ANALISIS Y EVALUACIÓN DE RIESGOS | AUDITORÍA INFORM... http://auditordesistemas.blogspot.com/2012/02/guias-de-auditoria-para-a...

Sidebar

…
ANALISIS Y EVALUACIÓN DE RIESGOS
ANÁLISIS Y EVALUACIÓN DE RIESGOS

Para este proceso tan importante dentro de la auditoría es necesario que ya se haya identificado
inicialmente las vulnerabilidades y amenazas existentes en cada uno de los procesos evaluados, y que
se hay definido los riesgos existentes a causa de esas debilidades.
ANALISIS Y EVA… 1

Una vez se identifican los riesgos se procede a hacer un análisis y evaluación de los mismos, en el
… 14 análisis hay que determinar como se esta presentando el riesgo, las causas posibles que lo originan, en
que procesos se presentan y quien es el personal involucrado en cada uno de ellos.
…
Una vez analizados los riesgos se procede a hacer la evaluación teniendo en cuenta los criterios de
frecuencia con que se presenta el riesgo en el tiempo (probabilidad) y el impacto que ellos pueden
…
causar de llegar a concretarse (impacto). Para cada uno de estos criterios existen unas escalas de
valoración de tipo cualitativo que pueden tener una lectura cuantitativa para poder determinar la
… 4
probabilidad e impacto de estos riesgos.

… 16 Este proceso puede llevarse a cabo inicialmente para determinar una lista de riesgos iniciales general y
proponer el objetivo de la auditoría de acuerdo a los resultados, si se observa que los problemas se
… 5 originan en la infraestructura tecnológica entonces la auditoría deberá orientarse hacia el análisis de
dicha infraestructura. Una vez iniciado el proceso de auditoría el proceso de análisis y evaluación de
riesgos me permite evaluar cada uno de los dominios y procesos (CobIT) que se han seleccionado para
… 1
la valoración de los riesgos en dicho proceso.

… 2 A continuación se muestra un ejemplo de aplicación de dicho proceso, inicialmente se presenta un listado

de vulnerabilidades, amenazas y riesgos, posteriormente se presenta la matriz general que será usada
… para la medición de los riesgos donde se presentan las escalas de probabilidad e impacto y finalmente se
hace la valoración con este ejemplo concreto.
… 4

VULNERABILIDADES:
1. No existencia de inventario de hardware y redes
2. No se hace mantenimiento preventivo solo se hace manteniemiento correctivo
3. Irregularidad en el servicio de internet por la ubicación de la empresa
4. Obsolescencia de tecnología de hardware de servidores, equipos y redes
5. Obsolescencia en el cableado estructurado

AMENAZA:
1. Poca seguridad en el acceso físico al hardware
2. Equipos de cómputo que no soportan sistemas operativos
3. Existe peligro en la continuidad de los servicos en línea
4. No hay sistemas de vigilancia y monitoreo dentro de la empresa
5. No existe sistema de protección en caídas de energía para protección de equipos
6. No existen sistemas contra incendios
7. Posibles fallos en la conectividad de la red de datos e internet

RIESGOS:
1. No existe restricciones para el acceso a personal externo a los equipos de cómputo
2. Equipos con bajo rendimientopara las operaciones que se deben desarrollar
3. Daño en los equipos por caidas en el fluido eléctrico
4. Insatisfacción por parte de los usurios respecto al servicios internet
5. No se han levantado hojas de vida de los equipos existentes
6. La señal de los operadores de internet presenta fallas por la ubicación de la empresa
7. Se presentan problemas de conexión en la intranet y a internet
8. Se han presentado hurtos y robo de partes de los equipos de cómputo
9. No existen controles y responsables de los equipos de cómputo

MATRIZ DE PROBABILIDAD DE IMPACTO

Esta matriz fue creada para catalogar un riesgo y saber qué clase de daño puede causar un mal procedimiento en el
proceso auditado. En la matriz existe la columna de probabilidad de ocurrencia donde se pondrá el valor del porcentaje
de riesgo según su resultado. Luego se deberá determinar el impacto según la relevancia del proceso, esta clasificación
será hecha por el equipo auditor basándose en el conocimiento de la entidad y del proceso auditado. Una vez hechos
estos procedimientos se podrá clasificar el riesgo para su mejor entendimiento en la matriz gráfica.

Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso

PROBABILIDAD Zona de Riesgo Zona de riesgo Zona de riesgo

Alto Moderado Importante Inaceptable
61-100%
Medio Zona de riesgo Zona de riesgo Zona de riesgo
31-60% Tolerable Moderado Importante

Bajo Zona de riesgo Zona de riesgo Zona de riesgo Moderado

0-30% Aceptable Tolerable
Tema Vistas dinámicas. Con la tecnología de Blogger.

1 de 3 27/4/2018 2:55 p. m.
ANALISIS Y EVALUACIÓN DE RIESGOS | AUDITORÍA INFORM... http://auditordesistemas.blogspot.com/2012/02/guias-de-auditoria-para-a...

Leve Moderado Catastrófico

IMPACTO

…
EVALUACIÓN DE RIESGOS

N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico
R1 No existe restricciones X X
ANALISIS Y EVA… 1
para el acceso a personal
externo a los equipos de
… 14 cómputo
R2 Equipos con bajo X X
rendimientopara las
… operaciones que se deben
desarrollar
… R3 Daño en los equipos por X X
caidas en el fluido eléctrico
R4 Insatisfacción por parte de X X
… 4
los usurios respecto al
servicios internet
… 16 R5 No se han levantado hojas X X
de vida de los equipos
existentes
… 5
R6 La señal de los X X
operadores de internet
… 1 presenta fallas por la
ubicación de la empresa
R7 Se presentan problemas X X
… 2
de conexión en la intranet
y a internet
… R8 Se han presentado hurtos X X
y robo de partes de los
equipos de cómputo
… 4
R9 No existen controles y X X
responsables de los
equipos de cómputo

MATRIZ DE RIESGOS

PROBABILIDAD R4, R7 R1
Alto
61-100%
Medio R2, R5 R6
31-60%

Bajo R3, R8 R9
0-30%
Leve Moderado Catastrófico

IMPACTO

En la matriz se oberva las escalas de la probabilidad de ocurrencia y el impacto que pueden causar en la
organización de llegar a concretarse esos riesgos, a continuación se dará una breve interpretación de
cada una de las escalas y su significado.

Escala de probabilidad:

Bajo: Cuando el riesgo se presenta esporádicamente 1 0 2 veces en el año

Medio: Cuando el riesgos se presenta cada mes
Alto: Cuando el riesgo se presenta todas las semanas

Fijense que lo importante es la unidad de tiempo en que se mide, en un sistema puede que se presenten
errores todo los días o varias veces en una hora, por lo tanto la medición de be hacerse de acuerdo al
proceso evaluado y a los riesgos que pueden presentarse, también hay que tener en cuenta si se está
evaluado el área informática, sus activos de hardware, el personal o uno de los sistemas
específicamente.

Escala de impacto:

Leve: Cuando el riesgo afecta a una sola persona o dependencia de la organización

Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una dependencia
Catastrófico: Cuando se paraliza completamente la actividad en la organización

Publicado 13th February 2012 por FRANCISCO NICOLAS SOLARTE SOLARTE

Ver comentarios

Tema Vistas dinámicas. Con la tecnología de Blogger.

2 de 3 27/4/2018 2:55 p. m.
ANALISIS Y EVALUACIÓN DE RIESGOS | AUDITORÍA INFORM... http://auditordesistemas.blogspot.com/2012/02/guias-de-auditoria-para-a...

ANALISIS Y EVA… 1

… 14

… 4

… 16

… 5

… 1

… 2

… 4

Tema Vistas dinámicas. Con la tecnología de Blogger.

3 de 3 27/4/2018 2:55 p. m.