7/06/2022

Programa
• 1. Auditoría Continua
Modelos de Auditoria Avanzada. • 2. Auditoria a Distancia, Remota o Virtual
• 3. Ciberseguridad
• 4. Automatización Inteligente y Auditoría Interna
• 5. Auditoría Informática
03 de junio de 2022 • 6. Métodos de investigación en auditoría
Paulino Angulo Cadena. MSc CIA® CertIA
• 7. Cultura de riesgo
• 8. Auditoría avanzada de gestión
Programa de Educación Continua y Permanente • 9. Analítica de Auditoría Interna
Centro de Investigaciones para el Desarrollo - CID
• 10. Cibernética
Facultad de Ciencias Económicas

1 2

1 2

Auditoria
Guía 1 - Metodología de pruebas de efectividad Guía 12 - Seguridad en la Nube
Guía 2 - Política General MSPI v1 Guía 13 - Evidencia Digital (En actualización)
Guía 3 - Procedimiento de Seguridad de la Guía 14 - Plan de comunicación, sensibilización, capacitación
Información
Guía 15 - Auditoria
Guía 4 - Roles y responsabilidades
Guía 5 - Gestión Clasificación de Activos
Guía 16 - Evaluación de Desempeño
Guía 6 - Gestión Documental Guía 17 - Mejora continua
Guía 7 - Gestión de Riesgos Guía 18 - Lineamientos terminales de áreas financieras de
Guía 8 - Controles de Seguridad de la Información
entidades públicas ¿Qué es la
Guía 19 - Aseguramiento de protocolo IPv4_IPv6 Auditoria
Guía 9 - Indicadores Gestión de Seguridad de la
Información Guía 20 - Transición IPv4_IPv6
Guía 10 - Continuidad de Negocio
Informática? Paulino Angulo Cadena. MSc
Guía 21 - Gestión de Incidentes
Guía 11 - Análisis de Impacto de Negocio Modelo de Seguridad y Privacidad

https ://www.decorarconarte.com/pensadorderodin https ://www.skipprichard.com/ask-questions-to-improve-your-leadership/

Fuente: https://www.mintic.gov.co/arquitecturati/630/w3-propertyvalue-8158.html#modelogestion 3 4

3 4

Auditoria Informática
• Es la actividad de recolectar, consolidar y evaluar evidencia para
comprobar si la entidad ha avanzado en la implementación de controles,
protección de los activos, mantenimiento de la integridad de los datos, si
tiene claro los objetivos de seguridad de la entidad y si utiliza bien los
recursos.
• De este modo la auditoría informática mantiene y confirma la consecución
de los objetivos tradicionales de la auditoría, que son: ¿Qué es la
• - Protección de activos e integridad de datos. Auditoria de
• - Gestión de protección de activos, de manera eficaz y eficiente.
• La auditoría Informática, puede ser externa como interna y debe ser una
Sistemas? Paulino Angulo Cadena. MSc

actividad ajena a influencias propias de la entidad.

• La función auditora puede actuar de oficio, por iniciativa o por solicitud de
la dirección de la entidad.
https ://www.decorarconarte.com/pensadorderodin https ://www.skipprichard.com/ask-questions-to-improve-your-leadership/

Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 5 6

5 6

1
 7/06/2022

Auditoria de Sistemas Perfil del Auditor de Sistemas

• La auditoría de sistemas, es aquella actividad donde se evalúa el • El Auditor es un asesor dentro de la entidad, su ubicación
manejo y la protección de la información residente en los depende de la ubicación orgánica y funcional.
sistemas de información, también califica la aptitud del recurso • Se requieren calidades humanas, de gestor y de organizador,
humano que gestiona estas plataformas y la eficiencia del algunas de ellas:
recurso informático. • Eficiencia en su misión en la entidad.
• La función de la auditoria es preventiva, realiza revisiones • Ser diplomático.
utilizando recursos de hardware y software desarrollando • Manejo de pedagogía.
procedimientos similares a los que emplea la entidad, con el fin • Conocimiento de herramientas y métodos, para llegar al objetivo
de mejorar los procesos de la entidad. a alcanzar.
• El objetivo principal es la verificación del sistema de información, • Conocimiento en técnicas de auditoria.
su confiabilidad y el uso del mismo por parte de la entidad.
Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 7 Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 8

