Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SALÓN: 207
Introducción .......................................................................................................... i
CAPÍTULO I........................................................................................................... 1
Generalidades ................................................................................................... 1
1.1 Definición de matriz de riesgo ............................................................ 1
1.2 Características de una matriz de riesgos............................................... 1
1.3 Datos necesarios para elaborar una matriz de riesgo .......................... 2
1.4 Pasos para la elaboración de una matriz de riesgo .............................. 2
1.4.1 Identificación de riesgos ................................................................... 2
1.5.2 Evaluar la probabilidad de que se acabe confirmando el riesgo ... 2
1.6 Componentes de una matriz de riesgos ................................................ 3
1.7 Acciones de respuesta a riesgos ........................................................... 4
CAPITULO II.......................................................................................................... 5
Base del Sistema de Gestión de Riesgos .......................................................... 5
2.1 Ambiente interno ........................................................................................ 5
2.2 Los objetivos estratégicos y el riesgo ...................................................... 6
2.2.1 Operaciones .......................................................................................... 6
2.2.1 Información financiera ......................................................................... 7
2.2.3 Cumplimiento ........................................................................................ 7
2.3 Marco conceptual de la gestión de riesgo ................................................ 7
2.4 Análisis de riesgo ....................................................................................... 8
2.5 Principales riesgos y problemas ............................................................... 8
2.6 La gestión de riesgo ................................................................................... 8
2.6.1 Riesgo inherente y residual ................................................................. 9
2.6.2 Riesgo de control ................................................................................. 9
2.6.3 Riesgos de detección ......................................................................... 10
2.7 Modelos de gestión de riesgos ................................................................ 10
2.8 Elementos principales .............................................................................. 11
2.8.1 Establecer el contexto ........................................................................ 11
2.8.2 Identificación de riesgos .................................................................... 11
2.8.3 Análisis de riesgos ............................................................................. 11
2.8.4 Evaluación de riesgos ........................................................................ 11
2.8.5 Tratamiento de riesgos ...................................................................... 12
2.8.6 Monitorear y revisar ........................................................................... 12
2.8.7 Comunicación y consulta .................................................................. 12
2.9 Metodología para la administración de riesgo directrices generales ... 12
2.9.1 Valoración del Riesgo ........................................................................ 13
2.9.2 Manejo del riesgo ............................................................................... 13
2.10 ¿Quién lidera el proceso de gestión del riesgo? .................................. 13
2.11 ¿Cuál es el proceso de identificación de riesgo? ................................ 14
2.12 ¿Qué tipo de información de riesgo se reporta? .................................. 15
2.13 ¿Cuán efectiva es la supervisión del consejo de la evaluación de
riesgos?........................................................................................................... 16
2.14 ¿Qué tan efectivo es el manejo de riesgos de gestión? ...................... 17
2.15 Plan de Manejo de Riesgos .................................................................... 18
2.16 Elaboración del mapa de riesgos y problemas potenciales ................ 18
2.17 Monitoreo ................................................................................................ 18
2.18 Autoevaluación ....................................................................................... 19
CAPITULO III....................................................................................................... 20
Caso Práctico ..................................................................................................... 20
Conclusiones ..................................................................................................... 32
Recomendaciones ............................................................................................. 33
Referencias......................................................................................................... 34
Introducción
i
En el capítulo II, abordaremos varios conceptos e información acerca de nuestro
tema de investigación con la finalidad de conocerlo.
ii
CAPÍTULO I
Generalidades
1.1 Definición de matriz de riesgo
Físicamente, es una guía visual que permite, mediante su diseño, una rápida
identificación de las prioridades que deben ser atendidas. De esa forma también
acelera la toma de decisiones.
Una matriz de riesgo debe presentar ciertas características para que pueda cumplir su
función, estas son:
• Debe ser sencilla tanto en la forma cómo se elabore, como en la que se consulte. Y
es que, como se ha dicho antes, se hace con el objetivo de facilitar la toma de
decisiones y ordenar prioridades.
Una vez establecidas todas las actividades, ya es posible prever los posibles riesgos y
los motivos o factores que intervienen en su manifestación y grado, distinguiéndose en
riesgos intrínsecos, que serían aquellos que provienen directamente de la propia
empresa, y extrínsecos, factores de incertidumbre provocados por eventos externos o
macro económicos que pueden tener un impacto sobre la actividad de nuestra
empresa.
