preventivo.

Como control Correctivo. Obligan a tomar acción correctiva pararesolver el problema detectado por los controles detectivos. Hacenpareja con los controles detectivos.




El enfoque de los 3 Anillos deSeguridad ó Líneas de Defensa


Escala para Evaluar Efectividad de losControles

118

Efectividad delos Controles

Significado de la Efectividad de los Controles Establecidos por cada Amenaza(riesgo potencial)



3:Insuficiente



5: MuyDeficiente





Clases de Controles CalificaciónAutomáticos no discrecionales (Clase A). Los

controles son automatizados y se aplican sin excepciones a

todo el universo.

5.0 puntos

Automáticos discrecionales (Clase B). Los controles

son automáticos y aplican solo a una parte del Universo.

4.5 puntos

Manuales no discrecionales(Clase C). Los controles

son manuales y se aplican sin excepciones a todo el universo.

4.0 puntos

Manuales discrecionales(Clase D). Los controles son

manuales y aplican solo a una parte del Universo.

3.5 puntos

Grado de Automatización /Discrecionalidad de los Controles

Criterio de Aceptación:La calificación promedio de los controles por clase, por cada amenaza,deberá ser mayor que 3.5


Eficiencia de los controles por Amenaza:Según el costo / beneficio del conjunto de controles que actúan sobre cadaamenaza.

Eficiencia

Bene

ficio

s

Alto 5: Muy Alta 4: Alta3:

Moderada

Moderado 4: Alta3:

Moderada 2: Baja

Bajo 3: Moderada 2: Baja 1: Muy Baja

Bajo Moderado AltoCostos

RAZONABLE (R )NO RAZONABLE (NR)

Criterio de Aceptación:La calificación promedio de la eficiencia de los controles, por cadaamenaza, deberá ser mayor o igual a 4.0 (Razonable)




Ries

go In

here







Mapas de Riesgos Residuales, después de evaluar efectividad(o de verificar) los Controles Establecidos




Evaluación Efectividad / Protecciónde los Controles, por Amenaza

Protección existente (PE)- Método AUDISIS

Satisfacción de los Criterios de EvaluaciónEfectividad

RI - Antes de ControlesEstandar AS/NZ e ISO 31000

RR - Despues deControles

1: APROPIADA

Se satisfacen los 3 anillos de control y por lo menosuno de los otros dos criterios (C/B = Razonable y/oCalificación promedio de los controles superior a 3.5puntos)

4: Extremo 1: Tolerable3: Alto 1: Tolerable2: Moderado 1: Tolerable1: Bajo (Tolerable) 1: Tolerable

2: MEJORABLE Se satisfacen los 3 anillos de control, únicamente

4: Extremo 2: Moderado3: Alto 2: Moderado2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Bajo

4: INSUFICIENTEÚnicamente se satisfacen los dos criterios diferentesde los 3 anillos (C/B = Razonable y/o Calificaciónpromedio de los controles superior a 3.5 puntos)

4: Extremo 3: Alto3: Alto 3: Alto2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Tolerable

4: DEFICIENTE

Se satisface únicamente uno de los dos criteriosdiferentes de los 3 anillos (C/B = Razonable y/oCalificación promedio de los controles superior a 3.5puntos)

4: Extremo 4: Extremo3: Alto 3: Alto2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Bajo (Tolerable)

5: MUY DEFICIENTE No existen controles

4: Extremo 4: Extremo3: Alto 3: Alto2: Moderado 2: Moderado1: Bajo (Tolerable) 1: Bajo (Tolerable)


123

Informe con los Resultados de la Auditoría -Evaluación de Efectividad de los Controles Existentes / Establecidos

Ejemplo: Evaluación Efectividad de los Controles porEscenario de riesgo.

