AUDITORIA BASADA EN

ANALISIS DE RIESGOS

1
 FUNDAMENTOS

Objetivos
GENERAL

Capacitar en los conceptos y métodos universales para

ejecutar la función de Auditoria, con un enfoque basado en
Análisis de Riesgos

ESPECIFICOS

Fortalecer las habilidades para identificar los niveles de

vulnerabilidad y protección de un proceso auditado

Incrementar conocimiento para identificar las situaciones de

riesgo de un proceso auditado y las acciones de control y
mitigación.

Identificar las similitudes y diferencias entre los diferentes

modelos de control de aceptación general
2
 FUNDAMENTOS

Marco Normativo Universal

 COSO – Modelo Universal de Control

 ISO31000 – Análisis de Riesgos
 ANZ 4360 – Análisis de Riesgos
 COBIT – Objetivos de Control
 ITIL ISO2000 – Servicio y Soporte en TI
 ISO27001 – Seguridad de la Información
 ISO25999 – Continuidad de Negocio

3
 FUNDAMENTOS

ENFOQUE BASADO EN RIESGOS

AUDITORIA CORRECTIVA AUDITORIA PREVENTIVA

• Posterior a los hechos • Previa a los hechos

• Perdidas irreparables • Tratamiento controlado
• Agentes ausentes o • Agentes presentes
Culpas • Continuidad planeada
• Contingencias • Costos presupuestados
inesperadas • Actitud propositiva
• Costos no presupuestados
• Actitud Policiva
RIESGOS POSIBLES
HECHOS CUMPLIDOS
RIESGO

«POSIBLE EVENTO CAPAZ DE OCASIONAR UNA PERDIDA»

4
CICLO DE AUDITORIA – ENFOQUE DE RIESGOS

IDENTIFICAR AM
S EN
ANE CARACTERIZAR AZ
AS
PL

AUDITAR y ANALIZAR
OPTIMIZAR RIESGOS e
IMPACTOS

RECURSOS RIESGO
INHERENTE

IMPLEMENTAR IDENTIFICAR
ALTERNATIVAS PROTECCION

PR
OC
ED DISEÑAR
IM S GO L
IE N
TO
ESTRATEGIAS RIE IDUA
S S
RE
 FUNDAMENTOS

IDENTIFICACION DE RIESGOS y AMENAZAS

• EFECTO QUE PRODUCE • COMO SE PRESENTA • QUE SE AFECTA
• RIESGO • CAUSA • CRITERIO
 Fraude por permitir acceso no autorizado afectando confiabilidad
 Perdida de Imagen publica por daño en los servidores afectando
disponibilidad

• QUE SE AFECTA • COMO SE PRESENTA • EFECTO QUE PRODUCE

• CRITERIO • CAUSA • RIESGO

 Perdida de la confiabilidad por permitir acceso no autorizado

ocasionando fraude
 No disponibilidad de información por daño en los servidores
ocasionando perdida de la imagen publica
6
 CONTEXTO ESTRATEGICO

Valoración del Riesgo Inherente

 P: La probabilidad de ocurrencia de la Causa
de riesgo o Amenaza.

 I: El impacto o Costo que puede generar la

ocurrencia de la Causa de riesgo o Amenaza,
expresado en términos monetarios.

RI - Riesgo Inherente = P * I

7
 CONTEXTO ESTRATEGICO

TABLA DE
PROBABILIDAD CUALITATIVA
Estándar AS/ NZ 4360.
Valor Descriptor Significado
1 Remota Podría ocurrir solamente en circunstancias
excepcionales

2 Improbable Podría ocurrir muy pocas veces

3 Posible Es posible que ocurra con alguna

frecuencia
4 Probable Podría ocurrir en la mayoría de las
circunstancias

5 Casi Cierto Se espera que ocurra en la mayoría de las

circunstancias

8
 CONTEXTO ESTRATEGICO

TABLA DE
PROBABILIDAD CUANTITATIVA
Estándar AS/ NZ 4360.
Valor Probabilidad Descriptor Significado - Frecuencia de Ocurrencia por
de Ocurrencia Año

