Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

evaluacion de riesgos en la auditoria de sistemas

No description
by

hector gazabon

on 28 September 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of evaluacion de riesgos en la auditoria de sistemas

RIESGO INHERENTE
El riesgo inherente es la susceptibilidad que un área posee a un error, en el sentido que puede ser material individual o conjuntamente con otros errores, asumiendo que esos errores no están relacionados al control interno. Por ejemplo, el riesgo inherente asociado con seguridad en los sistemas operativos, es ordinariamente alto, ya que el cambio o incluso la divulgación de los datos o programas,
A través de las debilidades de seguridad del sistema operativo podría dar lugar a un falso manejo de la información o desventajas competitivas.
El riesgo inherente asociado con la seguridad de una PC que no esta conectada a una red, cuando un apropiado análisis demuestra que estas no son utilizadas para propósitos de negocios-delicados, su riesgo es bajo.
El riesgo inherente para la mayoría de las auditorias en los sistemas de información, es alto, ya que los efectos de los errores se replican a muchas áreas de negocio. Sistemas y a muchos usuarios.
Dentro de la evaluación del riesgo inherente,
El auditor de SI debe considerar, generalizada y detalladamente los controles de SI. Esto no aplica para circunstancias donde el auditor de SI esta asignado a evaluar únicamente los controles generales.
RIESGO DE CONTROL
El riesgo de control es aquel riesgo de sufrir algún error en el área auditada y que este pueda ser material, individual o combinado con otros errores, no será prevenido o detectado y corregido a tiempo basado en el sistema de control interno.
Por ejemplo, el riesgo de control asociado con revisiones manuales de accesos a computadoras puede ser alto porque las actividades que requirieren investigación son a menudo extraviadas fácilmente, debido al volumen de accesos al equipo.
El riesgo de control asociado con procedimiento de validación de la información computarizada, Es ordinariamente bajo porque los procesos son consistentemente aplicados.
ocurren cuando los controles fallan:
correctivo
preventivo
detectivo
uso de la evaluación de riesgo en la planeación de auditoría
RIESGO
es la probabilidad de que un evento ocurra.
siempre habran riesgo en toda empresa.