Amenazas RiesgoInherente

EfectividadControles

Establecidos -Etapa 5

RiesgoResidual


Omitir Investigación Antecedentesdel cliente E: Extremo 1: Apropiada B: Bajo / Tolerable

Girar Cheques con una sola firma A: Alto 2: Mejorable M: Moderado 1

Omitir cifras de cuadre diario E: Extremo 3: Insuficiente A: Alto 2,3Alterar cifras registradas en labase de datos de cuentascorrientes

A: Alto 4: Deficiente A: Alto4,5

Alterar registros de Soporte deIngresos M: Moderado 5: Muy deficiente M: Moderado 6

Falsificar firmas en los cheques M: Moderado 2: Mejorable B: Bajo / Tolerable

Falsificar comprobantes dedepósito M: Moderado 3: Insuficiente M: Moderado 7

Falsificar Cheques A: Alto 1: Apropiada B: Bajo / Tolerable

Promedio en el Escenario A: Alto 3: Insuficiente 2: Moderado


124

Selección de Eventos de Riesgo(Amenazas) para Pruebas de Auditoría

Selección de Amenazas para Pruebas de Auditoría, segúnresultados de la Evaluación del Control Interno.

Eventos de Riesgo Inherentes(Amenazas)

RiesgoInherente

Efectividad ControlesEstablecidos - Etapa 5


Etapa 6

Controles averificar

PruebasSustantivas -

Etapa 7Datos a Verificar

Omitir InvestigaciónAntecedentes del cliente E: Extremo 1: Apropiada Si 1,3,10, 12

Girar Cheques con una sola firma A: Alto 2: Mejorable Si 3,5,8

Omitir cifras de cuadre diario E: Extremo 3: Insuficiente Si Vr Efectivo recibido; VrEfectivo pagado

Alterar cifras registradas en labase de datos de cuentascorrientes

A: Alto 4: Deficiente Si Saldo disponible; vrcheques pagados

Alterar registros de Soporte deIngresos M: Moderado 5: Muy deficiente Si Vr depósitos recibidos;

Falsificar firmas en los cheques M: Moderado 2: Mejorable Si 1,2,3,5

Falsificar comprobantes dedepósito M: Moderado 3: Insuficiente Si Saldo disponible

Falsificar Cheques A: Alto 1: Apropiada Si4,7,9


125

• Estas pruebas se realizan por SITIO DE PRUEBA.• Una dependencia (área organizacional o tercero) puede tener varios Sitios de

Prueba.• Por cada amenaza se mide el porcentaje (%) de cumplimiento de los controles

establecidos y el Riesgo Residual (RR).• Por cada amenaza que tenga porcentaje de cumplimiento de los controles inferior

al 80%, se generan hallazgos de auditoría.• Por cada Sitio de Prueba se produce informe con los resultados de la Verificación

del Cumplimiento de los Controles establecidos (Informes ejecutivo y detallado).• Los informes de los sitios de prueba se consolidan por Dependencias.

Pruebas de Cumplimiento

Etapa 6: Logística para su Ejecución.


126

Resultados de las Pruebas deCumplimiento de los Controles y Riesgo

Residual

COMPARACION DE PROTECCION EXISTENTE (PE) ANTES Y DESPUES DE PRUEBAS DE LOSCONTROLES

Amenazas

Riesgo I.Antes de

Controles-Etapa 2

PE SegúnEval de

Controles-Etapa 5

% Puntaje Obtenidoen Pruebas deCumplimiento-

Etapa 6

CumplimientoSegún Pruebas

Etapa 6

PE Despuésde

Pruebas-Etapa 6

RR Despuésde Pruebas-

Etapa 6

Amenaza1

1:Extremo

1:Apropiada

83% Satisfactorio1:Apropiada

1: Tolerable

Amenaza2

2: Alto1:

Apropiada70%

NoSatisfactorio

2:Mejorable

2:Moderado

Amenaza3

5:Extremo

2:Mejorable

65%NoSatisfactorio

3:Insuficiente

3: Alto

Amenaza4

4: Alto1:

Apropiada48%

NoSatisfactorio

4:Deficiente

4: Alto

Amenaza5

4: Alto1:

Apropiada18%

NoSatisfactorio

5: MuyDeficiente

4: Alto

Ejemplo.


127

Criterios para Evaluar los resultados de lasPruebas de Auditoría.

