Semana 3 Mecanismos básicos de auditoría - Riesgos

Mecanismos básicos de auditoría - Riesgos

Semana 3

Mecanismos básicos de auditoría - Riesgos

• Generalidades de los riesgos
• Evaluación de riesgos
• Control de riesgos
• Re-evaluación de riesgos

Generalidades de los riesgos

¿Qué se entiende como “riesgo”?La posibilidad de que algo malo pase.¿Por qué tomamos riesgos?Por la posibilidad de que algo bueno pase.

Generalidades de los riesgos

Invertir tiempo en algo nuevo

Conducir el auto

Ejemplos de actividades diarias que implican riesgos que asumimos

Iniciar un proyecto o empresa

Conseguir un nuevo empleo

Generalidades de los riesgos

Amenaza

Impacto

Probabilidad

Evaluación de riesgos

1. Los recursos de una organización son limitados.
2. ¿Cuántos riesgos en total se deben atender?
3. ¿Cuál riesgo debe ser atendido en primer lugar?
4. ¿Quién decide esto?

Evaluación de riesgos

Definir la probabilidad

Crear la matriz de riesgos

Evaluar el riesgo

Definir el impacto

Evaluación de riesgos

• Paso 1 – Definir el impacto.
• ¿Qué significan “Insignificante”, “Menor”, “Moderado”, “Serio” y “Mayor”?
• Deben significar lo mismo para todos en la organización.
• Depende del “rubro” del que hablemos.

Evaluación de riesgos

Evaluación de riesgos

Paso 2 Definir la probabilidad

Evaluación de riesgos

Paso 3 Crear la matriz de riesgos

Evaluación de riesgos

Paso 3 Crear la matriz de riesgos

Evaluación de riesgos

• 1 – 6 Riesgo bajo (No es necesaria ninguna acción).

• 8 – 12 Riesgo medio (Requiere atención, el riesgo y el problema pueden ocurrir).

• 15 – 25 Riesgo alto (Requiere atención urgente y la implementación de controles para reducir el riesgo).

Paso 4 Evaluar los riesgos

Control de riesgos

¿Qué hacemos con los riesgos una vez que los evaluamos?

Control de riesgos Reducir el riesgo

• Reducir el riesgo
• Los controles cuestan dinero.
• Los controles cuestan recursos de implementación.
• Los controles cuestan recursos de seguimiento.
• La gerencia es quien decide hasta dónde reducir el riesgo.
• Se trata de encontrar el equilibrio

Control de riesgos Recomendaciones

• REDUCIR los riesgos hasta un nivel aceptable por la gerencia.
• TRANSFERIR los riesgos (al menos los que tienen evaluación alta).
• ASUMIR los riesgos con información claramente comunicada a los niveles adecuados.
• EVITAR los riesgos como última opción.

Auditoría de sistemas

Evaluar los riesgos

Re-evaluación de riesgos

Riesgos

Controlar los riesgos

Re-evaluar los riesgos

Re-evaluación de riesgos

Time-driven:

Cada 6-12 meses. Según las necesidades de la empresa.

Event-driven:

El negocio cambió. Hay oportunidades nuevas que se quieren aprovechar. La regulación cambió. Ocurrieron desastres naturales. A alguien más le pasó.

Para recordar…

• Es mejor (y más barato) identificar y controlar los riesgos.
• Hay que identificar claramente: Amenaza, Impacto y probabilidad.
• La evaluación de riesgos debe dejar claro a todos los involucrados los niveles de probabilidad e impacto.
• Los riesgos deben: Reducirse, Transferirse, Asumirse, Eliminarse.
• Quién define dónde debe parar la reducción de riesgos es la gerencia.
• La re-evaluación de riesgos puede ser time-driven o event-driven.

Este material digital es propiedad de la Universidad Rafael Landívar, se comparte por medio de una licencia Creative Commons CC BY-NC-ND del tipo "Atribución-No Comercial-Compartir igual", la cual permite copiar, distribuir y comunicar públicamente la obra, mientras se reconozca la autoría original, no se utilice con fines comerciales, ni se realicen obras derivadas. https://creativecommons.org/licenses/by-nc-nd/3.0/gt/