2023-II

Semana n°4

Gestión De Riesgos
Asignatura
Auditoría de Sistemas de Información

Docente
Dr. Manuel Hilario falcón

Integrantes
Acero Pinedo Cristian Alfredo
Amorín Pérez Luis Fernando
Borbor Cardeña Johny Alexander
Cuenca Candela Brad Richard
Maquera Romoacca Alan Manuel

1
 FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

Capítulo 1

¿Qué es la gestión de riesgos de

los proyectos?

La gestión de riesgos de los proyectos,

también conocida como risk management,
es la práctica de identificar, analizar y
responder de manera proactiva a diferentes
tipos de riesgos potenciales de un proyecto.

2
 FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

Objetivos de las auditorías en

Gestión de Riesgos
Toda auditoría debe servir para garantizar que se cumplen los siguientes
niveles:

El sistema de gestión existe El sistema de gestión satisface los requisitos de El sistema de gestión es
verdaderamente. sistema de referencia de la auditoría. eficiente.

Una organización, en función de los requisitos a contemplar por
su sistema de gestión (normas de sistemas, producto,
legislación, criterios internos de funcionamiento, etc.) deberá
definir una documentación que incluya qué, cómo, cuándo,
quién y las evidencias que van a demostrar que las cuestiones
anteriores se lleven a cabo.
El auditor, interno o externo, puede comprobar que esas
cuestiones se hacen según los requisitos de una norma y de la
documentación establecida por la organización. Las diferencias
encontradas implicarán el grado de cumplimiento. La auditoría
busca no conformidades y oportunidades de mejora

3
 FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

Capítulo 5:
Herramientas Para La Gestión De Riesgos
En líneas generales, la gestión de riesgos en proyectos hace referencia a la identificación,
análisis, monitoreo y planificación de respuesta a las amenazas y peligros presentes en la
ejecución de cualquier tipo de proyecto (valga la redundancia).

En dicha tarea han sido claves las siguientes metodologías y herramientas:

1. Las listas de chequeo en la gestión de riesgos en proyectos se

emplean en los procesos de auditoría interna, para identificar puntos
Lista de críticos y verificar que los procedimientos de prevención y
chequeo mitigación se estén cumpliendo a cabalidad.

4
 FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

Una metodología de gestión de riesgos en proyectos bastante popular. Sirve para identificar, evaluar
y clasificar en orden prioritario las amenazas o posibles eventos negativos, para abordarlas en
2. función de su importancia.
Matriz de Básicamente, se trata de una tabla en la que se califica con números la probabilidad de que un riesgo
se concrete, siendo la cifra mayor “un casi seguro que ocurra” y la más baja un “muy difícil de que
riesgo ocurra”. Además, se identifican las posibles causas, para poder establecer medidas de prevención.

3. Matriz de impacto 4. Registro de riesgos

Con esta metodología de gestión de riesgos en
Similar a la anterior. Permite categorizar y priorizar
proyectos no se evalúa ni clasifica nada. Solo se
riesgos en función del daño que causarían.
registran las amenazas, con el fin de planificar los
Se puede combinar con la matriz de riesgo en una, para
esfuerzos y los recursos a emplear para su
sintetizar la información y facilitar el análisis.
tratamiento.

5
 FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

5. Diagrama de Ishikawa La idea es, mediante una lluvia de ideas o sesiones

Aborda todos los factores involucrados en un de creatividad, comprender las causas que originan
proceso productivo: material, método, maquinaria, los problemas y así eliminarlos.
medio ambiente y recursos humanos.

6. Planillas de datos como

Excel o Google Sheets
En las hojas de cálculo se pueden ejecutar varias de
las herramientas para la gestión de riesgos en
proyectos anteriormente señaladas

6
 FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

Respuesta a los riesgos

 Prevención:  Mitigación:  Aceptación:

Eliminación de Reducción del Aceptar las
una amenaza valor monetario consecuencias del
específica, a estimado de un riesgo. Esto se
menudo al riesgo al reducir la cumple al
eliminar la causa. probabilidad de desarrollar un
ocurrencia. plan de
contingencia.

7
 FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

CONCLUSIÓN
La gestión de riesgos es esencial para minimizar el impacto
negativo en el negocio y garantizar una rápida recuperación. Al
anticipar y mitigar posibles amenazas, las organizaciones pueden
mantener la continuidad operativa y proteger sus activos clave.
Además, fomenta una cultura de adaptabilidad y resiliencia,
permitiendo que las empresas se destaquen en entornos
desafiantes mientras mantienen la confianza de sus partes
interesadas.
8
 FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

NIA 16 Técnicas de auditoría asistidas por computadora (TAAC)

Usos de TAACS
Tipos de TAACS:
• Pruebas de detalles de transacciones y saldo
Software de Auditoria • Procedimientos de revisión analítica
Programas de computadora usados por el auditor, como parte • Pruebas de cumplimiento de controles generales de PED
de sus procedimientos de auditoría, para procesar datos de • Pruebas de cumplimiento de controles de aplicación de
importancia de auditoría del sistema de contabilidad de la PED
entidad
• Los programas en paquete
Consideraciones en el uso de TAACS
• Los programas escritos para un propósito
• Conocimiento, pericia y
• Los programas de utilería
experiencia computadoras.
Datos de Prueba • Disponibilidad de TAACS e instalaciones adecuadas
Se usan para conducir procedimientos de auditoría de
alimentando datos (por ej., una muestra de transacciones) al computación.
sistema de computadora de una entidad, y comparando los • No factibilidad de pruebas manuales.
resultados obtenidos con resultados predeterminados.
• Efectividad y eficiencia.
• Datos de prueba usados para probar controles específicos
• Oportunidad
en programas de computadora
• Transacciones de prueba para probar características
específicas de procesamiento del sistema de computadora.