Rangos % de Puntaje Obtenido

(PO)

Protección Existente (PE)Según Cumplimiento /Exactitud de la Información

Riesgo Residual – RR-(después de Pruebas )

1 Mayor del 80 % 1: Apropiada 1: Aceptable

2 Entre 60 y 80% 2: Mejorable 2: Moderado

3 Entre 40 y 60% 3: Insuficiente 3: Alto

4 Entre 20 y 40% 4: Deficiente 4: Extremo

5 Menor del 20% 5: Muy deficiente 5: Extremo

Resultados de las Pruebas de Auditoría- De Cumplimiento y Sustantivas


128

• Objetivo: Verificar (obtener evidencia) la exactitud de la información quemaneja el proceso, que pudiera ser impactada por amenazas con lasdebilidades o deficiencias de control en etapas 5 y 6.

• Diseño centralizado. Se diseñan y planean por técnica de auditoría,para datos que pudieran ser impactados por amenazas con debilidadesde control interno (protección NO APROPIADA en etapa 5) o que enetapa 6 (pruebas de cumplimiento) se comprueba que no cumplensatisfactoriamente los controles establecidos.

• Ejecución Descentralizada. El plan de pruebas se aplica en múltiplesSitios de Prueba de las dependencias (Áreas organizacionales o terceros)seleccionados a criterio del auditor.

Pruebas Sustantivas

Etapa 7: Logística para su Ejecución.


129

Productos a Obtener. Resumen Evaluación de la Exactitudde la Información (EI) y el Riesgo Residual (RR) por ÁreasOrganizacionales / Sitios de Prueba.

Sitio 1 83.6 % 1: Satisfactorio 1: AceptableSitio2 74% 2: Mejorable 2: Moderado 1Sitio 3 32% 4: Deficiente 4: Extremo 2,3Sitio 4 61% 3: Insuficiente 3: Alto 4Promedio 41,75% 3: Insuficiente 3: Alto

Hallazgos deAuditoria

PuntajeObtenido

EI Despues dePruebas Sustantivas

Riesgo Residualdespues de Pruebas

Areas /Sitios de

Aplicar Pruebas Sustantivas


130

Comprende las actividades de Generación, validación y emisión de tres (3)Informes:

De la Evaluación de Control Interno Existente – Etapa 5. Paralas 3 dimensiones del Cubo de Riesgos.De las Pruebas de cumplimiento – Etapa 6.• Por sitios de prueba.• Por Áreas Organizacionales – varios sitios de prueba.• Consolidado del proceso a nivel organización.

De las Pruebas Sustantivas – Etapa 7.• Por sitios de prueba.• Por Áreas Organizacionales – varios sitios de prueba.• Consolidado del proceso a nivel organización.

Fase III: Comunicación de Resultados de laAuditoría.


Críticos




Comprende actividades de planeación (elaborar plan),ejecución de seguimiento e informe de seguimiento de tres (3)Informes:

De Control Interno Existente – Etapa 5.De Pruebas de cumplimiento – Etapa 6.De Pruebas Sustantivas – Etapa 7.


Críticos



• Se realiza por Sitios de Prueba, en diferentes fechas de corte.• Generación y envío automático de Correos Electrónicos de

Recordatorio, a responsables de implantar, supervisar y hacerseguimiento a acciones de mejora.

• Genera estadísticas del estado de implantación de lasrecomendaciones y acciones de mejora (implantadas, enproceso, pendientes de atender, anulados).


Críticos

Módulo 5:Gestión de Resultados de

la Auditoría


134

Genera estadísticas y gráficos sobre las auditoríasrealizadas con AUDIRISK durante un periodo de tiempo.

Auditorías Planeadas Vs Auditorias Ejecutadas.

Estadísticas de Hallazgos informados en el periodo, por auditorías ytipos de Auditorías (Procesos del Modelo de Operación, Procesos de TI,Aplicaciones de Computador).

• Cantidad y Porcentaje de Hallazgos de Auditoría sobre Diseño de ControlesInternos.

• Cantidad y Porcentajes de Hallazgos de Auditoría sobre Pruebas deCumplimiento.

• Cantidad y Porcentajes de Hallazgos de Auditoría sobre Pruebas Sustantivas.

