MÓDULO

Área: NEGOCIOS

2 Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN

Módulo: Planeación y Organización
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN

Planeación y Organización
Índice

Introducción ......................................................................................................................................................... 1
1. Planificación ...................................................................................................................................................... 2
1.1. Planeación estratégica de la TI ................................................................................................................................... 2
1.2. Plan informático (PI) ................................................................................................................................................... 3
1.3. Planeación estratégica de sistemas de información .................................................................................................. 6
a. Compresión de la estrategia de la empresa .............................................................................................................. 7
b. Análisis de diagnóstico .............................................................................................................................................. 7
c. Formulación de estrategias ....................................................................................................................................... 7
d. Plan implementación y seguimiento ......................................................................................................................... 7
2. Organizar y coordinar ....................................................................................................................................... 8
2.1. Gobierno Corporativo ................................................................................................................................................. 8
2.2. Comité informática ..................................................................................................................................................... 9
2.3. Organización del área informática y de las relaciones con la TI ............................................................................... 10
3. Controlar ......................................................................................................................................................... 10
3.1. Análisis de riesgos área TI ......................................................................................................................................... 11
3.2. Matriz de riesgo ........................................................................................................................................................ 12
a. Proceso de Matriz de Riesgo ................................................................................................................................... 13
Cierre .................................................................................................................................................................. 17
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN

Planeación y Organización
Mapa de Contenido

Dirección TI

Planeación Organizar Controlar

Planeación Gobierno
Riesgo Informático
Estratégica Corporativo y de TI

PE de TI y SI Comité Infomático Matriz de Evaluación

Área Informática
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 1

Planeación y Organización
RESULTADO DE Identifica y analiza los riesgos que pueden afectar al proceso de Definición
APRENDIZAJE Estratégica de la T.I. en la organización, identificando además la metodología
DEL MÓDULO que sirve de apoyo en esta tarea, en la empresa u organización.

Introducción
La inversión que destinan las empresas a las tecnologías de información
crece año a año, lo que nos hace pensar la amplia y absoluta dependencia
de éstas en el uso que tenemos con ellas y la muy necesaria evaluación
independiente del área que la gestiona.

Dentro de la etapa de Planificación de la Auditoría de Sistemas de

Información, el auditor deberá revisar la dirección o el manejo del área que
está a cargo de los sistemas de información y tecnologías. La manera y
modos de actuar de la Dirección de la Tecnología de Información deberían
estar influenciados por el Plan Estratégico de la empresa.

En este módulo profundizaremos en las piezas claves que el Auditor deberá examinar en cuanto a la Planeación
Estratégica de la TI de una organización y los riesgos asociados a este proceso.

Definición de un plan de auditoría al entorno estratégico de la T.I. en la organización

Cada organización es un reflejo de su Dirección y ésta actúa de acuerdo con la forma que le da la Dirección
General. La Dirección desde el punto de vista de la gestión empresarial es un proceso continuo, que consiste
en planificar, organizar y controlar los diversos recursos productivos de una organización, con la finalidad de
alcanzar los objetivos preestablecidos con la mayor eficiencia posible. En el caso de la Dirección de TI, es la
encargada de gestionar los sistemas de información, por lo que el rol del auditor es del deber controlar que
esta Dirección de TI sea eficiente y eficaz en cada proceso o actividad que desarrolle.

Las distintas teorías de Administración coinciden en señalar que cualquier tipo de Dirección desarrolla las
siguientes actividades o procesos: Planificar-Organizar-Controlar

Plan
Valores Misión Visión Estratégico
General
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 2

Planeación y Organización
Dentro de las etapas de auditoría, debemos entender y examinar cada uno de los procesos de la Dirección de
TI, con el objetivo de controlar el área en la cual los Sistemas de Información se sustentan, y si cumplen con los
requerimientos de la alta dirección.