LA EVALUACIÓN DE RIESGO EN AUDITORÍA: identifica, mide y prioriza el riesgo; por esto mismo el punto central se ubica en las áreas auditables de mayor significación.
En auditorías individuales la evalución de riesgos se utiliza para identificar las áreas más importantes.
La evaluación de riesgos permite al auditor diseñar un programa de auditoría que examine los controles más importantes o que pruebe los controles con mayor profundidad.
TIPOS DE RIESGOS
riesgo inherente
riesgo de control
riesgo de detección
Dentro de los controles generalizados, el nivel de control deberá ser considerado por el auditor de SI, para determinar el nivel apropiado de control dentro del área en cuestión deberá considerarse:
• La integridad del manejo de los SI así como la experiencia y conocimiento
• Cambios en el manejo
• Presiones en el manejo de los SI que pueden predisponer, ocultar o declarar errónea la información (ejemplo: proyectos de negocio grandes y críticos, actividad maliciosa de hackers).
• La naturaleza del negocio de la organización y sus sistemas (Ej.: el plan de e-commerce, complejidad de los sistemas, la falta de sistemas integrados)
• Factores que afectan a la industria a la cual la compañía evaluada pertenece
(Ej.: cambios en las tecnologías, disponibilidad de soporte técnico)
• El nivel de la influencia de terceros en el control de los sistemas auditados
(Ej.: debidos a la cadena de abastecimiento, procesos de SI mercerizados, negocios conjuntos, acceso directo de los clientes)
• Verificar las fechas de auditorias previas.
En los controles de SI detallados, el auditor de SI debe considerar, el nivel apropiado, para la auditoría en cuestión de:
• Los hallazgos de las auditorias previas
• La complejidad de los sistemas en cuestión
• El nivel de manualidad de los procesos
• La susceptibilidad de perdida o apropiación indebida de los activos controlados por el sistema (Ej.: el inventario, la planilla)
• La falta de picos de actividad en cierto tiempo durante el periodo auditado
• Actividades fuera de la rutina del día a día, del proceso de los SI (Ej.: uso de sistemas utilitarios para modificar info.)
• La integridad experiencia y habilidades del equipo que maneja y esta aplicando los controles de los SI.
El auditor de SI debe evaluar el riesgo de control como alto, a menos que los controles relevantes sean:
• Identificados
• Evaluados como efectivos
• Probados y que funcionen apropiadamente
RIESGO DE DETECCIÓN
El riesgo de detección es aquel que los procedimientos sustantivos del auditor de SI no logran detectar un error que puede ser material individual o combinado con otros errores,
Por ejemplo: el riesgo de detección asociado con la identificación de infracciones de seguridad en un sistema es algo porque los registros de todo el periodo auditado no están disponibles al momento de la auditoria. La detección del riesgo asociado con la identificación de la falta de planes de recuperación en caso de desastre es ordinariamente bajo, debido a que es verificable fácilmente.
INTRODUCCIÓN
Los Estándares de Auditoría de SI de ISACA contienen los principios básicos y procedimientos esenciales, identificados en letras en negrita, que son obligatorios junto con la documentación relacionada.
El propósito de este estándar es establecer normas y proporcionar asesoría con respecto al uso de la evaluación de riesgos en la planeación de auditoría.
En determinado nivel de pruebas sustantivas, el auditor de Si debe considerar lo siguiente:
• La evaluación del riesgo inherente
• La conclusión alcanzada en el riesgo de control siguiendo las pruebas de cumplimiento.
A un mayor riesgo de control se necesita mayor control y evidencia de auditoria. La mayor parte de la evidencia de auditoria debe obtenerse de los procedimientos sustantivos y de detalle.
los estandares
El auditor de SI debe utilizar una técnica o enfoque apropiado de evaluación de riesgos al desarrollar el plan general de
auditoría de SI y al determinar prioridades para la asignación eficaz de los recursos de auditoría de SI.
Al planear revisiones individuales, el auditor de SI debe identificar y evaluar los riesgos relevantes al área bajo revisión.
EJEMPLO DE CRITERIO DE EVALUACION DE RIESGO
la calificación de la probabilidad de los riesgos sera utilizando una tabla de 5 valores:
Para calificar el impacto se utilizará una tabla general de referencia con 5 valores;
adicionalmente se utilizarán tablas específicas donde se describirán los criterios para
asignar la calificación de impacto según la categoría de cada riesgo:
calificación del impacto
Para medir la severidad del riesgo se utilizarán 4 valores que se determina según la
calificación del impacto y la probabilidad, es decir el nivel de exposición:
severidad de riesgo
ANÁLISIS DE RIESGO
El Análisis de Riesgos supone las siguientes fases:
a)Identificación del Peligro.Se entiende como tal, toda fuente o situación con capacidad de daño en términos de lesiones, daños a la propiedad, daños al medio ambiente, o bien una combinación de ambos.
b)Estimación del Riesgo. Entendiendo como Riesgo a la combinación de la frecuencia o probabilidad y de las consecuencias que pueden derivarse de la materialización de un peligro. La estimación del Riesgo supone el tener que valorar la probabilidad y las consecuencias de que se materialice el riesgo.
FORMATO DE RIESGO
EVALUACIÓN DE RIESGO
GRACIAS
bibliografía
http://www.facebook.com/l.php?u=http%3A%2F%2Fwww.ccpa.or.cr%2Ffile%2Fmayo_2013%2Fcharlas%2F21-riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria.pdf&h=aAQEzAMa1

http://www.hacienda.go.cr/cifh/sidovih/spaw2/uploads/images/file/Normas%20t%C3%A9c%20en%20TI%20y%20comunics.pdf



https://www.google.com.co/#q=valoracion+de+riesgo

http://www.isaca.org/Knowledge-Center/Standards/Documents/Standards-IT-Spanish-S11.pdf
INTEGRANTES
HECTOR GAZABON
WENDY SUAREZ
FERNANDO LAMBY
LAURY SARMIENTO
ANGUIE ROMAN
ENILSON POLO
LIANETH GARCIA
Full transcript