7 8

Metodología de la
Auditoria en Sistemas
• Inicia con un proceso de
planeación, en esta se fijan los
objetivos y las herramientas a
usar, esto implica que hacer,
como hacerlo y cuando hacerlo. ¿Qué son las
• Esta etapa incluye una Métricas?
investigación previa con el fin
Paulino Angulo Cadena. MSc
de conocer la operación de lo
que se va a evaluar.

https ://www.decorarconarte.com/pensadorderodin https ://www.skipprichard.com/ask-questions-to-improve-your-leadership/

Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 9 10

9 10

Métricas Métricas
• Las métricas son medidas que nos proporcionan una medida cuantitativa • Todas las métricas que se pueden hacer para medir la calidad de
de cantidad, dimensiones, capacidad, tamaño, de las propiedades de un un proceso y sus procesos de apoyo se agrupan en dos categorías,
proceso en la entidad. dependiendo del tipo de métrica que se realice:
• Métrica: según el IEEE define la métrica como una medida cuantitativa del
grado en que un sistema, componente o proceso posee un atributo dado.
• a) Métrica indirecta: en esta se centran en la calidad,
• Uso de las métricas: nos permiten entender un proceso técnico que se complejidad, fiabilidad, eficiencia, funcionalidad, facilidad de
está aplicando en la entidad, a través de ellas podemos medir dicho mantenimiento, etc.
proceso y su producto para saber cómo mejorar su calidad. • b) Métrica directa: respecto a esta se engloba en velocidad de
• La medición de los procesos es necesaria para obtener un resultado de ejecución, defectos encontrados en una cantidad de tiempo,
calidad que pueda llegar al ciudadano. costo, tamaño de memoria usada, número de líneas de código,
• KPI (Key Performance Indicator) “Lo que no se puede medir no se puede etc.
controlar; lo que no se puede controlar no se puede gestionar; lo que no
se puede gestionar no se puede mejorar”. (Peter Drucker, Lord Kelvin)
Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria https://www.redcapacitacion.tv/noticias/kpi-para-que-sirven-y-como-utilizarlos/ 11 Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 12

11 12

2
 7/06/2022

Métricas de Software Métricas de Software

• Las métricas software se puede definir como “La aplicación • Las métricas software se puede definir
continua de mediciones basadas en técnicas para el proceso de como “La aplicación continua de
desarrollo del software y sus productos y servicios para mediciones basadas en técnicas para el
suministrar información relevante a tiempo, así el administrador proceso de desarrollo del software y sus
junto con el empleo de estas técnicas mejorará el proceso y sus productos y servicios para suministrar
productos”. información relevante a tiempo, así el
• Dichas métricas de software proveen la necesaria información administrador junto con el empleo de
para la toma de decisiones técnicas. estas técnicas mejorará el proceso y sus
productos”.
• Dichas métricas de software proveen la
necesaria información para la toma de
Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 13
decisiones técnicas.
Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 14

13 14

Métricas de Software Métricas de Seguridad

• Las métricas sirven para realizar una • Son las mediciones de los procesos que determinan que tan bien se
medición de los sistemas de información, cumplen los procesos de seguridad en la entidad, si los procesos
con el tiempo ayudan a mejorar el diseño cumplen con los requisitos definidos por las políticas de seguridad y las
normas técnicas seguidas por la entidad.
y el análisis, mejorando con ello los • Estas evalúan el grado de riesgo de daño que pueden recibir objetos,
procesos y resultados de los mismos. recursos y personas. Contempla salud y seguridad tanto del usuario
como de los afectados por dicho uso, al igual que consecuencias
• Puntos clave de las métricas: económicas o físicas no intencionadas.
• No pueden ser ambiguas • Las métricas de seguridad se utilizan por:
• Deben tener estadísticas • Gestión de seguridad de la información en la entidad.
• Deben automatizar la recolección de los • Proporcionar información para la gestión de informes.
• Indicar el cumplimiento de la legislación, reglamentación y las normas.
datos • Apoyo a las actividades de gestión de riesgos
Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 15 Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 16

15 16

Características y Beneficios de las Métricas de

Seguridad

• Tienen que ser fáciles de obtener.