1. Planificación
1.1. Planeación estratégica de la TI
Sin entrar en profundizar lo que es una Planificación Estratégica, recordaremos que un plan estratégico
incorpora los valores, la misión y visión de la empresa, y se puede definir como “Es el proceso que consiste en
decidir sobre una organización, sobre los recursos que serán utilizados y las políticas que se orientan para la
consecución de dichos objetivos”1.

Los componentes claves de un plan estratégico general de una organización son:

PLANIFICAR

DIRECCIÓN

CONTROLAR ORGANIZAR

Existe bibliografía muy diversa de estos componentes, y no es objetivo del curso poder centrarnos en ellos, si
no en el cómo afectará a la función del trabajo auditor.

Los planes Estratégicos se subdividen según sus necesidades en unidades de negocios de la empresa los que
ayudarán al logro de los objetivos institucionales y tienen como finalidad básica el establecimiento de guías
generales de acción específicos a cada gerencia. Dentro de ellas está el plan informático o plan estratégico
informático.

1
Caldera, Rodolfo. Planeación Estratégica de Recursos Humanos: Conceptos y Teoría. Año 2004. Disponible en Internet:
http://books.google.com.co/books?id=W2QmHc1iJoC&printsec=frontcover
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 3

Planeación y Organización
Plan Estratégico General

Plan Estratégico de Plan Estratégico de

Plan Informático
Unidad de Negocio A Unidad de Negocio C

Plan Estratégico de
Sistemas de Información

Plan Informático
Operacional

Plan de Recuperación

IMPORTANTE

Advertimos que el plan estratégico de una organización es básico para el soporte de las operaciones y funciones del
proceso de TI. Aún más, no se debería iniciar ninguna actividad de control sin que se cuente con un Plan Estratégico
con estructura y redactado que cubra todas las áreas y procesos de la empresa.

1.2. Plan informático (PI)

Un plan informático es una estrategia que reúne y gestiona todos los recursos en el área de TI y facilita el
cumplimiento de la misión y visión de una organización.

Características de un Plan Informático:

a.Debe estar redactado y debe ser conocido por todos los usuarios de la empresa
b.Debe estar orientados hacia los objetivos estratégicos de la organización.
c.Puede ser simple o complejo de acuerdo con el tipo de organización que se analice y sus
requerimientos y necesidades.
d.El Comité de Informático participa en el Plan Informático
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 4

Planeación y Organización
Funciones del plan informático son:del plan informático son:

a.Revisar y eventualmente proponer una nueva estructura organizacional para el área de TI,
de acuerdo con los proyectos que proponga el plan.
b.Reconocer el impacto de las iniciativas de tecnología en el negocio.
c.Identificar las áreas en las cuales se podrían hacer inversiones en sistemas de información.
d.Análisis costo-beneficio de las propuestas de TI, junto con los plazos de estos.
e.Crear estrategias de evaluación del impacto potencial que pueden tener los recursos
tecnológicos.

El PI debe contener elementos claves como son:

a.Objetivos y funciones del área de Informática.

b.Catastro de los Sistemas de Información y recursos que utiliza la empresa.
c.Estrategias alternativas viables para alcanzar los objetivos del área de informática.
d.Planes de Contingencia
e.Actividades que tenderán a, o podrían ser discordantes
f.Factores de riesgo para el plan general y para cada plan componente.
g.Nivel de crecimiento que se puede esperar para cada tarea y/o actividad de cada plan
componente
h.Planes de continuidad operacional
i.Sistemas de respaldos,
j.Sistemas de gestión y levantamientos
k.Arquitecturas de integración e interoperabilidad, etc.
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 5

Planeación y Organización
Dentro de los planes informáticos existen variados planes, pero los más nombramos son:

Plan Informático
Operativo:
Plan de Recuperación ante
desastres:
Plan Estratégico de
sistemas de información:
Es el que ayuda a describir las actividades a realizar en el ámbito de las TI. Por
ejemplo: cambios tecnológicos, desarrollo de proyectos, requerimientos de
recursos, plazos necesarios, etc.
La Dirección debe prever desastres de variada naturaleza, como los
terremotos, incendios, falla de hardware, robo, virus, etc. Esta planificación
debe hacer frente a este tipo de hechos.
En el área de la TI, debe existir un plan que debe representar un marco básico
de la actuación de los Sistemas de Información, y debe de asegurar los
alineamientos de estos con los objetivos de la propia empresa, es decir con el
mismo Plan Estratégico General. En la actualidad existen varios tipos de
planes informáticos, sin embargo, el principal lo constituye el Plan Estratégico
de sistemas de Información, el cual lo definiremos como un proceso dinámico
en el que las estrategias desarrollan una continua adaptación, innovación y
cambio, en la que estas se reflejan en los elementos funcionales que
componen toda la empresa.
Antes de continuar, es importante recordar que la TI es la forma con que los
sistemas de información están “hablando” hoy en día. Por lo que durante este
y los siguientes módulos nos referiremos en conjunto, teniendo en cuenta la
estrategia de los sistemas de información están alineadas con las estrategias
tecnológicas junto con las estrategias del negocio. “Las estrategias de
sistemas de información son estrategias de gestión de la demanda,
enfocadas a las aplicaciones. Las estrategias de tecnología de la información
son estrategias de oferta, enfocadas a infraestructura”2

2
José Ramón Rodríguez e Ignacio Lamarca. Decisiones estratégicas en sistemas y tecnologías de la información.
https://www.exabyteinformatica.com/uoc/Informatica/Direccion_estrategica_de_sistemas_y_tecnologias_de_la_informacion/Direccion_estrategica_
de_sistemas_y_tecnologias_de_la_informacion_(Modulo_1).pdf
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 6

Planeación y Organización
- Misión, visión, objetivos
Estrategia de
Negocio - Productos, mercados, posicionamiento
- Decisiones y cambio

Estrategia de - Procesos de Negocio, relaciones

Sistemas de - Necesidades de información
Información - Demanda de aplicaciones

Estrategia de - Operaciones de apoyo

Tecnología de la - Arquitectura tecnológica
Información - Gestión de la oferta

La relación entre la estrategia de negocio y las estrategias de SI y TI. Fuente: Decisiones estratégicas en sistemas y tecnologías de la información. José
Ramón Rodríguez e Ignacio Lamarca.

1.3. Planeación estratégica de sistemas de información

Continuando con el Plan de SI/TI, este es de responsabilidad de la Dirección de Informática con aprobación del
Comité de Informática (que veremos más adelante) e incluso en último término a la Dirección General. Estos
planes estratégicos deberían tener una vigencia de 3 ó 5 años, los que dependerán qué tan sensible sea la
empresa a la TI. Por ejemplo, un Banco, la TI es un factor estratégico y este plan podría tener una duración
anual.

Existe variada bibliografía del proceso de Planeación Estratégica de los Sistemas de Información o Tecnología
de Información, y distintas metodologías (Análisis FODA, Factores Críticos del Éxito, “Enfoque Mico-Mundo”,
etc.)3. En este módulo lo resumiremos en 4 etapas que se podrá desarrollar de la siguiente manera:

1. Comprensión de estrategia de la empresa 2. Análisis de diagnóstico de los si/ti

PLANEACIÓN
ESTRATEGICA DE SI

3. Formulación de estrategias de si/ti 4. Plan de implemetación si/ti

3
Javier Arias Osorio, Hacia la Planeación Estratégica en Tecnologías de Información: Definiciones y Modelos.
http://www.redalyc.org/pdf/1942/194220465003.pdf