1 Raro - Muy Menos de una vez cada año (por ejemplo una
Baja. Remota vez cada 2, 5, 10, 50 o 100 años)

2 Improbable - Entre 1 y 2 veces cada año

Baja

3 Posible Entre 3 y 10 veces por año

4 Probable Entre 11 y 72 veces por año

5 Casi Cierto Más de 72 veces por año

9
 CONTEXTO ESTRATEGICO

TABLA DE
IMPACTO CUATITATIVO
Estándar AS/ NZ 4360.
Rango de Pérdidas
Valor Descriptor Significado por Ocurrencia[1]
1 Insignificante Ningún daño o pérdidas Entre $1 y
financieras pequeñas. $1.000.000
2 Menor Pérdidas poco significativas Entre $1.000.001 y
$10 millones
3 Moderado Pérdidas significativas. Entre $10.000.001 y
$100 millones
4 Severo - Pérdidas muy significativas. Entre $100.000.001 y
Mayor Desestabilizan a la organización 1000 millones
5 Catastrófico Su ocurrencia causaría Mayor de $1000
problemas muy serios a la millones
Organización. Podría ocasionar
el cierre de la empresa.

10
 CONTEXTO ESTRATEGICO

Riesgo Inherente – ANZ 4360

Casi Cierto
5 M A E E E
PROBABILIDAD

Probable
4 M A A E E E Extremo
A Alto
B E EE
Posible
3 M A M Moderado
B M A E B Bajo
Poco probable 2 B E
Raro
1 B B M A A

Ins
1 2 3 4 5
i gn i Me
fica Mo Ma Cat
nte n or d era yor ast
do rófi
co

IMPACTO EN LA ORGANIZACION
 CONTEXTO ESTRATEGICO

Identificación del Riesgo

Inherente
Casi Cierto Moderado Moderado Alto Alto Extremo
P
R
O Probable Bajo Moderado Moderado Alto Alto
B
A
B Posible Bajo Moderado Moderado Moderado Moderado
I
L Improbable
Bajo Bajo Bajo Moderado Moderado
I
D
A Remota Bajo Bajo Bajo Bajo Bajo
D
Insignificante Menor Moderado Severo Catastrófico

IMPACTO
12
 CONTEXTO ESTRATEGICO

TABLA DE
PROBABILIDAD CUANTITATIVA
MECI
Valor Número de veces que ocurre
en un (1) año
1: Baja Una vez en más de un año.

2: Media Entre 1 y 5 veces por año

3: Alta Más de 5 veces por año

13
 CONTEXTO ESTRATEGICO

TABLA DE
IMPACTO CUALITATIVO
MECI
VALOR IMPACTO DE OCURRENCIA DE LAS AMENAZAS
CUALITATIVO

5: Leve Genera problemas operacionales pequeños, no

significativos.
10: Moderado Genera problemas operacionales o sanciones moderadas
o significativas, sin llegar a ser críticas para la
organización
20: Catastrófico Genera problemas operacionales críticos para la
organización, es decir, que desestabilizan la organización
o que pueden ocasionar la desaparición de la empresa

14
 CONTEXTO ESTRATEGICO

Semáforos de Riesgo Inherente

– Estándar MECI

Homologado a Estándares AS/NZ 4360

e ISO 31000

E: Extremo
3: Alta M: Moderado A: Alto (Inaceptable)
PORBABILIDAD (Frecuencia)

Bajo (Tolerable) Alto

2: Moderada M: Moderado

B: baja Bajo (Tolerable) Bajo (Tolerable) M: Moderado

 VALORACION DE RIESGOS

TALLER RIESGO INHERENTE

Casi Cierto
5 M A E E E
PROBABILIDAD

Probable
4 M A A E E E Extremo
A Alto
B E EE
Posible
3 M A M Moderado
B M A E B Bajo
Poco probable 2 B E
Raro
1 B B M A A

