Generar una Matriz de Riesgos Tecnológico de acuerdo a las

apreciaciones
del documento y sus apreciaciones como equipo de trabajo.
Esta técnica tiene las siguientes ventajas:
 Obliga al personal encargado a conocer e interactuar en forma integral con su
organización.
 Permite construir la Matriz de Riesgos de la organización gubernamental de
tipo global y las matrices específicas para cada proceso relevante o materia
específica que se requiera analizar.
 Se genera una sólida base para aplicar y documentar el Proceso de Gestión
de Riesgos.
 Una vez identificados los procesos que desarrolla la organización
gubernamental se debe realizar la desagregación de procesos y el
modelamiento de los riesgos y los controles.
 MATRIZ DE RIESGO
VALOR Y CLASIFICACIÓN DE LA EXPOSICIÓN AL RIESGO Y EXPOSICIÓN AL RIESGO PONDERADA
CONTROLES CLAVES EXISTENTES
Riesgo Etapa Subproceso Proceso
Descripción Cumple
Controles Elementos
(Norma, quién lo realiza, de Control
qué actividades Adecuado Nivel de Nivel ER Valor Nivel Valor ER Nivel ER Valor Valor Nivel Valor ER
Valor Ranking Ranking
desarrolla, cómo las Efectividad (3) ER (3) ER (3) (3) (3) ER (3) ERP (4) ER (3) (3)
ejecuta y cuándo y cómo
se evidencia su
cumplimiento)
PD O A
                           
… … … … … … Mayor 6 Mayor 6 Mayor 6 0,6 3º Media 3,8 1º

… … … … … … Media 3 Media 3 Media 3 1,05 2º Media 3,8 1º

…
… … … … … menor 2,5 menor 2,5 menor 2,5 0,5 4º Media 3,8 1º
Qué: Aviso
automático: Cómo: El
Sistema avisa los
vencimiento al Jefe de
Cobranzas
SÍ Pd Cr SÍ 3 Media 3 Mayor 5 medio 3,8 1,33 1º Media 3,8 1º
Quién y Cuándo:
El Jefe finanzas
revisa
mensualmente las
cobranzas.
No
Sin control. - - - - 1 8 Mayor 5 medio 3,8 1,33 1º Media 3,8 1º
aceptable
El Comité de crédito
no
No - - - 1 Mayor 4 Mayor 5 medio 3,8 1,33 1º Media 3,8 1º
puede entregar crédito
sin garantía.
Qué: Validación
de pagos:
Cómo y quién:
El Tesorero ingresa
los pagos al sistema
que autovalida los
datos. Para abonos o
pagos fuera de SÍ Pe Pr SÍ 5 Menor 2,4 Menor 2,5 medio 3,8 1,33 1º Media 3,8 1º
plazo se requiere
autorización del
superior.
Cuándo:
Mensualmente los
reportes los revisa el jefe
de Finanzas
Qué: Validación
de pagos
Cómo: Se ingresan
los pagos al sistema
que autovalida los
datos. Para abonos o
pagos fuera de
plazo se requiere SÍ Pe Pr SÍ 5 Menor 2,4 Menor 2,5 medio 3,8 1,33 1º Media 3,8 1º
autorización del
superior.
Quien: El tesorero.
Cuándo:
Mensualmente
los reportes los revisa el
jefe de Finanzas.
Qué:
Visación transformación
de datos. Cómo: Se
revisa la
transformación de todos
los datos
Quién: El Jefe SÍ Pd Cr M 3 Menor 2,7 Menor 2,5 medio 3,8 1,33 1º Media 3,8 1º
de Finanzas
Cuándo: Se revisa
la transformación antes
de
remitirse los datos al
exterior.
 Investigar sobre técnicas para auditar Equipos de comunicaciones,
sistemas
operacionales, servidores de aplicaciones, bases de datos. Presentar
recomendaciones para auditar dichas áreas