• Expresadas en porcentajes o números en escala.
• Necesarias con el fin de realizar tomas de decisiones.
• Tienen que ser detalladas explicando cada cosa que sea necesario.
• Encontrar posibles problemas que surgirán a corto plazo.
• Saber los puntos débiles de nuestra entidad. ¿Qué es el MEMSI
• Conocer los riesgos que podemos obtener. – Modelo
Estratégico de Paulino Angulo Cadena. MSc
Métricas en
Seguridad de la
Información?
https ://www.decorarconarte.com/pensadorderodin https ://www.skipprichard.com/ask-questions-to-improve-your-leadership/

Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 17 18

17 18

3
 7/06/2022

MEMSI – Nivel Estratégico

• Cumplimiento: se centrará en llevar a cabo los estándares de la
seguridad informática, realizar auditorías así como las pruebas de
cumplimiento.
MEMSI – Modelo • Administración de riesgos: la cual consiste en identificación de los activos
Estratégico de de la entidad a proteger, realizar ejercicios de análisis de controles y
Métricas en riesgos, realización de planes de seguimiento y actualización, creación de
Seguridad de la pruebas respecto a vulnerabilidades así como la creación de mapas de
Información controles y riesgos.
• Objetivos de Negocio: este grupo se centrará en las relaciones con los
usuarios o grupos de interés por parte de la entidad, la agilidad y
responsabilidad ante incidentes que ocurran, el significado de la
seguridad respecto a los procesos de la entidad y de las expectativas de
la dirección en relación a la confianza de los sistemas.
Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 19 Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 20

19 20

MEMSI – Nivel Estratégico - Ejemplos MEMSI – Nivel Táctico

• Conocer el % de las cuentas inactivas de usuario deshabilitadas • Servicios: el cual ser encarga del control de cambios, copias de
respecto al total de cuentas inactivas. respaldo, posibles recuperaciones ante fallos, el aseguramiento
• Conocer el valor total de los incidentes de seguridad de equipos y la administración de parches.
informática respecto al presupuesto total de seguridad • Aplicaciones: su responsabilidad es la siguiente, desde revisar el
informática. código fuente, defectos identificados en el software, pruebas
• Conocer el % de los nuevos funcionarios que completaron su de vulnerabilidad en software, vulnerabilidades identificadas y
entrenamiento de seguridad respecto al total de los nuevos utilización de funciones no documentadas.
funcionarios que ingresaron. • Perímetro: este último se encarga de la efectividad de la
• Propósito de esta métrica: desempeño de personas y procesos. seguridad que va desde la efectividad del Antispam, antivirus,
firewall, así como la efectividad del monitoreo 24*7.

Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 21 Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 22

21 22

MEMSI – Nivel Táctico - Ejemplos MEMSI – Nivel Operativo

• Conocer el número de mensajes salientes con spyware o virus. • Integridad: cuya función consiste en eliminar, borrar o
• Numero de mensajes de spam detectado respecto al número manipular datos, como protegerse ante virus informáticos.
total de mensajes ignorados. • Disponibilidad: se encarga de la negación del servicio,
• Número de estaciones de trabajo en funcionamiento inundación de paquetes, suplantación de datos o IP, eliminar,
configuradas correctamente respecto total de las estaciones de borrar y manipular datos.
trabajo. • Confidencialidad: este último debe estar preparado para
• Numero de spyware o virus detectados en estaciones de encargarse desde contraseñas débiles, suplantación de IP o
trabajo o servidores. datos, accesos no autorizados por terceras personas,
• Propósito de estas métricas: desempeño de las tecnologías de configuración por defecto que puede poner en peligro si no
seguridad informática. tiene la configuración deseada, monitoreo no autorizado.

Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 23 Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 24

23 24

4
 7/06/2022

MEMSI – Nivel Operativo - Ejemplos Mediciones

• Número de incidentes asociados con la disponibilidad respecto • La normativa ISO/IEC 27004 está centrada sobre el modelo
al total de incidentes. Plan-Do-Check-Act, el cual consiste en un ciclo continuo.
• Número de incidentes asociados con la confidencialidad
respecto al total de incidentes.
• Propósito de estas métricas: desempeño de la administración
de incidentes

Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 25 Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 26

25 26

Método De Las Mediciones Métodos para Medir Los Atributos

• Existen dos tipos de métodos a la hora de cuantificar los • Cuestionarios al personal de la entidad.
atributos necesarios. • Inspecciones de las aéreas de dicha organización.
• Objetivos: los cuales se centran en una regla numérica (por • Toma de notas a partir de observaciones.
ejemplo de 1 a 5) que se pueden aplicar a las personas o a los • Comparación de atributos en diferentes momentos.
procesos, se recomienda que se realice primero a los procesos. • Muestreo.
• Subjetivos: se centran en el criterio de los empleados o de los • Consultas de los sistemas
evaluadores externos.

• Dichos métodos pueden englobar diferentes tipos de

actividades y a su vez un método engloba a varios atributos.

Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 27 Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 28

27 28

Clases de Escala Selección y Definición de las Mediciones

• Una vez realizados los métodos de medición es asociarlo a un • Para poder realizar el • Para seleccionar los controles
tipo de escala: establecimiento y la operación necesarios se tienen que
• Ratio: uso de escalas de distancias. de un programa de mediciones hacer los siguientes pasos:
• Nominal: uso de valores categóricos necesita realizar los siguientes • Definir un programa.
• Intervalos: uso de máximos y mínimos. puntos en orden. • Seleccionar los controles y
• Ordinal: uso de valores ordenados. • Definir los procesos objetivos de control para ser
• Desarrollo de mediciones incluidos en dichas
• Al finalizar se tiene que considerar la frecuencia de cada • Implementación del programa mediciones.
medición, ya sean diarios, semanales, mensuales, semestrales, • Revisión de mediciones. • Definir los indicadores para
trimestrales, cuatrimestrales o anuales. sus respectivos controles.

Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 29 Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 30

29 30

5
 7/06/2022

Las mediciones pueden estar relacionadas con: Criterios de las Mediciones

• Cuantitativo: uso de datos numéricos.
• Ejecución de controles de seguridad de la información. • Indivisible: los datos se obtendrán en el nivel más bajo.
• Ejemplo el volumen de incidencias por tipo. • Definición: tienen que estar bien documentadas todas sus características
(frecuencia, indicadores, etc.)
• Procesos de sistemas de gestión. • Usable: los resultados sirven para la toma de decisiones.
• Verificable: las revisiones deben de ser capaz de valorar el dato y obtener
• Ejemplo si se realizan las auditorías indicadas.
resultados.
• Estratégico: tiene que estar en relación con la misión y la estrategia de la
seguridad de la información.
• Razonable: el valor del dato obtenido no tiene que ser mayor al coste de
recolectarlo.
• Tendencia: los datos deberían representar el impacto cuando se realizan
cambios.
Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 31 Fuente: https://gobiernodigital.mintic.gov.co/portal/Categor-as/Seguridad-y-Privacidad-de-la-Informacion/150515:Guia-15-Auditoria 32

31 32

¿Qué es un indicador?
• Es una representación (cuantitativa preferiblemente)
establecida mediante la relación entre dos o más variables, a
partir de la cual se registra, procesa y presenta información
relevante con el fin de medir el avance o retroceso en el logro
de un determinado objetivo en un periodo de tiempo
¿Qué es un determinado, ésta debe ser verificable objetivamente, la cual al
indicador? ser comparada con algún nivel de referencia (denominada línea
Paulino Angulo Cadena. MSc
base) puede estar señalando una desviación sobre la cual se
pueden implementar acciones correctivas o preventivas según
el caso.

https ://www.decorarconarte.com/pensadorderodin https ://www.skipprichard.com/ask-questions-to-improve-your-leadership/

33 Fuente: https://www.funcionpublica.gov.co/documents/418548/34150781/Gu%C3%ADa+para+la+construcci%C3%B3n+y+an%C3%A1lisis+de+Indicadores+de+Gesti%C3%B3n+-+Versi%C3%B3n+4+-+Mayo+2018.pdf/0e0d10e4-0e c0-6781-21e9-f2bedfd0e18a?t=1533038939417&download=true 34

