340 likes | 560 Views
enterprise. risk assessor. Como Herramienta de Cumplimiento de Sarbanes Oxley 404. w w w . m e t h o d w a r e . c o m. Contenido. Por qué es Importante una Herramienta de Software para el Cumplimiento Acerca de Methodware ERA y los Estándares/Metodologías Internacionales que Soportamos
E N D
enterprise risk assessor Como Herramienta de Cumplimiento de Sarbanes Oxley 404 w w w . m e t h o d w a r e . c o m
Contenido • Por qué es Importante una Herramienta de Software para el Cumplimiento • Acerca de Methodware • ERA y los Estándares/Metodologías Internacionales que Soportamos • Soporte para nuestra Metodología • El Contexto de ERA • El Proceso • Nuestras Soluciones • Cómo le Daremos Soporte • Los Beneficios • Qué Dicen nuestros Clientes • El Próximo Paso
Por qué es Importante una Herramienta de Software para el Cumplimiento Las actividades principales (procesos, estados financieros, riesgos, identificación de controles, estrategias de mitigación, tests de verificación, evaluación y reportes) generan una gran cantidad de datos y trabajo. Rastrear el estado de las evaluaciones, los resultados y la seguridad de la información representan desafíos adicionales. Richard Brilliant Vice Presidente Servicios de Auditoría Carnival Corporation & Plc
Por qué es Importante una Herramienta de Software para el Cumplimiento • Las herramientas tecnológicas pueden jugar un rol clave en el proceso y contribuir a reducir costos • Seleccione ahora la herramienta que satisfará sus necesidades en el segundo año y más allá • Las compras realizadas sin información suficiente insumen costos en exceso de la inversión tecnológica original
Acerca de Methodware • Methodware es un productor líder mundial de Software de Administración de Riesgos y Auditoría Interna. • Independientemente del tamaño y necesidades de su organización, nuestras poderosas herramientas amigables simplificarán su proceso de evaluación. Estas soluciones incorporan/son consistentes con los estándares, metodologías, recomendaciones y legislación de administración de riesgos y auditoría interna reconocidos internacionalmente, incluyendo el Sarbanes Oxley Act de 2002 y el Basel II. • Estamos ampliamente representados en todo el mundo, con oficinas en Norte América, el Reino Unido y Nueva Zelanda y una red de distribuidores que venden y asisten nuestros productos en más de 75 países.
Prácticas Sólidas para la Administración y Supervisión del Riesgo Operacional Publicadas por el Comité Basel sobre Supervisión Bancaria* Sarbanes-Oxley Act de 2002 (SOX) Estándar Australiano y Neo Zelandés: 4360:2004 (AUS/NZ 4360:2004) Informe COSO (Committee of Sponsoring Organisations of the Treadway Commission) AS/NZS ISO/IEC 17799:2000 (ISO 17799) – Seguridad de Tecnología Informática Projectos en Ambientes Controlados (Prince2) Metodología CobiT (Control Objectives for Information and related Technologies) de ISACA. ERA y los Estándares y Metodologías que Aplicamos ERA y los Estándares/Metodologías Internacionales ERA incorpora o es consistente con los siguientes Estándares, Metodologías, Recomendaciones y Legislación de Administración de Riesgos y Auditoría Interna
Soporte para nuestra Metodología En una reciente reunión de la SEC se discutió en mesa redonda el avance del SOX 404 y hubo algunos hallazgos claves: • Se requiere un enfoque más basado en riesgos • Se necesita encarar la implementación de Sistemas de TI y auditoría • Se requiere una auditoría integrada “ERA es un enfoque basado en riesgos, integra CobiT y tiene la integrada la auditoría”.
El Contexto de ERA Herramienta Builder Definir la estructura de riesgo Definir la terminología Definir seguridad y la pista de auditoría Personalizar funcionalidad del Assessor Generar el Assessor GRUPO DE RIESGOS / AUDITORIA Director Ejecutivo DIVISION 2 DIVISION 3 Assessor – Usuarios Power Agregar riesgos específicos del usuario Agregar controles específicos del usuario Analizar y reportar Llevar a cabo el proceso de evaluación Distribuir Formularios a las unidades Administrar evaluaciones UNIDADES DE NEGOCIO UNIDADES DE NEGOCIO Gerentes Generales Cliente Java Agregar riesgos específicos del usuario Agregar controles específicos del usuario Llevar a cabo el proceso de evaluación Formularios Word/HTML Documentos Word interactivos Evaluar utilizando valores estándar Asignar responsabildades Retornar vía eMail Comentar procesos/riesgos/controles Gerentes Consolidación Consolidación a múltiples niveles Desmenuzar información de riesgos y controles Comparar perfiles de riesgo Identificar tendencias de riesgos Recolección de Datos Elaboración de Reportes Registro de Riesgos / reportes de Perfiles de Riesgo Reportes gráficos
Esquema del Proceso – Proceso Sección 404 Identificar Procesos, Estados y Riesgos Documentar controles Reportes Formales Test Inicial Documenting controls Evaluación de riesgos Planes de Remediación Consolidación y Análisis Actualizar los Tests Certificación
El Proceso – Identificar Procesos, Estados y Riesgos • Identificar Procesos Claves relaciondos con Reportes Financieros • Identificar los riesgos en reportes financieros (incluyendo los controles generales de TI y los controles basados en los sistemas) • Comprender los objetivos de control de las cinco certificaciones de los reportes financieros • Discusión con la gerencia • Consulta con firmas de administración de riesgos y auditoría
