s11 uso de la evaluacion de riesgos en la planeacion de auditoria

UNIVERSIDAD DE EL SALVADOR FACULTAD DE CIENCIAS ECONÓMICAS

ESCUELA DE CONTADURIA PÚBLICA

Cátedra:Auditoria de Sistemas

Catedrático:Lic. Henry Amilcar Marroquín.

Grupo de clase: 05

Grupo de Trabajo05-01

“ S11 USO DE LA EVALUACION DE RIESGOS EN LA

Ciudad Universitaria, 28 de Septiembre de 2 0 1 2

ALUMNOS CARNET

Carlos Ernesto Alvarado HernándezClaudia Lissette Castillo AranzamendiAmadeo Antonio Estupinian Morán Ronald Antonio Luna LópezEvelyn Guadalupe Morales

AH08019CA08040EM08003LL08010MM08026

PLANEACION DE AUDITORIA”

Contenido Pág.INTRODUCCION....................................................................................................... i

OBJETIVOS.............................................................................................................. ii

OBJETIVO GENERAL.......................................................................................... ii

OBJETIVOS ESPECIFICOS................................................................................. ii

Uso de la evaluación de riesgos en la planeación de auditoría...............................1

1. Conceptos..........................................................................................................1

1.1 Riesgo.........................................................................................................1

1.2 Riesgo inherente.........................................................................................1

1.3 Riesgo residual...........................................................................................1

1.4 Evaluación de riesgos:................................................................................1

1.5 Medición de la evaluación de riesgo...........................................................1

1.6 Plan de auditoria.........................................................................................1

1.7 Unidades auditables....................................................................................1

1.8 Universo auditable......................................................................................2

2 Estándar 11:......................................................................................................2

3 Relación con el COBIT......................................................................................2

4 Importancia de la evaluación de riegos.............................................................3

5 Enfoque de la auditoría de SI basado en el riesgo............................................3

5.1 Tipos de riesgos..........................................................................................5

5.2 Riesgo inherente.........................................................................................5

5.3 Riesgo de Control.......................................................................................6

5.4 Riesgo de Detección...................................................................................7

6 Metodología de medición de evaluación de riesgos de auditoría de SI.............7

6.1 Objetivo de un modelo de riesgo:................................................................7

6.2 Métodos de evaluación de riesgos:.............................................................7

6.3 Selección de la metodología de evaluación de riesgo................................8

6.4 Consideraciones a tomar para elegir metodologías....................................8

6.5 Técnicas de medición de evaluación de riesgos de SI...............................9

6.6 Determinación de Unidades Auditables....................................................10

6.7 Documentación.........................................................................................10

6.8 Ejemplos de metodologías de evaluación de riesgos...............................11

INTRODUCCION

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos a los cuales están sometidos los procesos y actividades de una entidad y por medio de procedimientos de control se pueda evaluar el desempeño de la misma. El auditor de sistemas para realizar una buena planificación debe considerar los riesgos a los que están expuestos los SI, utilizando diferentes métodos y técnicas que representen y suministren la información suficiente y necesaria para desarrollar el plan general de auditoría. Se deben tener presente las unidades auditables de SI y su universo para poder seleccionar adecuadamente las áreas prioritarias. La normativa que rige esta parte tan importante en la planeación de una auditoria de sistemas es El estándar 11, la guía 13 y el procedimiento 1, todos emitidos por ISACA, los cuales hacen referencia a la evaluación que se debe hacer a los diferentes riesgos a los que se está expuesto, por lo que el auditor debe elegir los métodos indicados para determinar prioridades. No solo es necesario conocer los riesgos sino que también evaluarlos y medirlos para elaborar los programas que se desarrollaran durante la auditoria ya que El riesgo tiende a minimizarse cuando aumenta la efectividad de los procedimientos de auditoría aplicados.

Auditoria de Sistemas Computacionales i

OBJETIVOS

OBJETIVO GENERAL

Analizar las normas relacionadas con la evaluación de riegos en la planeación de la auditoria, para conocer la manera en que estas se aplican, y por medio de las cuales se puedan tener mejores resultados en una auditoria de SI.

OBJETIVOS ESPECIFICOS

Conocer cada una de las técnicas y métodos que el auditor de SI debe poner en práctica para detectar los riesgos al momento de estar haciendo la planeación.

Conocer porque es importante poder evaluar los riesgos en una auditoria de SI.

Saber elegir una adecuada metodología para poder proceder a realizar una auditoria de SI, la cual dependerá del tipo de organización.

Auditoria de Sistemas Computacionales ii

Uso de la evaluación de riesgos en la planeación de auditoría(Estándar 11

1. Conceptos

1.1 RiesgoEl riesgo es la posibilidad de que ocurra un hecho o evento que tendría un efecto adverso sobre la organización y su información sistemas.