Módulo 5:Gestión de Resultados de la Auditoría


135

Genera estadísticas y gráficos sobre las Auditoríasrealizadas con AUDIRISK durante un periodo de tiempo.

Estadísticas sobre cantidad y porcentaje de recomendacionesemitidas en el periodo, por auditoría, tipos de auditorías y Sitiosde Prueba.

• Recomendaciones sobre Efectividad (Diseño) de ControlesInternos.

• Recomendaciones sobre Pruebas de Cumplimiento.• Recomendaciones sobre Pruebas Sustantivas.



136

Genera estadísticas y gráficos sobre las auditoríasdesarrolladas con AUDIRISK durante un periodo detiempo.

Estadísticas sobre el Estado de Atención de lasrecomendaciones emitidas en el periodo, por auditoría, tipos deauditorías y Sitios de Prueba.

• Recomendaciones de Auditoría sobre Efectividad (Diseño) deControles Internos.

• Recomendaciones de Auditoría sobre Pruebas de Cumplimiento.• Recomendaciones de Auditoría sobre Pruebas de Cumplimiento.

Módulo 5Gestión de Resultados de la Auditoría


137

Genera estadísticas y gráficos sobre las auditoríasdesarrolladas con AUDIRISK durante un periodo detiempo.

Estados de Atención de las recomendaciones emitidas porla Auditoría, en el periodo.

• Implantada.• En Proceso.• Pendiente (por iniciar implantación).• Anulada.



138

Módulo 5:Informes de Gestión de la Auditoría

2015


139

Beneficios de UtilizarAUDIRISK?

Beneficios de UtilizarAUDIRISK?


140

Beneficios CorporativosBeneficios CorporativosCon el Enfoque Proactivo y Preventivo deAUDIRISK:

Se incrementa la calidad, confiabilidad y eficiencia delos servicios de auditoría.

La auditoría ofrece mayor valor agregado a la empresa.

Promueve el mejoramiento de la cultura de mediciónde efectividad, eficiencia y cumplimiento de loscontroles internos.


141

Beneficios para las Dependenciasque manejan las Operaciones

Beneficios para las Dependenciasque manejan las Operaciones

Recibirán informes de auditoría más proactivos yasesores.

Los resultados de la auditoría servirán comoapoyo para promover la eficiencia y efectividaddel monitoreo de los controles que debenrealizar los propietarios de la información denegocios.

Recibirán informes de auditoría más proactivos yasesores.

Los resultados de la auditoría servirán comoapoyo para promover la eficiencia y efectividaddel monitoreo de los controles que debenrealizar los propietarios de la información denegocios.


Con el Enfoque Proactivo y Preventivo deAUDIRISK:

142

Beneficios para el Departamentode Auditoría


Se facilita un cambio real en la imagen del departamentodentro de la organización, basado en: Auditorías más proactivas y preventivas que

reactivas y a posteriori. Imagen del auditor “asesor-consultor” de la

Organización. Incrementa productividad, eficiencia y efectividad de

la auditoría.

Se facilita un cambio real en la imagen del departamentodentro de la organización, basado en: Auditorías más proactivas y preventivas que

reactivas y a posteriori. Imagen del auditor “asesor-consultor” de la

Organización. Incrementa productividad, eficiencia y efectividad de

la auditoría.

AUDIRISK: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información.


143

Estandariza los procedimientos y prácticas de auditoría(planeación, ejecución, informes y seguimiento) en las revisionesde los procesos de negocio o sistemas de información sujetos aauditoría.

Automatiza los procedimientos y prácticas de auditoría paraevaluación de riesgos, evaluación y verificación de controles,verificación de exactitud de la información y seguimiento arecomendaciones de la auditorías.

Beneficios para elDepartamento de Auditoría

Beneficios para elDepartamento de Auditoría



144



Automatiza la actualización y consulta de bases deconocimientos que contienen las “best practices” deadministración de riesgos, control interno y auditoríautilizadas por la empresa en sus procesos de negocio y detecnología de información.

Automatiza la actualización y consulta de bases deconocimientos que contienen las “best practices” deadministración de riesgos, control interno y auditoríautilizadas por la empresa en sus procesos de negocio y detecnología de información.