2
Los riesgos se pueden valorar en términos cualitativos o cuantitativos, utilizando
normalmente valores numéricos o estadísticos, lo que ayuda a tener una base sólida
para que la dirección o responsables de la empresa o negocio puedan tomar las
decisiones pertinentes.
3
Impacto: Evalúa el grado de impacto en el proyecto en caso de que el riesgo
ocurra. Este impacto puede ser alto, medio o bajo dependiendo del riesgo en sí
mismo.
Prioridad: Prioriza los riesgos en una escala de 1 al 9 con ayuda de la matriz de
impacto y probabilidad (figura 2), donde 1 indica el nivel máximo crítico y 9 el
nivel mínimo.
Respuestas: Especifica la acción que el equipo de proyecto llevará a cabo para
eliminar, trasladar o mitigar el riesgo.
Responsable: Nombre o rol del responsable de llevar a cabo la acción de
respuesta al riesgo.
Aceptar: Admitir si el impacto del riesgo es mínimo o el costo para mitigarlo es mayor al
costo del impacto del riesgo.
Evitar: Contrarrestar los riesgos que van surgiendo mediante estrategias. Esto puede
implicar cambios en el cronograma o el alcance del proyecto para eliminar la amenaza
del riesgo. (SCRIB, s.f.)
4
CAPITULO II
Base del Sistema de Gestión de Riesgos
Gestionar los riesgos requiere del establecimiento formal de un proceso que permita de
forma clara, técnica y sencilla la evaluación y análisis de los mismos.
Para poder establecer el proceso de gestión de riesgos, la alta dirección debe estar
plenamente convencida que para el fortalecimiento de los procesos de la entidad que
gobiernan, para esto es necesario analizar y evaluar los riesgos; identificar los riesgos,
es una labor que requiere de una comprensión exhaustiva del entorno interno y externo
en el cual se realiza el proceso.
El control interno se debe definir como el proceso realizado por la máxima autoridad,
los administradores y demás personal, diseñado para proporcionar seguridad razonable
para el cumplimiento de los objetivos.
Los riesgos son inherentes a los negocios y, por ende, a los procesos que permiten
desarrollar. Los objetivos deben existir antes de que la alta dirección pueda identificar
potenciales eventos que afecten su consecución.
2.2.1 Operaciones
6
2.2.1 Información financiera
Se refiere a que los estados financieros de la entidad, informes internos, datos y aún
los registros auxiliares sean confiables. La importancia de este objetivo radica en que
esta información es utilizada por diferentes usuarios para distintos propósitos.
2.2.3 Cumplimiento
Todas las actividades, actuaciones y acciones específicas que realiza una entidad,
responden a un marco legal, a leyes y regulaciones aplicables. Estas regulaciones
pueden ser de índole interna de un país, propias de la entidad e internacionales por
haber sido adoptadas por la entidad y por la naturaleza misma de las operaciones o
actividades que realiza.
Los objetivos de una categoría pueden cubrir o soportar objetivos de otras, por lo tanto,
los riesgos que pudiesen afectar a uno, tienen efecto sobre otro o el resto, lo que puede
desencadenar un proceso de tipo “dominó”, puesto que los objetivos estratégicos están
vinculados entre sí, y se han establecido para cumplir la misión de la entidad (Cañas
Pacheco, 2009).
7
2.4 Análisis de riesgo
El análisis de riesgo consta de tres etapas: identificación del riesgo, evaluación del
riesgo y gestión del riesgo. Siendo la evaluación del riesgo la etapa del análisis en que
se intenta estimar el riesgo asociado a una eventualidad.
El riesgo está presente en todo hecho contingente o incierto, y como tal sólo es posible
estimar su probabilidad de ocurrencia y realizar una predicción que, por lo tanto, será
inexacta. El concepto de riesgos en los ámbitos técnicos, administrativos y financieros,
puede ser clasificado de muchas formas; cada una de las cuales origina teorías y
análisis particulares y a su vez diferentes.
La gestión de riesgo es una parte importante dentro del ejercicio de auditoría, esto
supone entender de qué manera se desarrolla el riesgo a nivel empresarial y las
implicaciones positivas o negativas que pueden significar.
