Universidad Autónoma de Nuevo León

Facultad de Contador público y Administración

Control interno

3.2 - Actividad. Ensayo de la importancia de las nuevas auditorías basadas en

Riesgos y de Tecnologías de Información, Plan de Continuidad de Negocio
(BCP).

Maestra: Diana Elizabeth Chávez Sánchez

Alumno:
Paola Michelle Meléndez González 1993953
Brayan Eduardo Guzman González 1954506

Grupo: LDH Matricula: 1993953

San Nicolás de los Garza Nuevo León, 12 de abril de 2024

 Introducción

Durante esta actividad se realizó un ensayo sobre la importancia de las nuevas

auditorías basadas en Riesgos y de Tecnologías de Información, Plan de
Continuidad de Negocio. La auditoría basada en riesgos y tecnologías de
información se centra en evaluar la efectividad de los controles internos y la
gestión de riesgos relacionados con los sistemas de información. Esta
evaluación no solo garantiza la protección de los activos digitales de la
organización, sino que también contribuye a la confiabilidad y precisión de la
información financiera y operativa.

Los planes suelen contener una lista de comprobación que incluye suministros
y equipamiento, copias de seguridad de datos y ubicaciones para las copias de
seguridad. Los planes también pueden identificar administradores de planes e
incluir información de contacto del personal de emergencia, personal esencial y
proveedores de sitios de respaldo. Además, los planes pueden proporcionar
estrategias detalladas para que las organizaciones puedan mantener las
operaciones empresariales en interrupciones tanto a corto como a largo plazo.
Las organizaciones financieras, como bancos y compañías de seguros,
invirtieron en sitios alternativos.

A lo largo de este trabajo, se presentarán conclusiones y recomendaciones

sobre las auditorías realizadas en estas áreas. Estas observaciones no solo
servirán para mejorar las prácticas y procesos existentes, sino que también
proporcionarán una base sólida para fortalecer la posición competitiva y la
capacidad de adaptación de la organización en un entorno empresarial en
constante cambio y cada vez más desafiante.
 Auditoría basada en riesgos (ABR)

En un mundo empresarial cada vez más complicado, es clave tener una

auditoría que funcione bien y de manera eficiente. La Auditoría Basada en
Riesgos (ABR) ha surgido como un enfoque importante para asegurar que los
esfuerzos de auditoría se centren en los riesgos más importantes para una
organización.

La idea básica de la ABR es que en lugar de revisar cada detalle de una

operación, se enfoca en las áreas o procesos que representan los mayores
riesgos. Esto significa identificar y evaluar esos riesgos que podrían tener un
impacto grande en los objetivos de la organización si no se manejan
correctamente.

¿Por qué es tan importante la ABR hoy en día? Hay algunas razones clave:

En primer lugar, las empresas están operando en un ambiente cada vez más
complejo. Con negocios en todo el mundo, regulaciones cambiantes y nuevas
tecnologías, los riesgos que enfrentan son diversos y difíciles de manejar.

Además, las personas que tienen interés en la empresa, como los accionistas y
los reguladores, quieren cada vez más transparencia y responsabilidad. La
ABR puede ofrecer una evaluación más enfocada y relevante sobre cómo se
están manejando los riesgos.

También hay que considerar los recursos. Las auditorías internas tienen
recursos limitados, por lo que es esencial concentrarse en las áreas donde los
riesgos son más altos. La ABR permite hacer precisamente eso, maximizando
el valor que la auditoría puede agregar.

La flexibilidad también es clave. Las empresas y los riesgos que enfrentan

están cambiando constantemente. La ABR es un enfoque flexible que puede
adaptarse a estos cambios, manteniendo a los auditores al día.

Finalmente, la ABR ayuda a alinear la auditoría con la estrategia y los objetivos

de la empresa. Al enfocarse en los riesgos más importantes, la auditoría puede
ayudar a informar mejor las decisiones estratégicas.
 Riesgos operacional y tecnológico

El riesgo operacional es la suma de fallas o errores en los procesos, ya sea por

fallos humanos, defectos en la tecnología utilizada o factores externos e
internos. Estas fallas pueden ser el resultado de acciones intencionadas,
procedimientos inadecuados o agentes contingentes como desastres naturales.

Dentro de estos escenarios pueden existir amenazas, que representan un

potencial de riesgo, y vulnerabilidades, que son puntos débiles que podrían ser
explotados de manera intencionada o fortuita. Lo que todas estas situaciones
tienen en común es la necesidad de un método para mitigar los riesgos: la
gestión.

Por lo tanto, para evitar pérdidas financieras y problemas legales, es crucial

establecer un entorno metodológico en nuestras operaciones. Esto implica
gestionar aspectos relacionados con la seguridad física y lógica, cumplir con
normativas internas que alineen la tecnología de la información con los
estándares de la empresa, llevar a cabo proyectos de tecnología de la
información, y considerar amenazas externas.

Una aplicación práctica en la vida cotidiana podría ser que un desempeño

laboral deficiente, con el tiempo, podría resultar en pérdidas para la empresa.

Anexo 4 Plan de continuidad de negocios

El Plan de Continuidad de Negocio se destaca como una herramienta clave

para asegurar la continuidad y minimizar los impactos de cualquier interrupción
inesperada en sus servicios y operaciones esenciales.

El Plan de Continuidad de Negocio no es solo un documento estático;

representa un conjunto dinámico de estrategias, procedimientos y acciones
diseñadas para enfrentar contratiempos operativos y mantener la operatividad
de la empresa. Desde la perspectiva de la dirección general, recae en ellos la
responsabilidad de su elaboración, presentación y ejecución efectiva. El
Director General, como líder máximo de la organización, debe asegurarse de
que el plan esté bien diseñado y alineado con los objetivos y necesidades del
negocio.

