1. RIESGOS - Auditoria Informática
Ejecución del Trabajo
Podemos considerar las siguientes técnicas para identificar riesgos:
Análisis del flujo del proceso. En cada proceso, debemos identificar los
subprocesos y actividades, respecto de las cuales debemos preguntar
¿Qué puede fallar?, ¿Cómo puede suceder? y ¿Cuál es la consecuencia
desde el punto de vista de riesgo?
Considerar los resultados de la investigación preliminar
Tomar en cuenta eventos ocurridos en la empresa y/o en la industria
Análisis de factores externos (económicos, competencia, políticos,
sociales, tecnológicos) e internos (personal, sistemas).
Entrevistas y consultas al personal clave respecto de riesgos asociados
a factores internos y externos.
2. Ejecución del Trabajo
Evaluar los Riesgos Identificados
El objetivo de esta actividad es determinar la magnitud
del riesgo de lograr los objetivos definidos por la
organización para la materia bajo análisis, en función de
su impacto o consecuencias y de su probabilidad de
ocurrencia.
La combinación impacto/probabilidad para cada uno de
los riesgos identificados, Permite determinar cuán
riesgoso es que la materia a auditar sea susceptible a
errores o fallas, que pudieran ser importantes en forma
individual o en conjunto con otros riesgos, asumiendo
que no hay acciones y/o controles de la dirección para
mitigar su probabilidad o impacto o que éstas acciones
y/o controles no son lo suficientemente eficaces para
mitigarlos.
RIESGOS - Auditoria Informática
3. Matriz de Riesgos
Riesgo N°
IDENTIFICACIÒN
DE RIESGOS
INHERENTES
Evaluación Riesgo
Inherente)
Evaluación actividades de control y/o monitoreo
Observaciones y/o hallazgos
Imp
act
o
Pro
bab
ilid
ad
Eva
lua
ció
n
Controles Impacto prob RiesgoF.
RIESGOS - Auditoria Informática
4. Evaluar los Riesgos Identificados
Calificar el Impacto de Cada Riesgo
Se entenderá por impacto, el efecto o consecuencia de la
materialización asociado a cada riesgo identificado. Se debe
determinar el impacto por cada uno de los riesgos identificados para
la materia bajo análisis, considerando la clasificación de impacto
siguiente:
Nivel Materialidad
Catastrófica Superior a MM$500
Grave entre MM$100 y MM$500
Moderado entre MM$10 y MM$100
Débil entre MM$5 y MM$10
Insignificante menos MM$5
RIESGOS - Auditoria Informática
5. Evaluar los Riesgos Identificados
Calificar la probabilidad de Cada Riesgo Inherente
La probabilidad representa la posibilidad que el riesgo ocurra, es decir la
probabilidad de que el riesgo identificado se materialice. Se debe estimar la
probabilidad de ocurrencia por cada uno de los riesgos identificados en %.
Nivel Descripción Cualitativa
Casi certeza Se espera que ocurra en la mayoría de las circunstancias
Probable Probablemente ocurrirá en buena parte de los casos
Posible Podría ocurrir más que a nivel de excepciones
Improbable Puede ocurrir con cierto nivel de excepción
Casi Imposible Puede ocurrir sólo en circunstancias muy excepcionales
RIESGOS - Auditoria Informática
6. Matriz de Evaluación de Riesgos
Impacto /
Probabilidad
de Ocurrencia
Insignificante Debil Moderado Grave Catastrofico
Casi certeza
medio medio alto medio alto alto alto
Probable
medio bajo medio medio alto medio alto alto
Posible
bajo medio bajo medio medio alto medio alto
Improbable
bajo bajo medio bajo medio medio alto
Casi imposible
bajo bajo bajo medio bajo medio
RIESGOS - Auditoria Informática
7. Ejercicio
Para el caso de su empresa en estudio
Identificar;
Identificar Riesgos Inherentes en Matriz y evaluar sus riesgos
RIESGOS - Auditoria Informática