Cap # 5 - AUTI

ANÁLISIS DE RIESGOS
OBJETIVO DE LA CLASE
✔ Identificar las características que comprende el análisis de riesgo en la auditoría de
sistemas.
✔ Diferencias los conceptos relacionados sobre el análisis de riesgos.
• Riesgo es la amenaza determinando el grado de exposición a la ocurrencia de una
pérdida.
• Riesgo se define como todo evento contingente que de materializarse puede impedir
o comprometer el logro de los objetivos de un negocio o proceso.
• Riesgo tecnológico como “La probabilidad de que una amenaza se materialice,

utilizando vulnerabilidad existentes de un activo o un grupo de activos, generándole
pérdidas o daños”.
• Es una herramienta de diagnóstico que permite establecer la exposición real a los
riesgos por parte de una organización.
• El propósito es la identificación de los riesgos (mediante la identificación de sus

elementos), lograr establecer el riesgo total y posteriormente el riesgo residual luego
de aplicadas las contramedidas en términos cuantitativos o cualitativos.
• El riesgo total es la combinación de los elementos que lo conforman, calculando el
valor del impacto por la probabilidad de ocurrencia de la amenaza y cuál es el activo
que ha sido impactado.
• RT (riesgo total) = probabilidad x impacto
• El objetivo general del análisis de riesgos, es identificar sus causas potenciales de los
principales riesgos que amenazan el entorno informático.
ANÁLISIS DE RIESGOS – Ciclo de Vida
• El Análisis de Riesgos comprende los siguientes pasos:
1. Definir los activos informáticos a analizar.

2. Identificar las amenazas que pueden comprometer la seguridad de los activos.
3. Determinar la probabilidad de ocurrencia de las amenazas.
4. Determinar el impacto de las amenazas, con el objeto de establecer una priorización
de las mismas.
5. Recomendar controles que disminuyan la probabilidad de los riesgos.
6. Documentar el proceso.
ANÁLISIS DE RIESGOS – Materialidad y riesgos
• El termino MATERIAL se usa en el contexto de los riesgos para hacer referencia a un
error que debe considerarse significativo cuando se lleva a cabo la Auditoría.
• En tanto, los riesgos materiales dependen del tamaño o importancia del ente
auditado así como de otros factores.
• TRABAJO del AUDITOR – Detección de posibles errores
• Evaluar los controles internos a fin de conseguir los errores mínimos, los cuales
combinados con otros puede convertirse en un error material del Sistema u
Organización.
ANÁLISIS DE RIESGOS – Tipos de riesgos
• Riesgos de Satisfacción al Cliente
 Posibilidad que el auditor no satisfaga las expectativas del cliente.
 ¿Qué hacer para minimizar este riesgo?
 Ser contundente, con los requerimientos técnicos de su cliente.
 Brindar un asesoramiento adecuado en el desarrollo de la información.

Links
• https://www.youtube.com/watch?v=g7EPuzN5Awg
ANÁLISIS DE RIESGOS – Tipos de riesgos
• Riesgos Profesional
 Posibilidad que el auditor se involucre con entidades y/o personas, que afecten su
imagen profesional.
 Para ello debe

− Conocer al máximo la entidad a auditar, de los propietarios, de los profesionales que
dirigen y asesoran, de sus clientes, de sus proveedores y toda información necesaria que
ayude a identificar este tipo de riesgo.
ANÁLISIS DE RIESGOS – Riesgos de auditoría
• Los Riesgos en la Auditoria se definen como:
 Aquellos riesgos en que la información puede tener errores materiales o que el

Auditor TI no puede detectar un error que ha ocurrido.
 El análisis de riesgos es parte de la planificación de auditoría.
 Permite identifica los riesgos y las vulnerabilidades para que el auditor pueda
determinar en los controles necesario para mitigar los riesgos.
• Evaluación y Categorización del Riesgo
 Es la actividad que tiene como propósito medir el nivel de riesgo que presenta cada
caso objeto de auditoría.
 Es altamente subjetiva.
 Depende del criterio, capacidad y experiencia del auditor.
 Constituye la base del plan de actividades, determinando el alcance y oportunidad de

la revisión, así como también del procedimiento de auditoría a emplear.
 Existen métodos para reducir el nivel de subjetividad en la evaluación y

categorización de los riesgos, establecen pautas y procedimientos para la evaluación.
• Metodología de Análisis
• 1. Nivel Macro: Apoyan la fase del planeamiento que hace a un plan global del ámbito
informático, determinando los sistemas y/o áreas de mayor riesgo.
 Identificar los factores de Riesgo: Sistema de Control, Nivel de Sensibilidad,

Complejidad y Cambios.
 Definir la importancia de los factores (Apertura en cuanto a parámetros)
 Puntuación de cada factor (al ser evaluados en sus parámetros)
 Calcular y Evaluar Factores de Riesgo de cada proyecto de auditoría
 Determinar las prioridades de los proyectos en base a los riesgos
 Proyectos priorizados conforme a los resultados obtenidos
• 1. Nivel Macro
• 2. Nivel Micro: Consiste en desarrollar los objetivos del control • Establecer

prioridades de seguridad y confiabilidad • Seleccionar salvaguardas y controles para
mitigar o eliminar las amenazas, y por lo tanto la pérdida o exposición resultante.
 Diseño de controles para los SI.