La elaboración del Plan de Continuidad de Negocio implica un proceso riguroso

de evaluación de riesgos y vulnerabilidades, identificación de procesos críticos
y establecimiento de medidas de respuesta y recuperación. Es un ejercicio
proactivo que busca anticiparse a posibles contratiempos, ya sean eventos
fortuitos, fallas tecnológicas o situaciones de emergencia, para garantizar que
la empresa pueda mantener sus servicios esenciales y proteger los intereses
de todas las partes involucradas.

La implementación efectiva del Plan de Continuidad de Negocio requiere un

compromiso total por parte de la dirección general y de todo el equipo directivo.
Esto implica no solo asignar recursos adecuados, sino también realizar pruebas
periódicas y revisiones continuas para garantizar que el plan esté actualizado y
sea efectivo en todo momento. La capacidad de adaptarse y responder
rápidamente a situaciones imprevistas es clave para garantizar la resiliencia y
la supervivencia a largo plazo de la organización.

Anexo 12-A Sección II Categorías de tipos de Riesgo Operacional

En el ámbito laboral, existen diferentes riesgos que son una realidad que no se
puede ignorar. El Anexo 12-A, Sección II, nos ofrece una información directa a
los diferentes tipos de riesgos operativos que las empresas pueden encontrar
en su día a día. Desde fraudes hasta desastres naturales, estas categorías
cubren una amplia gama de posibles contratiempos.

El fraude interno es uno de los riesgos más comunes, donde los empleados de
la empresa pueden estar involucrados en actividades fraudulentas, como el
robo o la manipulación de información. Por otro lado, el fraude externo ocurre
cuando terceros, como clientes o proveedores, están involucrados en
actividades fraudulentas que afectan a la empresa.

Las relaciones laborales y la seguridad en el trabajo son otra área de riesgo

importante. Aquí, las empresas enfrentan pérdidas debido a violaciones de la
legislación laboral, problemas de seguridad en el lugar de trabajo o casos de
discriminación.

La relación con los clientes y la calidad de los productos también pueden

representar riesgos significativos. Incumplimientos de obligaciones hacia los
clientes o problemas con los productos pueden resultar en pérdidas financieras
y dañar la reputación de la empresa.

Los desastres naturales y otros eventos imprevistos también son riesgos a

considerar. Desde terremotos hasta incendios, estos eventos pueden causar
daños materiales significativos y afectar la capacidad de la empresa para
operar.

Las interrupciones en el negocio y los fallos en los sistemas representan otro

riesgo importante. Problemas internos, como interrupciones en la cadena de
suministro o fallos en los sistemas informáticos, pueden afectar la capacidad de
la empresa para funcionar correctamente.

Finalmente, los errores en la ejecución de procesos o la gestión de relaciones

con proveedores también pueden causar pérdidas significativas para una
empresa.

Plan de continuidad de negocios (Articulo en ingles)

Este plan abarca mucho más que solo aspectos técnicos como la
infraestructura de TI; también considera todos los aspectos de la operación
comercial, desde los procesos esenciales hasta los recursos humanos y las
relaciones con los socios comerciales.

Es esencial entender la diferencia entre un plan de recuperación ante desastres

y un plan de continuidad comercial. Mientras que el primero se enfoca
principalmente en restaurar la infraestructura tecnológica y las operaciones
después de un incidente, el segundo tiene un alcance mucho más amplio. Un
plan de continuidad comercial examina la continuidad de toda la operación,
desde la recuperación de datos hasta la reanudación de las relaciones con
clientes y proveedores.
Al identificar áreas críticas de vulnerabilidad y desarrollar estrategias para
abordarlas, las organizaciones pueden minimizar el impacto de cualquier
interrupción y mantener la estabilidad y la confianza del cliente incluso en
tiempos difíciles.

"Business Continuity Plan"

This plan covers much more than just technical aspects like IT infrastructure; it
also considers all aspects of business operations, from essential processes to
human resources and relationships with business partners.

Understanding the difference between a disaster recovery plan and a business

continuity plan is essential. While the former primarily focuses on restoring
technological infrastructure and operations after an incident, the latter has a
much broader scope. A business continuity plan examines the continuity of the
entire operation, from data recovery to resuming relationships with customers
and suppliers.

By identifying critical areas of vulnerability and developing strategies to address

them, organizations can minimize the impact of any disruption and maintain
customer stability and confidence even in difficult times.
 Conclusión

Los planes de continuidad de negocios, como se detalla en el Anexo 4, son

fundamentales para ayudar a las organizaciones a prepararse y responder a
posibles interrupciones en sus operaciones, ya sea por desastres naturales,
ciberataques u otros eventos adversos. Estos planes establecen
procedimientos y protocolos para garantizar la rápida recuperación y
reanudación de las operaciones comerciales, minimizando así el impacto en la
organización y sus partes interesadas.

Vimos que la naturaleza cambiante y cada vez más compleja de los riesgos
operacionales y tecnológicos en el entorno empresarial actual. Es esencial
identificar, evaluar y gestionar estos riesgos de manera efectiva para proteger
los activos de la organización y garantizar la continuidad del negocio.
 Bibliografía

-Recursos Nexus
Lindros, M. K. P. E. T. K. (2023, 7 diciembre). How to create an effective business

continuity plan. CIO. https://www.cio.com/article/288554/best-practices-how-

to-create-an-effective-business-continuity-plan.html

¿Qué es la auditoría basada en riesgos (ABR)? (2023, 2 octubre).

https://www.auditool.org/blog/auditoria-interna/que-es-la-auditoria-basada-en-

riesgos-abr