33 34

Beneficios de los indicadores

Tabla 2
Características
principales de los
indicadores del
MIPG

Fuente: https://www.funcionpublica.gov.co/documents/418548/34150781/Gu%C3%ADa+para+la+construcci%C3%B3n+y+an%C3%A1lisis+de+Indicadores+de+Gesti%C3%B3n+-+Versi%C3%B3n+4+-+Mayo+2018.pdf/0e0d10e4-0e c0-6781-21e9-f2bedfd0e18a?t=1533038939417&download=true 35 Fuente: https://www.funcionpublica.gov.co/documents/418548/34150781/Gu%C3%ADa+para+la+construcci%C3%B3n+y+an%C3%A1lisis+de+Indicadores+de+Gesti%C3%B3n+-+Versi%C3%B3n+4+-+Mayo+2018.pdf/0e0d10e4-0e c0-6781-21e9-f2bedfd0e18a?t=1533038939417&download=true 36

35 36

6
 7/06/2022

Programa

https://politicacomunicada.com/la-importancia-relativa-de-los-sondeos-de-opinion-y-encuestas-electorales/
• 1. Auditoría Continua
• 2. Auditoria a Distancia, Remota o Virtual
• 3. Ciberseguridad
Sondeo …
• 4. Automatización Inteligente y Auditoría Interna
• 5. Auditoría Informática
Pregunta
• 6. Métodos de investigación en auditoría
• 7. Cultura de riesgo
2 minutos
• 8. Auditoría avanzada de gestión Favor escribir su respuesta en el chat, pero solo
• 9. Analítica de Auditoría Interna la puede enviar cuando suene el timbre

• 10. Cibernética

37 38

37 38

¿Qué es Riesgo Inherente? Metalenguaje de riesgos (C+R+E)

6. El riesgo inherente es: ¿ Cómo separamos claramente riesgos de sus causas y efectos?
A. Un evento potencial que apoye la consecución de los objetivos “Debido a <una causa concreta>, puede ocurrir <un acontecimiento incierto >,
de negocio y la estrategia. lo que podría <afectar el sistema y su entorno>.”
B. Una respuesta al riesgo. Causa Riesgo Efecto
C. El riesgo después de que la administración toma medidas para 1. Por comprar trago en Podría Ingerir trago Lo que podría ocurrir
alterar su gravedad. sitios no reconocidos adulterado una Intoxicación
D.Lo peor que puede suceder que, en caso de materializarse, 2. Debido a ingerir Podría ocurrir una Lo qué podría generar
pueda impedir el logro del objetivo. Es el riesgo cuando la trago adulterado Intoxicación Lesiones visuales o
administración no ha tomado medidas para reducir el impacto hepáticas
o la probabilidad de un evento adverso. 3. Debido a una Podría generar Lesiones Lo que podría generar
Intoxicación Visuales o hepáticas la muerte
39 http://www.risk-doctor.com/pdf-briefings/risk-doctor07s.pdf 40

39 40

IEC/ISO 31000 Risk Assessment Techniques

•La posibilidad de que ocurra un
¿ Qué es evento o acontecimiento, que Who / What / When /
Riesgo ? tenga un impacto negativo, en el Where / How
alcance de los objetivos.
•El riesgo se mide en términos de Why / How Often / How
impacto y probabilidad. Much / How Critical /
Level of Risk Based on
•Riesgo: La posibilidad de que se What Criteria?
produzcan eventos que afecten
negativamente el logro de los What is Acceptable or
objetivos del negocio y de la Unacceptable / Solution
estrategia. Options / Priorities
•Riesgo = Peligro * Exposición Source: RIMS Works hop: ERM Accel erating Theory Into Pra cti ce
41 42

41 42

7
 7/06/2022

Apetito de Riesgo / Nivel de Riesgo Aceptado

¿Cuáles son los objetivos del Paracaidista?