Ins
1 2 3 4 5
i gn i Me
fica Mo Ma Cat
nte n or d era yor ast
do rófi
co

IMPACTO EN LA ORGANIZACION
 PROTECCION EXISTENTE

GRADO DE AUTOMATIZACION - EFICACIA

Clases de Controles Calificación

Automáticos no discrecionales (Clase A). Los 5.0 puntos
controles son automatizados y se aplican sin excepciones a
todo el universo.
Automáticos discrecionales (Clase B). Los controles 4.5 puntos
son automáticos y aplican solo a una parte del Universo.

Manuales no discrecionales(Clase C). Los controles 4.0 puntos

son manuales y se aplican sin excepciones a todo el universo.

Manuales discrecionales(Clase D). Los controles son 3.5 puntos

manuales y aplican solo a una parte del Universo.

Criterio de Aceptación:
La calificación promedio de los controles por clase, por cada amenaza,
deberá ser mayor que 3.5
 PROTECCION EXISTENTE

COSTO / BENEFICIO - EFICIENCIA

.
Eficiencia

Alto 5: Muy Alta 4: Alta 3: Moderada

Beneficios

RAZONABLE (R )
NO RAZONABLE (NR)
Moderado 4: Alta 3: Moderada 2: Baja

Bajo 3: Moderada 2: Baja 1: Muy Baja

Bajo Moderado Alto

Costos

Criterio de Aceptación:

La calificación promedio de la eficiencia de los controles, por cada

amenaza, deberá ser mayor o igual a 4.0 (Razonable)
 PROTECCION EXISTENTE

Evaluación de la Efectividad / Protección

que ofrecen los Controles, por Amenaza
Protección existente Satisfacción de los Criterios de
RI - Antes de Controles RR - Despues
(PE) - Método Evaluación Efectividad
Estandar AS/NZ e ISO 31000 de Controles

4: Extremo 1: Tolerable
Se satisfacen los 3 anillos de control y por lo menos
uno de los otros dos criterios (C/B = Razonable y/o 3: Alto 1: Tolerable
1: APROPIADA
Calificación promedio de los controles superior a 3.5
puntos) 2: Moderado 1: Tolerable
1: Bajo (Tolerable) 1: Tolerable

4: Extremo 2: Moderado
3: Alto 2: Moderado
2: MEJORABLE Se satisfacen los 3 anillos de control, únicamente
2: Moderado 2: Moderado
1: Bajo (Tolerable) 1: Bajo

4: Extremo 3: Alto
Únicamente se satisfacen los dos criterios diferentes
3: Alto 3: Alto
4: INSUFICIENTE de los 3 anillos (C/B = Razonable y/o Calificación
promedio de los controles superior a 3.5 puntos) 2: Moderado 2: Moderado
1: Bajo (Tolerable) 1: Tolerable

4: Extremo 4: Extremo
Se satisface únicamente uno de los dos criterios
diferentes de los 3 anillos (C/B = Razonable y/o 3: Alto 3: Alto
4: DEFICIENTE
Calificación promedio de los controles superior a 3.5
puntos) 2: Moderado 2: Moderado
1: Bajo (Tolerable) 1: Bajo (Tolerable)

19
 PROTECCION EXISTENTE

Mapa de Riesgos Residuales

Matriz de Riesgo Residual, después del Diagnóstico
de los Controles Establecidos -

4: Extremo Bajo Moderado. Alto. Extremo Extremo

3: Alto Bajo Moderado. Alto. Alto. Alto.

Riesgo Inherente

2: Moderado Bajo Moderado. Moderado. Moderado. Moderado.

1: Bajo Bajo Bajo Bajo Bajo Bajo

1: Apropiada 2: Mejorable 3: Insuficiente 4: Deficiente 5: Muy

Deficiente