Auditoria Informtica Unidad III

Etapa II Ejecucin del Trabajo

Podemos considerar las siguientes tcnicas para identificar riesgos:

Anlisis del flujo del proceso. En cada proceso, debemos identificar los
subprocesos y actividades, respecto de las cuales debemos preguntar
Qu puede fallar?, Cmo puede suceder? y Cul es la consecuencia
desde el punto de vista de riesgo?

Considerar los resultados de la investigacin preliminar

Tomar en cuenta eventos ocurridos en la empresa y/o en la industria

Anlisis de factores externos (econmicos, competencia, polticos,

sociales, tecnolgicos) e internos (personal, sistemas).

Entrevistas y consultas al personal clave respecto de riesgos asociados

a factores internos y externos.

Auditoria Informtica Unidad III

Etapa II Ejecucin del Trabajo
Evaluar los Riesgos Identificados

El objetivo de esta actividad es determinar la magnitud

del riesgo de lograr los objetivos definidos por la
organizacin para la materia bajo anlisis, en funcin de
su impacto o consecuencias y de su probabilidad de
ocurrencia.

La combinacin impacto/probabilidad para cada uno de

los riesgos identificados, Permite determinar cun
riesgoso es que la materia a auditar sea susceptible a
errores o fallas, que pudieran ser importantes en forma
individual o en conjunto con otros riesgos, asumiendo
que no hay acciones y/o controles de la direccin para
mitigar su probabilidad o impacto o que stas acciones
y/o controles no son lo suficientemente eficaces para
mitigarlos.

Auditoria Informtica Unidad III

Matriz de Riesgos
IDENTIFICACIN
DE RIESGOS
INHERENTES

Evaluacin Riesgo
Inherente)

Evaluacin actividades de control y/o monitoreo

Riesgo N

Observaciones y/o hallazgos

Imp
act
o

Pro
bab
ilid
ad

Controles
Eva
luac
in

Impacto prob RiesgoF.

Auditoria Informtica Unidad III

Evaluar los Riesgos Identificados
Calificar el Impacto de Cada Riesgo
Se entender por impacto, el efecto o consecuencia de la
materializacin asociado a cada riesgo identificado. Se debe
determinar el impacto por cada uno de los riesgos identificados para
la materia bajo anlisis, considerando la clasificacin de impacto
siguiente:
Nivel

Catastrfica

Materialidad

Superior a MM$500

Grave

entre MM$100 y MM$500

Moderado

entre MM$10 y MM$100

Dbil
Insignificante

entre MM$5 y MM$10

menos MM$5

Auditoria Informtica Unidad III

Evaluar los Riesgos Identificados
Calificar la probabilidad de Cada Riesgo Inherente
La probabilidad representa la posibilidad que el riesgo ocurra, es decir la
probabilidad de que el riesgo identificado se materialice. Se debe estimar la
probabilidad de ocurrencia por cada uno de los riesgos identificados en %.
Nivel

Descripcin Cualitativa

Casi certeza

Se espera que ocurra en la mayora de las circunstancias

Probable

Probablemente ocurrir en buena parte de los casos

Posible

Podra ocurrir ms que a nivel de excepciones

Improbable

Puede ocurrir con cierto nivel de excepcin

Casi Imposible

Puede ocurrir slo en circunstancias muy excepcionales

Auditoria Informtica Unidad III

Matriz de Evaluacin de Riesgos

Impacto /
Probabilidad
de Ocurrencia

Insignificante

Debil

Moderado

Grave

Catastrofico

medio

medio alto

medio alto

alto

alto

medio bajo

medio

medio alto

medio alto

alto

bajo

medio bajo

medio

medio alto

medio alto

bajo

bajo

medio bajo

medio

medio alto

bajo

bajo

bajo

medio bajo

medio

Casi certeza

Probable

Posible

Improbable

Casi imposible

Auditora Informtica
Ejercicio
Para los siguientes procesos de negocios de un banco:

Vender Pacto por sumas superiores a MM$10

Identificar;

Partcipes en el proceso (Cliente, Ejecutivo Inversiones, Mesa de

Dinero, Cajero, Operaciones, Sistemas

Diagramar las actividades

Identificar Riesgos Inherentes en Matriz y evaluar sus riesgos

Auditora Informtica
Ejercicio Grupal
En Grupos de 3 personas:
Para los siguientes procesos de negocios de un banco:

Vender Cuenta Corriente Personas

Identificar;

Partcipes en el proceso

Diagramar las actividades

Identificar Riesgos Inherentes en Matriz y evaluar sus riesgos