Análisis de la Situación Actual del Departamento de Sistemas

En esta fase se realizará una recopilación de la información del Departamento
de Sistemas que permita generar un documento de análisis situacional del Área
de Sistemas y las TIC’S relacionadas. Para ello previa la autorización
respectiva por parte de la Gerencia, se ha solicitado la siguiente información: el
orgánico funcional del departamento de sistemas, información del área de las
TIC’S en general que incluya una descripción detallada del hardware, software,
tipos de seguridades, topología de la red general y departamental, así misma
información acerca de la carga y rendimiento de los equipos que prestan
servicio en el departamento.
Esta información recopilada, una vez que sea analizada permitirá establecer la
situación en la que se encuentra el Departamento de Sistemas, que se
constituirá en la base o razón de ser de la realización de la auditoría de las
TIC’S de la empresa y se podrá observar además posibles problemas a
presentarse dentro del departamento de sistemas.

Realización de la Auditoría
En esta fase de realización de la auditoría se evaluarán cada uno de los 34
procesos de los 4 dominios propuestos por COBIT, estableciendo el grado de
madurez de los procesos Organizacionales de “Advance Consulting”. Véase
dichos procesos en la Figura: 1.1 Procesos de TI definidos dentro de los cuatro
Dominios de COBIT.
FIGURA 1.1

Se procederá a realizar encuestas a un equipo multidisciplinario y de alto nivel

Gerencial, Directivo y Operativo seleccionado por la empresa de acuerdo a su
experiencia, conocimiento de área, dirección, etc. Dicho equipo está integrado
por el Gerente General, jefe del Departamento de Sistemas, Personal del
Departamento de Sistemas y Sayuri Jara siendo la responsable de la
evaluación. Estas encuestas permitirán determinar el grado de madurez de
cada uno de los procesos una vez que se realice la tabulación de los resultados
emitidos por los involucrados para los 34 procesos propuestos por COBIT para
Gestionar las TIC’S en una empresa, proporcionando un sistema de control
adecuado para el ambiente de tecnología de información. Paralelamente se
realizarán las observaciones en donde se el motivo por el cual se encuentra el
proceso en determinado grado de madurez tomando en cuenta los objetivos de
control, recomendaciones, requisitos establecidos por COBIT para cada uno de
los niveles de madurez.
A continuación, se procederá a realizar las respectivas recomendaciones que
tomarán en consideración los objetivos de control de cada proceso y el modelo
de madurez propuesto por COBIT, cuyo objetivo es ir creciendo, madurando,
aumento, subiendo de nivel, es decir, mejorando sus procesos de forma
continua.
 TI está alineada con el negocio
 TI habilita al negocio y maximiza los beneficios
 Los recursos de TI se usan de manera responsable
 Los riesgos de TI se administran apropiadamente Gobierno de TI1
Donde, cada área se preocupa de lo siguiente:
Alineación Estratégica: Se enfoca en garantizar la alineación entre los planes
de negocio y de TI. En definir, mantener y validar la propuesta de valor de TI y
en alinear las operaciones de TI con las operaciones de la empresa.
Entrega De Valor: Se refiere a ejecutar la propuesta de valor a todo lo largo
del cielo de entrega, asegurando que TI genere los beneficios promedios en la
estrategia, concentrándose en optimizar los costos y en brindar el valor
intrínseco de la TI.
Administración De Riesgos: Se trata de la inversión óptima, así como la
administración adecuada de los recursos críticos de TI como aplicaciones,
información, infraestructura y personas.
Administración De Recursos: Requiere conciencia de los riesgos por parte
de los altos ejecutivos de la empresa, un claro entendimiento del apetito de
riesgo que tiene la empresa, comprender los requerimientos de cumplimiento,
transparencia de los riesgos significativos para la empresa y la inclusión de las
responsabilidades de administración de riesgos dentro de la organización.
Medición Del Desempeño: Rastrea y monitorea la estrategia de
implementación, la terminación del proyecto, el uso de los recursos, el
desempeño de los procesos y la entrega del servicio.