Normas Internacionales para el Ejercicio Profesional de la
Auditoría Interna
(IIA)
•1220 – Cuidado Profesional
•1220.A2 Al ejercer el debido cuidado profesional el auditor
interno debe considerar la utilización de auditoría basada en
tecnología y otras técnicas de análisis de datos.
•2300 – Desempeño del Trabajo
•2310 Identificación de la información
•Los auditores internos deben identificar información suficiente,
fiable, relevante y útil de manera tal que les permita alcanzar
los objetivos del trabajo.
•Interpretación:
•La información suficiente está basada en hechos, es adecuada
y convincente, de modo que una persona prudente e informada
sacaría las mismas conclusiones que el auditor. La información
fiable es la mejor información que se puede obtener mediante
el uso de técnicas de trabajo apropiadas. La información
relevante apoya las observaciones y recomendaciones del
trabajo y es compatible con sus objetivos. La información útil
ayuda a la organización a cumplir con sus metas.
FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS
•2320 Análisis y evaluación
•Los auditores internos deben basar sus conclusiones y los
resultados del trabajo en análisis y evaluaciones adecuados.
•2330 Documentación de la información
•Los auditores internos deben documentar información
relevante que les permita soportar las conclusiones y los
resultados del trabajo.
•GLOSARIO:
•Técnicas de auditoría basadas en tecnología - Cualquier
herramienta automatizada de auditoría, tal como el software
generalizado de auditoría, los generadores de datos de prueba,
programas de auditoría computarizados, y elementos de
auditoría de especialización. También se conocen como
Técnicas de Auditoría Asistidas por Computadora (TAAC).
 FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

Normatividad sobre las

Entidad
TAACS
Norma/Estándar Año Descripción

AICPA SAS 94 2001 El efecto de las Tecnologías de la Información en la consideración

del auditor de Control Interno en una Auditoría de Estados
Financieros

NIA 16. Sección 1009. 2004 Técnicas de auditoría con ayuda del computador

IFAC NIA 401 2004 Auditoría en un ambiente de sistemas de información por

computador

ISACA Guía 3 2008 Uso de Técnicas de Auditoría Asistidas por Computador

IIA Normas Internacionales 2013 Cuidado Profesional
para el Ejercicio Desempeño del Trabajo
Profesional de la Auditoría
Interna
 FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

Clasificación de las
• TAACS
La Auditoria alrededor del Computador (Auditing around the Computer)
Consiste en conciliar los documentos fuente asociados a las transacciones de entrada al computador con
los resultados generados por este, el procesamiento realizado por la aplicación de computador es tratado
como una caja negra.

• La Auditoria con el Computador (Auditing with the Computer)

Consiste en utilizar el computador para desarrollar labores de auditoría en las diferentes fases del ciclo, y
cuenta con desarrollos muy importantes en el campo del análisis de datos, haciendo uso de diferentes
aplicaciones, algunas especializadas y otras que no tienen foco específico en auditoria, pero que cuentan
con funciones que apoyan alguna de sus fases.

• La Auditoría a través del Computador(Auditing through the Computer)

Consiste en que el auditor evalúa la tecnología para determinar la confiabilidad de las operaciones que no
pueden ser vistas por el ojo humano y prueba la efectividad operacional de los controles relacionados con
el computador.
 FACULTAD DE INGENIERÍA INDUSTRIAL Y DE SISTEMAS

Técnicas de TAACS más

Técnica deconocidas
Datos de Prueba • Consiste en un conjunto de datos de entrada, propuestos por el auditor, que se
ingresan a una aplicación con el fin de verificar su procesamiento.

• Técnica que utiliza transacciones reales de la organización y simula el

Simulación Paralela procesamiento que realiza la aplicación en producción

• Técnica para procesar transacciones de prueba a través de sistemas de aplicación

Facilidad de prueba integrada (ITF) de la empresa, junto con las transacciones reales

• Implica tomar una foto de la ruta de procesamiento que sigue una transacción
Foto Instantánea (Snapshot) desde la etapa de ingreso de datos hasta la obtención de la salida

Archivos de revisión, auditoría y control de • Consiste en la inserción de rutinas de auditoría en diferentes puntos de una
transacción para monitorear el tráfico de datos dentro del programa de aplicación
sistemas

• integrar software de auditoría escrito especialmente en el sistema de aplicación,

Módulos Embebidos de Auditoria de modo que los sistemas de aplicación sean monitoreados de manera selectiva