 Comparar controles que presentan distintos tipos de Software.
 Auditoría de Sistemas.
• 2. Nivel Micro: Se orientan a un subsistema o tarea puntual, que debieran mitigar o

eliminar los riesgos y determinar los procedimientos de auditoría.
Links
• https://www.youtube.com/watch?v=qYWBhFbN-zs&t=167s
ANÁLISIS DE RIESGOS – Componentes de riesgos
• Riesgos de Detección
 Es aquel que se asume por parte de los auditores que en su revisión no detecten
deficiencias en el Sistema de Control Interno.
 Es imputable a la figura del Auditor, surge al realizar su trabajo.
 Este riesgo surge por ejemplo:

- Aplicar procedimientos erróneos
- Determinar erróneamente el alcance
- No asignar las tareas a los colaboradores correspondientes
- No aplicar los procedimientos en el momento adecuado
• Riesgos de Detección
 “Cuando realiza pruebas exitosas a partir de un procedimiento inadecuado.
 Puede llegar a la conclusión de que no existen errores materiales cuando en realidad

existen”.
 Determinación inadecuada de...
o Naturaleza -> “¿Qué procedimientos?”

o Alcance -> “¿Cuántos comprobantes voy a controlar? Cuántos clientes voy a
circularizar”
o Oportunidad -> “¿Cuándo voy aplicar los procedimientos?”
• Riesgos de Control
 Son aquellos riesgos que existe y que se propicia por la falta de control de las
actividades de la empresa y puede generar deficiencias del Sistema de Control
Interno.
 Se caracteriza por:
- Son riesgos endógenos
- Causados por posibles fallas en los controles internos, en los sistemas de
información, en los procedimientos, en la estructura existente, en los niveles de
autorización.
• Riesgos de Control
 Son riesgos controlables por la empresa, no por el auditor.
 Promueve la necesidad y relevancia en que se lleve a cabo una constante revisión,

verificación y ajustes los procesos de control interno.
• Niveles de Riesgos de Control
 Riesgo Bajo. El auditor considera que los controles detectarán cualquier aseveración
errónea que pudiera ocurrir en exceso de la materialidad diseñada.
 Riesgo Medio y Alto. El auditor considera que es más probable que los controles no
detecten cualquier aseveración errónea que pudiera ocurrir en exceso de la
materialidad diseñada.
• Riesgos Inherentes
 Son riesgos del contexto, propios de cada industria, organización o empresa.
 Son independiente de los sistemas de control interno.
 Son aquellos que se presentan inherentes a las características del Sistema de Control
Interno.
 Entre los factores que llevan a la existencia de este tipo de riesgos: naturaleza de las
actividades económicas, naturaleza de volumen tanto de transacciones como de
productos y/o servicios, relevancia la parte gerencial y la calidad de recurso humano
con que se cuente.
• Riesgos Inherentes
 No son manejables por la dirección.
• Ejemplo:
o “Cuando un error material no se puede evitar que suceda por que no existe controles
compensatorios relacionados que se puedan establecer” Riesgo de incobrabilidad por
recesión económica, por las características de los productos con avance tecnológico
muy rápido.
Links
• https://www.youtube.com/watch?v=6KT8s3x5Wzk

Cap # 5 - AUTI

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cap # 5 - AUTI

Cargado por

Copyright:

Formatos disponibles

ANÁLISIS DE RIESGOS

• Riesgo tecnológico como “La probabilidad de que una amenaza se materialice,

• El propósito es la identificación de los riesgos (mediante la identificación de sus

• RT (riesgo total) = probabilidad x impacto

1. Definir los activos informáticos a analizar.

• TRABAJO del AUDITOR – Detección de posibles errores

 Posibilidad que el auditor no satisfaga las expectativas del cliente.

 ¿Qué hacer para minimizar este riesgo?

 Ser contundente, con los requerimientos técnicos de su cliente.

 Brindar un asesoramiento adecuado en el desarrollo de la información.

 Para ello debe

 Aquellos riesgos en que la información puede tener errores materiales o que el

 El análisis de riesgos es parte de la planificación de auditoría.

 Depende del criterio, capacidad y experiencia del auditor.

 Constituye la base del plan de actividades, determinando el alcance y oportunidad de

 Existen métodos para reducir el nivel de subjetividad en la evaluación y

 Identificar los factores de Riesgo: Sistema de Control, Nivel de Sensibilidad,

• 2. Nivel Micro: Consiste en desarrollar los objetivos del control • Establecer

 Diseño de controles para los SI.

• 2. Nivel Micro: Se orientan a un subsistema o tarea puntual, que debieran mitigar o

 Es imputable a la figura del Auditor, surge al realizar su trabajo.

 Este riesgo surge por ejemplo:

 “Cuando realiza pruebas exitosas a partir de un procedimiento inadecuado.

 Puede llegar a la conclusión de que no existen errores materiales cuando en realidad

 Determinación inadecuada de...

o Naturaleza -> “¿Qué procedimientos?”

 Son riesgos controlables por la empresa, no por el auditor.

 Promueve la necesidad y relevancia en que se lleve a cabo una constante revisión,

 Son riesgos del contexto, propios de cada industria, organización o empresa.

 Son independiente de los sistemas de control interno.

 No son manejables por la dirección.

También podría gustarte