Para empezar, el riesgo se entiende como una probabilidad de que ciertas situaciones
se conviertan en amenazas para el funcionamiento de la empresa. La gestión de esta
8
probabilidad supone la evaluación del nivel de vulnerabilidad de las organizaciones
frente a estas amenazas y requiere de tres fases específicas: identificación, evaluación
y control de los riesgos.
Los tipos de riesgo que se abarcan desde el ejercicio de auditoría son: riesgo
inherente, riesgo de control y riesgo de detección, estos se miden en una escala de
bajo, moderado o alto. Esta estructura permite llevar un control más adecuado y certero
de aquellas situaciones que puede resultar una amenaza para la empresa.
Este análisis se debe abarcar tanto a nivel interno como externo, para validar en
totalidad aquellas situaciones de amenaza y de oportunidad. Además de esto, permite
entender que los riesgos también son oportunidades de mejorar aquello que no está
bien dentro de la empresa, reformarlo o cambiarlo, de manera que se pueda sacar
provecho de ellos. La gestión del riesgo también significa tomar decisiones para el
9
crecimiento de la empresa, que muchas veces significan cambios e incertidumbre, pero
que, si son bien estudiadas, se pueden obtener grandes beneficios (Cartaya, 2014).
Respecto a este tipo de riesgo de detección, el auditor debe llevar a cabo un proceso
de síntesis de la evidencia, a través de la búsqueda y valoración de toda la información
financiera y de distinta índole que sea necesaria para llevar el proceso de auditoría de
la manera más responsable posible. Muchas veces este análisis parte de un síntoma
de que algo anda mal dentro de la empresa, a partir de allí el auditor crea una
sospecha y emprende un análisis completo de la situación, es decir, busca darle
validez y certeza a aquella situación de riesgo.
10
La Gestión de Riesgos es un proceso lógico y sistemático que puede ser utilizado
cuando se toman decisiones para mejorar la efectividad y eficiencia.
Los elementos principales del proceso de administración del riesgo, son los siguientes:
Identificar qué, por qué y cómo las cosas pueden suceder como la base para mayores
análisis.
Comparar los niveles de riesgo estimados contra el criterio preestablecido. Esto permite
priorizar los riesgos, así como identificar las prioridades de la administración. Si los
11
niveles de riesgo establecido son bajos, entonces los riesgos podrían caer en una
categoría aceptable y podría no necesitarse un tratamiento.
Aceptar y monitorear los riesgos de prioridad baja. Para otros riesgos, desarrollar e
implementar un plan de manejo específico dentro del cual se incluyen consideraciones
de fundamento.
Comunicación y consulta apropiada con la alta dirección no solo en cada estado del
proceso de administración del riesgo sino en lo concerniente a la totalidad del proceso.
La terminología usada en este estándar ha sido escogida para que sea congruente, en
lo posible, con un amplio rango de disciplinas de riesgos y administración de riesgos
(Quezada Madriz, 2010).
12
2.9.1 Valoración del Riesgo
Para cada una de estas etapas se sugiere tener en cuenta la mayor cantidad de datos
disponibles y contar con la participación de las personas que ejecutan los procesos
para lograr que las acciones determinadas alcancen los niveles de efectividad
esperados.
Cualquier esfuerzo que emprendan las entidades en torno a la valoración del riesgo
llega a ser en vano, si no se culmina en un adecuado manejo y control de los mismos,
definiendo acciones factibles y efectivas, tales como la implantación de políticas,
estándares, procedimientos y cambios físicos, que hagan parte de un plan de manejo.
Para el manejo del riesgo se puede tener en cuenta alguna de las siguientes opciones:
Evitar el riesgo.
Reducir el riesgo.
Dispersar y atomizar el riesgo.
Transferir el riesgo.
Asumir el riesgo.
Es importante que una empresa tenga una persona responsable de liderar el tema de
gestionar los riesgos. Sin una persona o grupo de individuos explícitamente enfocados
en diseñar e implementar un proceso de gestión de riesgos para ser aplicado en toda la
empresa, el enfoque de una entidad para la supervisión de riesgos sería insuficiente
13
para monitorear efectivamente el volumen y la complejidad de los riesgos. Por lo tanto,
evaluar si la organización ha seleccionado un líder del proceso de gestión de riesgos
puede ser una de las primeras consideraciones que los auditores deban hacer.
