La auditoría basada en riesgos es como se menciona en la información una de las
más importantes y relevantes para las organizaciones para poder agrupar los diferentes elementos de la auditoría interna. la auditoría interna podemos observar que se define como Una actividad independiente y objetiva de aseguramiento y consultoría diseñada para agregar valor y mejorar las operaciones de una organización. La cual Ayuda a una organización a lograr sus objetivos. La actividad de Auditoría Interna se interrelaciona con diferentes áreas de la organización y el propósito de sus recomendaciones es contribuir al logro de los objetivos. Riesgo Operacional y Tecnológico La regulación en materia de Contratación de Terceros, Seguridad y Medios electrónicos está basada en mejores prácticas a nivel internacional y metodologías, la tercerización de servicios son los que se pueden contratar como los sistemas informáticos o procesos informativos. Un tramite se debe realizar Cuando la información a la que tenga acceso el proveedor se encuentre en territorio nacional, y la autorización Cuando la información sea ubicada en el extranjero. La Responsabilidades de las entidades el artículo 17 Bis 47, nos habla acerca de las Sociedades que responderán en todo momento por el servicio que terceros autorizados por éstas, proporcionen a los Socios, aun cuando la realización de las operaciones correspondientes se lleve a cabo en términos distintos a los pactados, así como por el incumplimiento a las disposiciones en que incurran dichos terceros. Por su parte, el Artículo 17 Bis 35 nos indica que los requerimientos de información o medidas correctivas que deriven de la supervisión que realice la Comisión se realizarán directamente a la Sociedad. En cambio las responsabilidades de las entidades que el artículo 17 Bis 35, señala que las Entidades deben contar con políticas y procedimientos para vigilar el desempeño del tercero. De lo anterior se puede ver como continuidad en los servicios que sean contratados a terceros es responsabilidad de las Entidades y de los terceros. La seguridad en medios electrónicos como se ha visto durante mucho tiempo se conforma de factores de autentificación como información que proporcione el usuario, los controles regulatorios para los medios electrónicos se basa en la contratación y activación, operación del servicio, seguridad confidencialidad de la información, monitoreo y control. Anexo 4 Plan de Continuidad de Negocio un plan de continuidad de negocio se dispone de dos secciones la primera es las disposiciones gerenciales las cuales se reparten en distintas áreas como la administración, contingencia operativa, plan de continuidad de negocio y las sociedades. Donde vemos que las Sociedades deberán contar con un Plan de Continuidad del Negocio cuyo objeto será el restablecimiento de los procesos en caso de presentarse una Contingencia Operativa. El director general será responsable de la elaboración del Plan de Continuidad de Negocio y de su presentación a la Administración para su corrección y en su caso aprobación. La Dirección General será la responsable de la debida implementación del Plan de Continuidad de Negocio, por lo que tendrá a su cargo la elaboración, revisión y actualización de dicho plan. La segunda sección que vemos son los requerimientos mínimos del plan de continuidad de negocio, Las cuales del Plan de Continuidad de Negocio deberán llevar a cabo un análisis de impacto al negocio que Identifique los procesos críticos que se consideran indispensables para la continuidad de las operaciones, Determine los recursos humanos, logísticos, materiales, de infraestructura tecnológica y de cualquier otra naturaleza mínimos necesarios para mantener y restablecer los servicios y procesos de las Sociedades ante la ocurrencia de una Contingencia Operativa y Elabore escenarios relevantes relativos a la verificación de posibles Contingencias Operativas. Artículo en inglés del Plan de Continuidad de Negocios La continuidad se refiere a mantener las funciones comerciales o reanudarlas rápidamente en caso de una interrupción importante, ya sea causada por un incendio, una inundación o un ataque malicioso de los ciberdelincuentes. Un plan de continuidad del negocio nos describe los procedimientos e instrucciones que una organización debe seguir ante tales desastres; cubre procesos comerciales, activos, recursos humanos, socios comerciales y más. un plan de recuperación ante desastres se enfoca principalmente en restaurar una infraestructura de TI y operaciones después de una crisis. Tenga en cuenta que un análisis comercial es otra parte de un plan de continuidad comercial. Un análisis de impacto comercial identifica el impacto de una pérdida repentina de funciones comerciales, generalmente cuantificado en un costo. Dicho análisis también lo ayuda a evaluar si debe subcontratar actividades no centrales en su plan de continuidad comercial, lo que puede conllevar sus propios riesgos. El análisis de impacto comercial esencialmente lo ayuda a observar los procesos de toda su organización y determinar cuáles son los más importantes. La importancia de una planificación de la continuidad de negocio Es vital retener a los clientes actuales mientras aumenta su base de clientes, y no hay mejor prueba de su capacidad para hacerlo que justo después de un evento adverso. La anatomía de un plan de continuidad de negocio Una herramienta común de planificación de la continuidad del negocio es una lista de verificación que incluye suministros y equipos, la ubicación de las copias de seguridad de datos y los sitios de copia de seguridad, dónde está disponible el plan y quién debe tenerlo, y la información de contacto de los servicios de emergencia, el personal clave y los proveedores de sitios de copia de seguridad. Es importante probar el plan de la continuidad de negocio Probar un plan es la única forma de saber realmente que funcionará, Sin embargo, una estrategia de prueba controlada es mucho más cómoda y brinda la oportunidad de identificar brechas y mejorar”. La revisión del plan de continuidad comercial es cuando Se dedica mucho esfuerzo a crear y probar inicialmente un plan de continuidad del negocio. Una vez que ese trabajo está completo, algunas organizaciones dejan que el plan se asiente mientras otras tareas más críticas reciben atención. Cuando esto sucede, los planes se vuelven obsoletos y no sirven de nada cuando se necesitan. Todo plan de continuidad del negocio debe contar con el apoyo de arriba hacia abajo. Eso significa que la alta dirección debe estar representada al crear y actualizar el plan; nadie puede delegar esa responsabilidad a los subordinados.
3.2 - Actividad. Ensayo de la importancia de las nuevas auditorías basadas en Riesgos y de Tecnologías de Información, Plan de Continuidad de Negocio (BCP).