Excediendo el Apetito
de Riesgo
Alto

R
1
Inherente
Impacto

¿Tenemos
Medio

Dentro del
Apetito de R tablas para
Riesgo 1 Paulino Angulo Cadena. MSc
Residual
medir el
riesgo?
Bajo

Bajo Medio Alto

Probabilidad

https ://www.decorarconarte.com/pensadorderodin

Fuente: Coso ERM 43 https ://www.skipprichard.com/ask-questions-to-improve-your-leadership/ 44

43 44

Tabla: Criterios parar calificar el impacto

Tabla: Criterios parar calificar la probabilidad NIVEL ESCALA CUANTITATIVO IMPACTO (CONSECUENCIAS) CUALITATIVO
CATAS- Mayor a 500
5
✓. Multas y sanciones al ser utilizada la Entidad por los delitos de LA/FT/FPADM.
NIVEL ESCALA DESCRIPCIÓN FRECUENCIA TROFICO SMLMV
✓. Interrupción de las operaciones de la Entidad por más de cinco (5) días
✓ Intervención por parte del ente Supervisor u otro ente regulador.
✓ Incumplimiento en las metas y objetivos corporativos afectando de forma grave la situación financiera de la Entidad.
✓ Imagen corporativa afectada en el orden nacional o regional por actos o hechos de corrupción comprobados.
5 CASI SEGURO Se espera que el evento ocurra en la Más de 1 vez al año MAYOR Entre 100 y 500
4
✓ Multas y sanciones por no realizar la debida diligencia para mitigar la materialización de los delitos de LA/FT/FPADM.
mayoría de las circunstancias SMLMV
✓ Interrupción de las operaciones de la Entidad por más de dos (2) días.
✓ Sanción por parte del ente Supervisor u otro ente regulador.
4 PROBABLE Es viable que el evento ocurra en la mayoría Al menos 1 vez en el ✓ Pérdida de información crítica que puede ser recuperada de forma parcial o incompleta.
de las circunstancias último año ✓ Imagen Corporativa afectada en el orden nacional o regional por incumplimientos en la prestación del servicio a los
grupos de interés.
MODE- Entre 50 y 100
3
✓ Interrupción de las operaciones de la Entidad por un (1) día.
3 POSIBLE El evento podría ocurrir en algún momento Al menos 1 vez en los RADO SMLMV
✓ Reclamaciones o quejas de los usuarios y grupos de interés que podrían implicar una denuncia ante los entes de
últimos 2 años. Supervisión u otro ente regulador o una demanda de largo alcance para la Entidad.
✓ Reproceso de actividades y aumento de carga operativa
✓ Imagen Corporativa afectada en el orden nacional o regional por retrasos en la prestación del servicio a los grupos de
2 IMPROBABLE El evento puede ocurrir en algún momento Al menos 1 vez en los interés.
últimos 5 años MENOR Entre 10 y 50
✓ Investigaciones penales, fiscales o disciplinarias
2
SMLMV
✓ Interrupción de las operaciones de la Entidad por algunas horas.
✓ Reclamaciones o quejas de los grupos de interés que pueden implicar investigaciones internas disciplinarias.
1 RARA VEZ El evento puede ocurrir solo en No se ha presentado en los ✓ Imagen Corporativa afectada localmente por retrasos en la prestación del servicio a los grupos de interés.
circunstancias excepcionales (poco últimos 5 años. 1 INSIGNI-
FICANTE
Afectación
menor a 10
✓ No hay interrupción de las operaciones de la Entidad.
✓ No se generan sanciones económicas o administrativas.
comunes o anormales). SMLMV .
✓ No se afecta la imagen corporativa de forma significativa.
Adaptado de la Guía para la administración del riesgo y el diseño de controles en entidades públicas - Versión 5 – dic/2020 45 Adaptado de la Guía para la administración del riesgo y el diseño de controles en entidades públicas - Versión 5 – dic/2020 46

45 46

ERM - Figure 8.7: Heat Map

Modelo de
Evaluación
de Riesgos

Fuente: Auditoría interna: servicios de

aseguramiento y consultoría - FIIIA
47 48

47 48

8
 7/06/2022

Tabla A.1 – Aplicabilidad de las herramientas utilizadas para la evaluación de riesgos

ISO 31010/FDIS IEC

¿Tenemos
herramientas
para evaluar el Paulino Angulo Cadena. MSc

riesgo?

https ://www.decorarconarte.com/pensadorderodin

https ://www.skipprichard.com/ask-questions-to-improve-your-leadership/ 49 Fuente: http://www.previ.be/pdf/31010_FDIS.pdf 50