Las consultas que efectúen los auditores a las personas que ocupen estos puestos de
liderazgo, pueden proporcionar información sobre la solidez de los procesos de
evaluación de riesgos de la administración y una comprensión más profunda de
algunos de los riesgos más importantes en el horizonte para la entidad. Asimismo, las
consultas pueden proporcionar información importante sobre el diseño del proceso de
gestión de riesgos de la entidad y el nivel de compromiso del ejecutivo con ese
proceso.
Una revisión de las actas de las reuniones de los comités de riesgo a nivel gerencial y
las discusiones con los miembros del comité de riesgos puede proporcionar
perspectivas enriquecedoras que ayudan a fortalecer la comprensión del negocio y la
industria y los riesgos asociados. También aporta al conocimiento del control de riesgos
de la entidad.
14
Los auditores pueden querer prestar especial atención a las organizaciones que
carecen de un enfoque claro y estructurado para involucrar regularmente a la
administración en la consideración de los riesgos. Un enfoque débil o inexistente para
la identificación del riesgo puede llevar a los auditores a cuestionar si existe un "tono en
la parte superior" suficiente con respecto a la gestión del riesgo.
Las organizaciones generalmente informan entre cinco (5) y veinte (20) riesgos clave
anualmente a la junta directiva. Generalmente, esa información se presenta a la junta
directiva completa o a uno de sus comités, a menudo el comité de auditoría. Varias
entidades están creando documentos estandarizados de "perfil de riesgo" en los
materiales de lectura previos a la junta. Esos perfiles a menudo incluyen una visión
15
general de la preocupación por el riesgo, su probabilidad de ocurrencia e impacto para
la organización, cómo la organización responde a cada riesgo y la adecuación de cada
respuesta de la administración a los riesgos, y la administración de métricas está
usando para monitorear cada riesgo a través del tiempo.
Las juntas directivas suelen asignar cada uno de los riesgos principales a las agendas
de futuras reuniones de la junta para su posterior gestión. Los auditores pueden
beneficiarse de la comprensión de cómo la junta asigna la responsabilidad de
supervisar los procesos de gestión de riesgos de la administración y cómo esos
comités evalúan su efectividad de esos procesos.
Tanto las actas del comité como las discusiones del auditor con los presidentes de los
comités u otros miembros, pueden ser especialmente informativas sobre la solidez del
entorno de control general de la entidad y los procesos de evaluación de riesgos. La
revisión de esta información puede indicar la eficacia (o la falta de ella) del proceso de
gobierno en general.
16
2.14 ¿Qué tan efectivo es el manejo de riesgos de gestión?
A medida que las entidades fortalecen sus procesos generales de gestión de riesgos
en toda la empresa, muchos mejoran sus sistemas de informes, para incluir algunas
métricas que ayudan a la administración a monitorear los cambios en las exposiciones
de riesgos emergentes. Estas métricas se conocen generalmente como indicadores
clave de riesgo (KRI), que pueden basarse en factores internos o externos asociados
con cada riesgo emergente.
17
2.15 Plan de Manejo de Riesgos
La selección de las acciones más convenientes para la entidad se puede realizar con
base en los siguientes factores:
a. El nivel de riesgo.
2.17 Monitoreo
Una vez diseñado y validado el plan para administrar los riesgos, es necesario
monitorearlo tomando en cuenta que estos nunca dejan de representar una amenaza
para la organización, el monitoreo es esencial para asegurar que dichos planes
permanecen vigentes y que las acciones están siendo efectivas.
18
2.18 Autoevaluación
Se debe realizar con base en los indicadores de gestión del plan de trabajo mensual y
trimestral. Asimismo, se evaluará cómo ha sido el comportamiento del
riesgo/problemas potenciales y si se han presentado nuevos riesgos que deban ser
combatidos (Consejo Nacional de Ciencia y Tecología, 2022).