145

Beneficios para el AuditorBeneficios para el Auditor

Motiva cambios importantes en la imagen y credibilidadde los auditores:

Mejorar su imagen, efectividad y credibilidaddentro de la organización.

Obtener mayor credibilidad y aceptación en lacomunidad profesional.

Motiva cambios importantes en la imagen y credibilidadde los auditores:

Mejorar su imagen, efectividad y credibilidaddentro de la organización.

Obtener mayor credibilidad y aceptación en lacomunidad profesional.



146

Beneficios para el AuditorBeneficios para el Auditor

Los auditores crecen profesionalmente con latransferencia tecnológica que reciben.

Los auditores actúan más como asesores quecomo investigadores.

Los auditores crecen profesionalmente con latransferencia tecnológica que reciben.

Los auditores actúan más como asesores quecomo investigadores.



147

En Colombia.

Sector Industrial.

• Petróleos del Norte . PETRONORTE.• Caracol TV.• Oleoducto Central de Colombia- OCENSA.• Lafayette S.A.• G y J Ferreterías.• Alambres y Mallas.• Consorcio Metalúrgico Nacional Colmena Ltda.• Monómeros Colombo Venezolanos.

Usuarios de AUDIRISK enColombia y el Exterior



148

En Colombia.

Sector Financiero.• Acciones y Valores S.A. Comisionistas.• Crezcamos – Ahorro y Crédito. Bucaramanga.• Financiera Andina - Finandina S. A.• Fundación Mundial de la Mujer – Bucaramanga.• FINAGRO.• Crediservir – Cooperativa de Ahorro y Crédito – Ocaña.

Sector Salud.• Salud Vida – EPS – Auditoría Interna.• Famisanar – EPS – Auditoría Interna.




149

En Colombia.

Cajas de Compensación Familiar.

• Comfenalco Tolima.• Caja de Compensación Comfamiliares Caldas.• Caja de Compensación Familiar de Arauca - COMFIAR.• Compensar.




150

En Colombia.

Entidades del Sector Público.• Policía Nacional• Empresa Electrificadora de Santander - ESSA.• Contraloría General de la República• Armada Nacional.• Instituto Nacional de Vías – INVIAS.• Instituto Agustín Codazzi.• Secretaría de Hacienda – Bogotá.




151

En Colombia.Sector Educativo

• Universidad Militar Nueva Granada.• Universidad Pedagógica y Tecnologíca de Colombia.• Universidad La Gran Colombia – Bogotá.• Universidad de Ibagué – Coruniversitaria.• Universidad Autónoma de Cali.• Universidad Jorge Tadeo Lozano.• Universidad EAFIT.• Universidad Santo Tomás de Bucaramanga.• Universidad Católica de Colombia.




152

Firmas de Auditores.

• MGI Páez y Asociados Auditores y Consultores.• Nexia Montes y Asociados.• Colombian Consulting Group.• Datos y Procesos (Pasto).




153

En el Exterior.

• Cooperativa Sagrada Familia- Tegucigalpa – Honduras.• Universidad Peruana Unión (UPEU).• Banco Central de la República Dominicana.• Banco Central del Ecuador.• Banco Centroamericano de Integración Económica

(BCIE) - Honduras.• Banco Santacruz – Bolivia.• Cervecería de Costa Rica.• Instituto Nacional de Seguros (Costa Rica).

Usuarios de AUDIRISK en Colombiay el Exterior (cont.)

Usuarios de AUDIRISK en Colombiay el Exterior (cont.)


154

En el Exterior.

• Auditoría General de Bancos (Costa Rica).• Banco Nacional de Costa Rica.• Cía. Nal. de Fuerza y Luz (Costa Rica).

Usuarios de AUDIRISK enColombia y el Exterior (cont.)

Usuarios de AUDIRISK enColombia y el Exterior (cont.)


155

Gracias por su Atención

Hasta Pronto !

Para conocer el software ingrese a www.softwareaudisis.com


audirisk web - softwareaudisis.com · 1) elaborar el plan anual de auditoría, basado en la...

Documents