a. Compresión de la estrategia de la
empresa
En esta fase se identifica la estrategia general de la
empresa y su contexto actual. Se debe asegurar
que abarcará de manera efectiva las necesidades
de la organización, y conocerla completa y
suficientemente para poder determinar
posteriormente los requisitos de sus sistemas de
información.
b. Análisis de diagnóstico
Una vez que se ha reconocido el negocio y se ha
obtenido conocimiento de los requerimientos de
sistemas de información, la siguiente etapa es
determinar cuál es el estado actual de los sistemas
de información, con el fin de poder analizar
posteriormente la efectividad del soporte ofrecido
a partir de sus tres aspectos básicos:
• Infraestructura técnica
• Aplicaciones
• Estado de la organización
Luego de reconocer el Plan Estratégico y el estado
los aspectos básicos, se debe realizar su análisis
para identificar cuáles son sus fortalezas, para
mantenerlas y cuáles son las debilidades por
mejorar. Algunos autores hablan de un análisis
FODA4.Para ello puede realizarse algunos análisis
estratégicos de los sistemas de información,
4 El análisis FODA es una herramienta de planificación estratégica,
diseñada para realizar un análisis interno (Fortalezas y Debilidades) y
externo (Oportunidades y Amenazas) en la empresa. Desde este punto
de vista la palabra FODA es una sigla creada a partir de cada letra inicial
de los términos mencionados anteriormente.
http://www.analisisfoda.com/
Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 7
Planeación y Organización
benchmarking5, el estado del mercado de TI,
Soporte técnico, Evaluación Costo Beneficio, etc.
El análisis identificará actividades de
mejoramiento, determinadas en base a las
oportunidades identificadas anteriormente, y se
agruparán en los tres aspectos de los SI
anteriormente vistos (Estado Infraestructura,
Aplicaciones, y Organización)
c. Formulación de estrategias
En esta etapa, se definen hacia donde quiere llegar
la organización y los objetivos del plan de SI/TI, las
iniciativas estratégicas y las consecuencias sobre el
negocio y sobre la gestión de SI/TI. El resultado final
ha de mostrar cuál es la dirección futura de los SI/TI
en la empresa y cuál tiene que ser el aporte a la
organización o negocio.
d. Plan implementación y seguimiento
Una vez finalizado y aprobado el plan estratégico
de SI/TI, se debe dar a conocer, se planifica y
gestiona de manera similar a cualquier otro
programa o proyecto de envergadura. Luego, la
actividad se complementa con el seguimiento de
los indicadores operativos y de los proyectos
planeados en la estrategia, así como las acciones
correctivas en base a las desviaciones identificadas.
En paralelo se sigue gestionando la demanda de
solicitudes generales y de proyectos no
contemplados en el plan de sistemas.
5
Definición de benchmarking: Es el proceso mediante el cual se
recopila información y se obtienen nuevas ideas, mediante la
comparación de aspectos de tu empresa con los líderes o los
competidores más fuertes del mercado.
https://debitoor.es/glosario/definicion-de-benchmarking
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 8

Planeación y Organización
El Auditor:
- Deberá examinar el proceso de Planificación Estratégica de los SI/TI , incluyendo la evaluación de la
metodología que está utilizando la empresa y si es necesario, proponer una nueva metodología.
- Deberá examinar el proceso de Planificación Estratégica de los SI/TI, si está acorde y alineada con el
Plan Estratégico General.
- Deberá revisar si la Planificación Estratégica de los SI/TI tiene la adecuada asignación de recursos y si
es de conocimiento de los usuarios. Además, si el plazo es el indicado de acuerdo lo establecido en la
concepción de éste.

Para ello deberá:

- Revisar el Plan Estratégico de la empresa
- Revisar las Actas del Comité Informática
- Revisar los documentos intermedios de la metodología de la planificación
- Realizar entrevistar con los miembros del Comité de Informática y los usuarios, con el fin de evaluar
el grado de participación.
- Evaluar el seguimiento y actualización del plan.