19
CAPITULO III
Caso Práctico
Matrices de Riesgos
El objetivo general del presente caso práctico es evaluar la situación de las actividades
y esfuerzos necesarios para lograr los objetivos propuestos en conjunto con la Alta
Gerencia de la empresa de “Hoy si quiero ganar, S.A”. Con la verificación y
aseguramiento que los procedimientos a través del sistema informático sean realizados
de forma oportuna y en cumplimiento a la Normativa establecida, garantizando la
confiabilidad e integridad de este y por ende minimizar la existencia de riesgos.
Pruebas de diseño,
Alcance implementación y efectividad
operativa, matrices de riesgos.
Identificar los controles aplicados por la empresa para prevenir las fallas, errores
y fraudes en la salvaguarda de sus recursos e integridad de la información.
21
ALCANCE DE LA AUDITORIA
Área de cumplimiento
La auditoría de sistemas informáticos comprendiendo la evaluación de la planificación y
organización de las tecnologías de la información (TI), aspectos relacionados con el
cumplimiento de las regulaciones legales, políticas y procedimientos que aseguran el
control interno tecnológico implementado en la “Hoy si quiero ganar, S.A”.
En la evaluación del sistema informático de la “Hoy si quiero ganar, S.A” los criterios
utilizados para la auditoria se basan en respuesta del cuestionario de control interno en
el cual se menciona la incidencia observada, por lo cual se tomará como referencia el
impacto en base a una matriz de riesgos:
ALTO 3 6 9
PROBABILIDAD
MEDIO 2 4 6
BAJO 1 2 3
MAGNITUD
22
Categoría de riesgos
Medio (M): Deberá ser atendido durante los siguientes 90-180 días.
Bajo (B): Representa una desviación menor en los controles relacionados con
tecnología e información. Deberá ser atendido de acuerdo con la disponibilidad
de tiempo de los recursos asignados por la compañía.
23
5. Falta de manual de políticas y procedimientos de entradas y salidas de
información.
Por lo tanto, se solicita realizar una matriz de riesgos por cada hallazgo ilustrando así el
impacto de cada riesgo y su debida recomendación para mitigar la misma.
24
I. INFORMACION DE CONTROL INTERNO
Derivado a la evaluación se
La incertidumbre por Recomendamos evaluar los costos por tercerización y
confirmó que actualmente
inconvenientes en temas el impacto del mismo y con ello cotejar contra los
tercerizan los servicios técnicos en
informáticos, impactan de costos por la contratación de un técnico interno que
temas informáticos por lo cual no
manera materializada al salvaguarde cualquier inconveniente en temas
existe personal técnico interno
momento de que la informáticos.
dentro de la empresa que
salvaguarde cualquier administración no cuente con
inconveniente en temas personal técnico que mitigue
informáticos estos riesgos y pueda afectar la
perdida parcial o total de la
información valiosa.
25
A M B
EFECTO x
PROBABILIDAD X
3. Falta de cobertura contra daños
en equipos informáticos.
Surge incertidumbre sobre la Recomendamos a la Entidad cotizar con sus
Derivado a la evaluación se recuperabilidad de los costos corredores de seguros varias cotizaciones de
confirmó que actualmente no por la falta de un seguro contra aseguradoras para asegurar los equipos informativos
existe un seguro ya sea parcial o a perdidas informáticas y así salvaguardar perdidas o impactos en costos en
todo riesgo en equipos la recuperación de equipos informáticos y de
informáticos, más, sin embargo, información.
notificaron que los deducibles son
muy altos, pero no manifestaron
cuando fue la última vez que se
cotizo.
A M B
EFECTO x
PROBABILIDAD x
4. Ausencia de rotación de
funciones
En base a que actualmente solo Recomendamos que todo el personal de IT se
Derivado a nuestra investigación se encuentran dos asistentes en capacite entre sí para minimizar el impacto ante la
actualmente el área de IT no el departamento de IT y que no falta de algún miembro del mismo y así estar
cuenta con rotación de funciones existe rotación de funciones prevenidos ante cualquier caso que se presente.
los cuales derivan a que cada manifestamos riesgos al
asistente del departamento tiene momento de que uno de ellos no
atribuciones específicas y no se mantenga en labores y exista
mantienen rotación de ellas. problemas específicos a nivel
sistema que se desconoce por el
otro asistente.
