Semana 3 Mecanismos básicos de auditoría - Riesgos

Semana 3

Mecanismos básicos de auditoría - Riesgos

Mecanismos básicos de auditoría - Riesgos

• Generalidades de los riesgos
• Evaluación de riesgos
• Control de riesgos
• Re-evaluación de riesgos

¿Qué se entiende como “riesgo”?La posibilidad de que algo malo pase.¿Por qué tomamos riesgos?Por la posibilidad de que algo bueno pase.

Generalidades de los riesgos

Ejemplos de actividades diarias que implican riesgos que asumimos

Conseguir un nuevo empleo

Iniciar un proyecto o empresa

Invertir tiempo en algo nuevo

Conducir el auto

Generalidades de los riesgos

Generalidades de los riesgos

Probabilidad

Impacto

Amenaza

Evaluación de riesgos

1. Los recursos de una organización son limitados.
2. ¿Cuántos riesgos en total se deben atender?
3. ¿Cuál riesgo debe ser atendido en primer lugar?
4. ¿Quién decide esto?

Evaluación de riesgos

Evaluar el riesgo

Crear la matriz de riesgos

Definir la probabilidad

Definir el impacto

Definir el impacto

Evaluación de riesgos

Evaluación de riesgos

• Paso 1 – Definir el impacto.
• ¿Qué significan “Insignificante”, “Menor”, “Moderado”, “Serio” y “Mayor”?
• Deben significar lo mismo para todos en la organización.
• Depende del “rubro” del que hablemos.

Evaluación de riesgos

Evaluación de riesgos

Definir la probabilidad

Definir el impacto

Paso 2 Definir la probabilidad

Evaluación de riesgos

Evaluación de riesgos

Crear la matriz de riesgos

Definir la probabilidad

Definir el impacto

Paso 3 Crear la matriz de riesgos

Evaluación de riesgos

Paso 3 Crear la matriz de riesgos

Evaluación de riesgos

Evaluación de riesgos

Evaluar el riesgo

Crear la matriz de riesgos

Definir la probabilidad

Definir el impacto

• 1 – 6 Riesgo bajo (No es necesaria ninguna acción).

• 8 – 12 Riesgo medio (Requiere atención, el riesgo y el problema pueden ocurrir).

• 15 – 25 Riesgo alto (Requiere atención urgente y la implementación de controles para reducir el riesgo).

Paso 4 Evaluar los riesgos

Evaluación de riesgos

Control de riesgos

¿Qué hacemos con los riesgos una vez que los evaluamos?

Evitar

Asumir

Transferir

Reducir

Control de riesgos Reducir el riesgo

• Reducir el riesgo
• Los controles cuestan dinero.
• Los controles cuestan recursos de implementación.
• Los controles cuestan recursos de seguimiento.
• La gerencia es quien decide hasta dónde reducir el riesgo.
• Se trata de encontrar el equilibrio

Auditoría de sistemas

• REDUCIR los riesgos hasta un nivel aceptable por la gerencia.
• TRANSFERIR los riesgos (al menos los que tienen evaluación alta).
• ASUMIR los riesgos con información claramente comunicada a los niveles adecuados.
• EVITAR los riesgos como última opción.

Control de riesgos Recomendaciones

Re-evaluar los riesgos

Controlar los riesgos

Evaluar los riesgos

Riesgos

Re-evaluación de riesgos

Event-driven:

•El negocio cambió.•Hay oportunidades nuevas que se quieren aprovechar.•La regulación cambió.•Ocurrieron desastres naturales.•A alguien más le pasó…

Time-driven:

•Cada 6-12 meses.•Según las necesidades de la empresa.

Re-evaluación de riesgos

• Es mejor (y más barato) identificar y controlar los riesgos.
• Hay que identificar claramente: Amenaza, Impacto y probabilidad.
• La evaluación de riesgos debe dejar claro a todos los involucrados los niveles de probabilidad e impacto.
• Los riesgos deben: Reducirse, Transferirse, Asumirse, Eliminarse.
• Quién define dónde debe parar la reducción de riesgos es la gerencia.
• La re-evaluación de riesgos puede ser time-driven o event-driven.

Para recordar…

Este material digital es propiedad de la Universidad Rafael Landívar, se comparte por medio de una licencia Creative Commons CC BY-NC-ND del tipo "Atribución-No Comercial-Compartir igual", la cual permite copiar, distribuir y comunicar públicamente la obra, mientras se reconozca la autoría original, no se utilice con fines comerciales, ni se realicen obras derivadas. https://creativecommons.org/licenses/by-nc-nd/3.0/gt/