2. Organizar y coordinar
En este proceso la Dirección debe estructurar los recursos, la información y los controles que le permitan
alcanzar los objetivos establecidos en la planificación. Actualmente, la SVS (Superintendencia de Valores y
Seguros) obliga a las empresas que transan en la bolsa a organizar su estructura organizativa alineada con las
buenas prácticas desde el caso “La Polar”. Esta forma de organización se llama Gobierno Corporativo.

2.1. Gobierno Corporativo

Es la estructura implementada por el Consejo de Accionistas para informar dirigir administrar y monitorear las
actividades de la organización hacia la consecución de sus objetivos. Está a cargo del Directorio de cada
empresa.

El Gobierno de Tecnologías de Información (TI) es una parte integral del Gobierno Corporativo, que consiste
en una serie de estrategias que aseguran que la TI pueda dar soporte y se extienda a lo largo de los objetivos
de esta. Uno de los primeros pasos para desarrollar un Gobierno de TI es la creación de un Comité de
Informática, donde se tomen las decisiones estratégicas de TI.
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 9

Planeación y Organización
2.2. Comité informática
El comité de informática es el primer lugar de comunicación dentro de la empresa entre los informáticos y sus
usuarios: es el lugar en que se discuten los grandes temas de la TI que afectan a toda la empresa y permiten a
los usuarios comprender las necesidades del conjunto de la organización y participar en establecer las
prioridades y comprender de una mejor manera utilización de los recursos informáticos El primer paso es tomar
conciencia de que las decisiones estratégicas de TI son decisiones de negocio y, por ende, deben considerar la
opinión del Gobierno TI. Aunque no existen reglas fijas, el comité deberá de estar formado por pocas personas
y presidido por el director, dentro de la empresa, responsable en último término de la TI. El director de
informática actuar como secretario del comité y las grandes áreas usuarias deberían estar representadas al
nivel de sus directores. Así mismo un miembro de auditoría interna debería ser parte de este comité.

En general las funciones del comité de informática deberían

contener:

•a. Aprobación del plan estratégico de SI.

•b. Aprobación de la grades inversiones en TI.
•c. Fijación de prioridades entre los grandes proyectos informáticos.
•d. Vínculo de discusión entre la informática y sus usuarios.
•e. Vigila y realiza el seguimiento de la actividad del departamento de informática.

Características

•a. Visión de conjunto

•b. Creatividad
•c. Proactividad
•d. Capacidad de análisis
•e. Responsabilidad
•f. Adaptabilidad a los cambios
•g. Identificación con el ideal.
•h. Criticas con propuesta de soluciones.

Funciones

•a. Supervisar el cumplimiento del plan estratégico y el plan de informática de la empresa.

•b. Seguimiento de los procesos.
•c. Resguardar los sistemas de información y las TI (backup).
•d. Aplicar plan de contingencias
•e. Replantear la misión si fuera necesario después de un plazo definido.
•f. Elaborar encuestas para retroalimentación.
•g. Difundir la filosofía de la empresa
•h. Realizar reuniones permanentes con todos los miembros del comité y la alta dirección
para evaluar aspectos críticos de la institución.
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 10

Planeación y Organización
2.3. Organización del área informática y de las relaciones con la TI
El segundo aspecto importante que debería tomar en cuenta el Gobierno de TI es la ubicación del
departamento de informática en la estructura organizativa general. El departamento debería estar en lo alto
en la jerarquía para disponer de autoridad e independencia frente a los departamentos usuarios.
La informática hoy en día da soporte a un conjunto mucho mayor unidades de negocios y, por, ello vemos a
departamentos de informática dependiendo directamente de la Dirección General.
Si la organización deja el departamento de informática bajo un departamento usuario, pueden surgir dudas
razonables sobre independencia a la hora de atender sus peticiones del resto de departamentos de la empresa.

El auditor deberá:

a.Revisar dónde está ubicado organizacionalmente el departamento de informática y

evaluar su independencia frete a departamentos usuarios.
b.Descripción de funciones y responsabilidades del departamento de informática.
c.Segregación de funciones.