49 50

Tabla A.1 – Aplicabilidad de las herramientas utilizadas para la evaluación de riesgos Tabla A.1 – Aplicabilidad de las herramientas utilizadas para la evaluación de riesgos
ISO 31010/FDIS IEC ISO 31010/FDIS IEC

Fuente: http://www.previ.be/pdf/31010_FDIS.pdf 51 Fuente: http://www.previ.be/pdf/31010_FDIS.pdf 52

51 52

Existencia del Control Controles

• Capacidad de lograr el máximo

Operan de resultados (eficacia)
Efectivamente • Al mínimo costo (eficiencia)
Responsable
Mecanismo Actividades
de su
o Dispositivo Realizadas
Ejecución
Continuidad • Funcionan durante todo el
período

53 54

53 54

9
 7/06/2022

Gerencia del Control Controles y sus características Descripción Peso

Atributos Tipo Preventivo Va hacia las causas del riesgo, aseguran el resultado final esperado. 25%

Compliance Conforme con leyes, regulaciones, de

eficiencia
Detectivo Detecta que algo ocurre y devuelve el proceso a los controles preventivos. 10%
Se pueden generar reprocesos.
políticas y procedimientos Correctivo Dado que permiten reducir el impacto de la materialización del riesgo, tienen un costo 5%
en su implementación.
Accomplishment Logro metas y objetivos. Implemen- Automático Son actividades de procesamiento o validación de información que se ejecutan por un 25%
tación sistema y/o aplicativo de manera automática sin la intervención de personas para su
realización.
Reliability Confiabilidad de la Información Manual Controles que son ejecutados por una persona, tiene implícito el error humano 5
Atributos Documen- Documentado Controles que están documentados en el proceso, ya sea en manuales, procedimientos, 10%
Efficient Eficiente y Eficaz uso de los Resultados informa- tación flujogramas o cualquier otro documento propio del proceso.
tivos Sin documentar Identifica a los controles que pese a que se ejecutan en el proceso no se encuentran
documentados en ningún documento propio del proceso.
Safeguardig Salvaguarda de activos Frecuencia Continua El control se aplica siempre que se realiza la actividad que conlleva el riesgo. 10%
Aleatoria El control se aplica aleatoriamente a la actividad que conlleva el riesgo.
Evidencia Con Registro El control deja un registro que permite evidencia de la ejecución del control. 10%
Sin Registro El control no deja registro de la ejecución del control.
Total, valoración control 100%
55 Adaptado de la Guía para la administración del riesgo y el diseño de controles en entidades públicas - Versión 5 – dic/2020 56
McKeever – Sistema de Estudio para la CCSA

55 56

Actividades de Control Evaluación de la Efectividad del Control

Niveles de Autorización y Aprobación

Revisiones de actuación (Conciliación)

Proceso de información (Análisis de cuentas)

Controles físicos (Arqueos, Inventarios)

Segregación de funciones (doble intervención)

Procedimientos formales (Personal capacitado)

Contingencia y respaldo (Listas de chequeo)

Seguridad física (Custodia apropiada)

NIA 315 y Guía para la Administración del Riesgo - DAFP ControlRisk: Software de Administración Integral de Riesgos y Diseño de Controles
57 58

57 58

Programa de Educación Continua y Permanente

Centro de Investigaciones para el Desarrollo - CID
Facultad de Ciencias Económicas

Páginas web Correos electrónicos

http://www.cid.unal.edu.co/
http://www.fce.unal.edu.co Docente
spanguloc@unal.edu.co
Redes sociales Monitor
Facebook: Programa de Educación Continau_FCE-Unal dpulidor@unal.edu.co
Twitter: PEC_FCEUnal
Linkedin: PEC_FCEUnal accastanedam@unal.edu.co
vabarrerae@unal.edu.co
Paulino Angulo Cadena. MSc Teléfonos
+57 601 3165000 Ext 12306 – 12307

Dirección
Campus Universitario
Edifico 310
Oficina 201
https ://www.decorarconarte.com/pensadorderodin https ://www.skipprichard.com/ask-questions-to-improve-your-
l eadership/

59 60

59 60

10