A M B
EFECTO X
5. Falta de manual de políticas y PROBABILIDAD x
26
salidas de información. Genera incertidumbre del control manual de políticas y procedimientos para mitigar y
que se lleva sobre los procesos reducir riesgos de salidas de información a personal
de entradas y salidas el cual no no autorizado.
Se determino que actualmente no es monitoreada ya que no existe
existe un manual de políticas y a nivel sistemas un histórico de
procedimientos para la evaluación los movimientos de los accesos
del control sobre las entradas y de los usuarios y que tipo de
salidas de información. información solicita.
A M B
EFECTO x
6. No existe un control del día y PROBABILIDAD X
hora de entregas de trabajos
asignados al departamento de
IT Genera incertidumbre el control
que se lleva sobre la cronología Recomendamos se realicen las gestiones necesarias
Al realizar la evaluación al control que actualmente trabaja el para la realización de un cronograma de actividades
interno nos percatamos que departamento de IT ya que no con el fin de llevar un control adecuado de todas las
actualmente no existe alguna se materializan los trabajos ordenes de trabajo, así mismo asignar tiempos de
bitácora o base histórico de asignados, lo que se ejecutan y realización con el fin de no atrasar procesos y
información que plasme o los pendientes, por lo tanto, dan funcionalidad de la empresa.
identifique los trabajos realizados y una pauta a que se realicen
la secuencia cronológica de los trabajos que no sean urgentes y
mismos. dejar de ultimo los trabajos de
urgencia.
27
HALLAZGOS, CONCLUSIONES Y RECOMENDACIONES
Tema General
Durante la evaluación realizada al Control Interno de IT), de la empresa
Hoy si quiero ganar, S.A., la información solicitada oportunamente
(cuestionarios de Control Internos y documentos de soporte) fue
proporcionada por las personas encargadas de brindar la misma.
1. Hallazgo
No existe un instructivo para el uso del software donde se especifiquen
requerimiento para su funcionamiento.
2. Hallazgo
No existen planes eficaces de mitigación de riesgos cuando se presentan fallas
en el software.
28
3. Hallazgo
Falda de un seguro de Daños con cobertura a todo riesgo en equipo informático.
4. Hallazgo
No se cuenta con capacitación constante al personal responsable de procesos.
Conclusión: Capacitar adecuadamente a los empleados mejora el margen
de beneficio para las empresas y adicionalmente contribuye en la retención
de empleados haciéndole consiente del rol que le corresponde y de la
apropiada forma de realizarlo.
Recomendación: La capacitación debe ser obligatoria y continua, ya que
es un factor importante que ayuda a los empleados a ser competitivos y
más eficientes, dando como resultado una excelente prestación de servicio
a los usuarios.
5. Hallazgo
Ausencia de rotación de funciones.
Conclusión: Existe dependencia excesiva hacia el personal que posee
conocimiento único ya que no existen políticas que permitan capturar el
conocimiento de estos empleados.
Recomendación: Identificar al personal clave de recursos TI y minimizar la
dependencia de la institución hacia esta personal generando planes
estratégicos y tácticos para la captura documental del conocimiento con el
fin de recolectar la mayor cantidad de recursos escritos en donde se
29
especifique una bitácora de los errores más frecuentes presentados en el
software y las soluciones a implementarse.
6. Hallazgo
No existe un manual de procedimientos para el registro de entradas y salidas de
información.
Conclusión: Se determino que no existe un manual para la evaluación o
control sobre los ingresos y salidas de información sea sobre personal
sumamente especializado y autorizado.
Recomendación: La política de administración de permisos debe
establecer grupos para los empleados encargados de los módulos y los
respectivos derechos de acceso con el fin de restringir o permitir el acceso
de los empleados a archivos para visualización de contenidos o
modificación; incrementando así la privacidad de los usuarios y usos
inadecuados de la información de la entidad.
30
Conclusiones
32
Recomendaciones
33
Referencias
ISO Tools Excellence. (6 de Agosto de 2015). ¿En qué consiste una matriz de
riesgos? Recuperado el 19 de Marzo de 2022, de
https://www.isotools.org/2015/08/06/en-que-consiste-una-matriz-de-
riesgos/#:~:text=Una%20matriz%20de%20riesgos%20es,puesta%20en%20
marcha%20de%20servicios.
34