Entre las acciones a realizar, figuran:

a.Revisar Organigrama.
b.Realizar entrevistas con el director de informática y directores de algunos
departamentos usuarios para conocer su precepción del grado de independencia y
atención del departamento de informática.
c.Manual de funciones organizativas.

3. Controlar
El control es una etapa primordial en la Dirección de una empresa, debido a que cuente con una planeación y
coordinación adecuada, ésta no podrá ser eficiente si no verifica cuál es la situación real de la empresa a través
de mecanismos que vayan en concordancia con sus objetivos.

Las organizaciones exitosas, además de lo antes señalado, comprenden y gestionan los riesgos asociados con
la implementación de las nuevas tecnologías. Para ello, la dirección de una organización necesita poder
apreciar y poseer un conocimiento básico de los riesgos y los límites de las TI para proveer una dirección eficaz
y los controles adecuados.
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 11

Planeación y Organización
3.1. Análisis de riesgos área TI
El riesgo de tecnología tiene implicaciones estratégicas, financieras, operacionales y regulatorias. Para
abordarlo, se necesita entender suficientemente bien el entorno de la TI y establecer una dirección y
expectativas claras.

Algunos de los riesgos más importantes en tecnología son incluyen:

•a. Riesgo estratégico de TI

•b. Riesgo de seguridad cibernética y respuesta ante incidentes
•c. Riesgo de discontinuidad
•d. Riesgo de administración de datos
•e. Riesgo de ejecución del programa de TI
•f. Riesgo de operaciones de tecnología

Ejemplos de Riesgos Estratégicos

El riesgo que proviene de una mala estrategia de TI se encuentra entre las principales amenazas de una
organización. Son los llamados riesgos estratégicos, y que pueden ocurrir por una deficiente planificación
estratégica. Algunos ejemplos de riesgos estratégicos de TI pueden ser:

a. Acoger vs. esperar la nueva tecnología:
Las empresas tienden que balancear el riesgo de
adoptar tecnología nueva contra el de ignorarla u
esperar que las cosas se resuelvan. Una mala
evaluación puede dejar a la competencia en
ventaja, y una disminución de valor en la empresa.
b. Operar vs. construir:
TI y el negocio tienen que llegar a un acuerdo sobre
los proyectos y tener una buena evaluación Costo-
Beneficio. También gastar excesivamente en
mantenimiento puede desplazar oportunidades
para adoptar nueva tecnología y desarrollar nuevas
capacidades.
c. Carencia de integración entre las estrategias
de TI y las estrategias de negocio:
El error de integrar las estrategias generales con las
estrategias de TI puede llevar a inversiones
inapropiadas y a expectativas desalineadas. La
estrategia de TI tiene que respaldar las prioridades
de negocio en evolución y los modelos de
operación también en evolución, y permitir
respuestas ágiles ante los desarrollos del mercado.
d. Tecnología heredada:
Las empresas intentan utilizar las tecnologías
desactualizadas que incluyen centros de datos,
plataformas y aplicaciones, cuando esto ocurre, la
organización puede encontrarse paralizada por su
propia tecnología.
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 12

Planeación y Organización
En la siguiente tabla encontrará los riesgos estratégicos más comunes en la mayoría de las empresas:

Riesgo Definición del riesgo

Condiciones económicas y de Habilidad para anticipar y estar debidamente preparado para los
mercado cambios globales y locales en la economía.
Habilidad para anticipar y reaccionar a las acciones de la competencia
Competidores
y a la entrada de nuevos competidores al mercado.
Habilidad para llevar a cabo adquisiciones o ventas de una o varias
Integración (venta) de negocios
líneas de negocio, e integrarlas exitosamente.
Habilidad para identificar mercados y/o clientes claves, y crear
Enfoque en el mercado infraestructura y capacidades necesarias para ganar nuevos clientes y/o
mercados.
Selección y ejecución de la Habilidad para crear e implementar las estrategias adecuadas para
estrategia lograr los crecimientos y rentabilidad deseados.
Habilidad para identificar y desarrollar nuevos proyectos y/o servicios
Innovación
o nuevos modelos de negocio.
Reputación y protección de la Habilidad para enfrentar y resolver exitosamente eventos que pongan
marca en riesgo la reputación de la empresa y el valor de su marca.q
Habilidad para operar en armonía con las expectativas de los
Sustentabilidad accionistas, el cuidado del medio ambiente y en cumplimiento con las
regulaciones.

Existen variadas herramientas para evaluar los riegos estratégicos, como COBIT, COSO, etc. Revisaremos una
herramienta sencilla que puede ser utilizado para distintos tipos de riesgos, el cual se llama Matriz de Riesgo.

3.2. Matriz de riesgo

Matriz de Riesgo es una herramienta de control y de gestión que es utilizada para identificar las actividades
más importantes de una organización, el tipo y nivel de riesgos inherentes de estas actividades y los factores
exógenos y endógenos relacionados con estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo
permite evaluar la efectividad de una adecuada estrategia empresarial por ende al logro de los objetivos de
una organización.

La matriz es una herramienta flexible de diagnóstico y evaluación de la situación global de riesgo de una
entidad.
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 13

Planeación y Organización
Exige la participación de todas las unidades de la organización y definen de la estrategia general de riesgo de
la empresa. Una efectiva matriz de riesgo permite hacer comparaciones objetivas de todas actividades
(proyectos, áreas, aplicaciones, etc.). Todo ello constituye un soporte efectivo a la de Gestión de Riesgo6

a. Proceso de Matriz de Riesgo

1. Identificación de las actividades principales y sus riesgos. Entender el riesgo la eventualidad de que
una determinada entidad no pueda cumplir con uno o más de los objetivos.
2. Identificar las fuentes, es decir los llamados “factores de riesgo o riesgos inherentes”
Los riesgos inherentes pueden no tener el mismo impacto sobre el riesgo, siendo algunos más
relevantes que otros, por lo que surge la necesidad de ponderar y priorizar los riesgos primarios. Por
ejemplo, en una entidad financiera el riesgo crediticio de no pago en un plazo acordado es un riesgo
inherente.
3. El siguiente paso consiste en determinar la “probabilidad” de que el riesgo ocurra y un cálculo de los
efectos potenciales sobre el capital o las utilidades de la entidad. La valorización del riesgo implica un
análisis conjunto de la probabilidad de ocurrencia y el efecto en los resultados; puede efectuarse en
términos cualitativos o cuantitativos, dependiendo de la importancia o disponibilidad de información;
en términos de costo y complejidad la evaluación cualitativa es la más sencilla y económica. La
valorización consiste en asignar a los riesgos calificaciones dentro de un rango, que podría ser por
ejemplo de 1 a 5 (insignificante (1), baja (2), media (3), moderada (4) o alta (5)), dependiendo de la
combinación entre impacto y probabilidad.

6
La gestión de riesgos es el proceso de identificar, analizar y responder a factores de riesgo a lo largo de la vida de un proyecto y en beneficio de sus
objetivos. La gestión de riesgos adecuada implica el control de posibles eventos futuros. Además, es proactiva, en lugar de reactiva.
https://gerens.pe/blog/gestion-riesgo-que-por-que-como/
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 14

Planeación y Organización
En la siguiente gráfica se puede observar un ejemplo de esquema de valorización de riesgo en función
de la probabilidad e impacto de tipo numérico con escala:

4. Una vez que los riesgos han sido valorizados se procede a evaluar la “calidad de la gestión”, a fin de
determinar cuán eficaces son los controles establecidos por la empresa para mitigar los riesgos
identificados. En la medida que los controles sean más eficientes y la gestión de riesgos proactiva, el
indicador de riesgo inherente neto tiende a disminuir. Por ejemplo, una escala de valoración de
efectividad de los controles podría ajustarse a un rango similar al siguiente:

Control Efectividad
Ninguno 1
Bajo 2
Medio 3
Alto 4
Destacado 5

5. Finalmente, se calcula el “riesgo residual”, que es el resultado de la relación entre riesgos inherentes
y la gestión de mitigación de riesgos establecida por la administración. A partir del análisis y
determinación del riesgo residual la dirección pueden tomar decisiones como fortalecer los controles
la de continuar o abandonar la actividad dependiendo del nivel de riesgos o finalmente podrían tomar
posiciones de cobertura. Esta decisión está delimitada a un análisis de costo-beneficio y riesgo.
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 15

Planeación y Organización
En el siguiente cuadro se muestra un ejemplo para calcular el riesgo neto o residual utilizando escalas
numéricas de posición de riesgo:
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 16

Planeación y Organización
El cuadro anterior muestra en forma consolidada, los riesgos inherentes a una actividad o línea de negocio, el
nivel o grado de riesgo ordenado de mayor a menor nivel de riesgo (priorización); las medidas de control
ejecutadas con su categorización promedio y finalmente, se expone el valor del riesgo residual para cada riesgo
y un promedio total que muestra el perfil global de riesgo de la línea de negocio.

Como se habrá podido observar la matriz de riesgo tiene un enfoque principalmente cualitativo, para lo cual
es preciso que quienes la construyan tengan experiencia, conocimiento profundo del negocio y su entorno y
un buen juicio de valor, pero además es requisito indispensable la participación de todas las áreas de la
entidad7.

MATERIAL COMPLEMENTARIO

NIA 401 Auditoría en un ambiente de sistemas de información por computadora.

http://www.grupomiranda.co.cr/despachos/nias_400_499_pdf/NIA_401.pdf

7
Fuente: www.sigweb.cl
 Área: NEGOCIOS M2
Curso: AUDITORÍA EN SISTEMAS DE INFORMACIÓN Pág. 17

Planeación y Organización
Cierre
Las organizaciones con más éxito son aquellas que, entre otras cosas, reconocen las utilidades que las TI les
proporcionan en el cumplimiento de sus objetivos. Adicionalmente, comprenden la necesidad de gestionar los
riesgos de las TI, dado que la información es uno de sus activos más importantes. La función de la Auditoría de
Sistemas de Información en las organizaciones comienza con el examen de las áreas de la dirección como la
planeación, organización y control, y cómo esa función afecta a los sistemas de información, lo que lleva al
auditor a participar en el control de las fases del ciclo de gestión del control. Los auditores de TI, pasan por ser
los recursos confiable para contribuir a la construcción de la confianza en la Administración, configurándose
como los garantes de la prestación de servicios de calidad, y en la consecución de las políticas empresariales
relacionadas. Las organizaciones deberán tomar conciencia de ello y potenciar el despliegue de la función de
Auditora.

APORTE A TU FORMACIÓN

Las organizaciones con más éxito son las que reconocen los beneficios que las TI les proporcionan para cumplir sus
objetivos. Además de la necesidad de comprender la necesidad la administración de los riesgos del empleo de las TI,
ya que la información es uno de sus activos más importantes.
La función de la Auditoría en Sistemas de Información evoluciona hacia un enfoque más proactivo debido a los
procesos asociados a la planificación estrategias de las TI. Enfoque que va participando en otras fases de control.
Los profesionales de la auditoría de Sistemas de Información pasan por ser los recursos cualificados para contribuir a
la construcción de la confianza en los procesos informáticos, transformándose en los garantes
de la prestación de servicios de calidad, y en la consecución de las políticas estratégicas establecidas.
Las distintas áreas operativas de las empresas se poyan cada vez más en los servicios de TI, lo que establece un gran
desafío profesional y humano para los auditores de profesión.