El Proceso – Identificar Procesos, Estados y Riesgos Identificar y documentar Procesos Financieros Claves Identificar y documentar Estados Financieros Claves Identificar riesgos en informes financieros
El Proceso – Documentar Controles • Documentar controles en forma de narrativas, diagramas de flujo (se pueden adjuntar a los controles en ERA) • Vincular los controles a los riesgos de informes financieros
El Proceso – Documentar Controles The Next Step Identificar y documentar controles y vincular a riesgos Controlar afirmaciones
El Proceso – Tests Iniciales • Eficacia inicial del control utilizando: • Tests por muestreo, metodologías de verificación tales como observación, examen de evidencias • Información del personal, en particular aspectos históricos
El Proceso – Tests Iniciales Test de controles Búsqueda de Documentos
El Proceso – Evaluación de Riesgos • Evaluar la probabilidad y consecuencia de los riesgos con relación a las Observaciones desde los tests iniciales • Las Observaciones se clasifican en términos de debilidades, deficiencias, materialidad y controles compensatorios
El Proceso – Evaluación de Riesgos Evaluar la consecuencia y probabilidad del riesgo Ver y reportar gráficamente
El Proceso – Planes de Remediación • Se desarrollan e implementan planes de remediación para encarar las deficiencias en los controles • Luego de mejorar los controles, los mismos son verificados nuevamente
El Proceso – Planes de Remediación Identificar planes de remediación Evaluar el nivel de riesgo objetivo y graficar o reportar
El Proceso – Actualizar los Tests • Actualizar los tests para asegurar la validez de las verificaciones iniciales
El Proceso – Consolidación y Análisis • Consolidación y análisis para determinar si hay alguna debilidad material
El Proceso – Certificación • Llevar a cabo el proceso de certificación con los propietarios de los procesos utilizando cuestionarios dentro de ERA, ya sea en el Assessor Power/Java o utilizando Formularios HTML
El Proceso – Certificación Llevar a cabo la certificación con propietarios de procesos (utilizando el Assessor) Llevar a cabo la certificación con propietarios de procesos (utilizando formularios HTML)
El Proceso – Reportes Formales • Elaboración de reportes formales
Standalone Grupo de Trabajo Empresa Web Nuestras Soluciones Standalone Acceso usuario único Grupo de Trabajo Acceso múltiples usuarios Acceso multiusuario a archivos de datos en un disco compartido Ideal para organizaciones pequeñas con una cantidad limitada de usuarios Ideal para una cantidad moderada de usuarios concurrentes
Standalone Grupo de Trabajo Empresa Web OurSolutions 3 Toda la Empresa Acceso Internet/Intranet Usuarios Power Usuarios Web Servidores Middleware Base de Datos ODBC Ideal para organizaciones con mucha gente que necesita acceder a las evaluaciones desde distintos lugares y con diferentes niveles de seguridad
Cómo le Brindamos Soporte • Mesa de Ayuda • Nuevas Versiones de Productos – cada 12 a 18 meses • Apoyo en la Implementación • Entrenamiento • Servicios Profesionales
Los Beneficios para Usted • Una Única Solución para cumplir con SOX y con CobiT utilizando una aplicación que es líder mundial. • Un enfoque basado en Riesgos significa que usted sólo encara los controles que le representan un riesgo. • La jerarquía de la evaluación es lógica. • Visibilidad y colaboración en todo el mundo via la web. • Soporte probado por parte de Methodware y/o de Solutions Partners experimentados. • Flexibilidad en la forma de personalización por el usuario que pocos proveedores han podido lograr.
Qué Dicen nuestros Clientes “ERA provee un negocio de una parada para las evaluaciones de Riesgos y las evaluaciones SOX 404. La misma eliminó la necesidad de contar con múltiples herramientas. Richard Brillant Vice President Audit Services Carnival Corporation & pic “Hemos encontrado que Enterprise Risk Assessor es una herramienta valiosa para nuestra Corporación. No sólo posibilita reportes y análisis simples y eficientes a nivel divisional, sino que utilizando la funcionalidad de consolidación, el sistema brinda reportes resumen y análisis comparativo detallado en forma más concisa y oportuna.”Sam McCaffrey, SA Water “El software y sus versiones refinadas nos han ahorrado tiempo y mejorado nuestra reputación proveyendo resultados precisos y confiables en forma inmediata. En nuestro negocio no hay tiempo para un segundo proceso. Debemos lograr los resultados correctos en forma inmediata para determinar los impactos en el mercado y tomar las decisiones críticas del negocio. No hay un enfoque de “espere en la cola” en el servicio de Methodware. El mismo es inmediato, personal y profesional. Ellos son nuestros proveedores de servicios mejor ranqueados." Risk Management AdvisorAustralian Governmental Regulation & Compliance Agency
El Próximo Paso Contacte a: NetConsul Ltda. www.netconsul.com Eduardo Zabotinsky ezabo@netconsul.com Gustavo Zabotinsky Cantón guzabo@netconsul.com y solicite una demostración práctica de esta herramienta de software a través de la web.