1.2 Riesgo inherenteSusceptibilidad de un área de auditoría de error que podría ser material, de forma individual o en combinación con otros errores, asumiendo que no hubo controles internos relacionados.

1.3 Riesgo residualEl riesgo asociado a un evento cuando los controles existentes para reducir el efecto o la probabilidad de ese evento se toman en cuenta.

1.4 Evaluación de riesgos:Es una técnica usada para examinar unidades auditables dentro del universo de auditoría de SI y para seleccionar áreas a revisar que tengan la mayor exposición a riesgos, e incluirlas en el plan anual de SI.

La evaluación de riesgos de auditoría de SI es una metodología para producir un modelo de riesgo para optimizar la asignación de los recursos de auditoría de SI a través de una comprensión global del entorno de la organización en SI y los riesgos asociados a cada unidad auditable.

1.5 Medición de la evaluación de riesgoEs un proceso que se utiliza para identificar y evaluar los riesgos y su impacto potencial.

1.6 Plan de auditoriaUn plan que contiene la naturaleza, oportunidad y alcance de los procedimientos de auditoría a ser realizados por los miembros del equipo del trabajo con el fin de obtener suficiente evidencia apropiada de auditoría para formarse una opinión.

1.7 Unidades auditablesLos sujetos, unidades, o sistemas que son capaces de ser definida y evaluada. Unidades auditables pueden incluir: Las políticas, procedimientos, Sistemas de información (manual y automatizado), líneas

Auditoria de Sistemas Computacionales 1

de producto o servicio, Sistemas de transacción de las actividades, tales como ventas, Los estados financieros, Leyes y reglamentos, entre otros

1.8 Universo auditableEs un inventario de las áreas de auditoría que se compila y se mantiene para identificar áreas de auditoría durante el proceso de planificación de la auditoría.

Tradicionalmente, la lista incluye todas las transacciones financieras y la clave sistemas operativos, así como otras unidades que serían auditada como parte del ciclo global del trabajo planificado. El universo de auditoría sirve como la fuente de la cual se prepara el programa anual de auditoría. El universo será revisado periódicamente para reflejar los cambios en el perfil de riesgo global.

2 Estándar 11:

El auditor de SI debe utilizar una técnica o enfoque apropiado de evaluación de riesgos al desarrollar el plan general de auditoría de SI y al determinar prioridades para la asignación eficaz de los recursos de auditoría de SI.Al planear revisiones individuales, el auditor de SI debe identificar y evaluar los riesgos relevantes al área bajo revisión.

3 Relación con el COBIT

La selección del material más relevante en COBIT aplicable al alcance de la auditoría en particular se basa en la elección de los procesos de TI de COBIT específico y la consideración de los objetivos de control de COBIT y las prácticas de gestión asociadas.

Para cumplir con el requisito de la documentación de auditoría de los auditores,el proceso en COBIT tiene más probabilidades de ser relevante y selectivo.

Evaluar y gestionar los riesgos en los SI- satisface el requerimiento del negocio de TI para analizar y comunicar los riesgos de TI y su impacto potencial en los procesos de negocio y objetivos, centrándose en el desarrollo de un marco de gestión de riesgos que se integra en los negocios y marcos operativos de gestión de riesgos, evaluación de riesgos, mitigación de riesgos y la comunicación de residual riesgo.

Monitorear y Evaluar el Control Interno-satisface el requerimiento del negocio de TI para proteger a la consecución de los objetivos de TI y cumplimiento de TI


relacionados con las leyes, reglamentos y contratos, centrándose en el seguimiento de los procesos de control interno de TI relacionados con las actividades y la identificación de acciones de mejora.

4 Importancia de la evaluación de riegos.

El uso de la evaluación de riesgos en la selección de proyectos de auditoría permite al auditor de SI:

Cuantificar y justificar los recursos de auditoría de SI necesarios para completar el plan de auditoría de SI o una revisión en particular.

Priorizar las revisiones programadas basándose en la percepción de riesgos y contribuir a la documentación de marcos de administración de riesgos.

Gestionar la asignación efectiva de recursos limitados de auditoría de SI. Proporcionar una seguridad razonable de que la información relevante ha

sido obtenida de todos los niveles de gestión, incluido el consejo de directores y la administración de las áreas funcionales.

Establece una base para la gestión eficaz de la función de auditoría de SI. Ofrecer un resumen de cómo la revisión individual del asunto está

relacionado con la organización general, así como para los planes de negocios.

5 Enfoque de la auditoría de SI basado en el riesgo

Cada vez más organizaciones se están moviendo hacia un enfoque de auditoría basado en el riesgo que se puede adaptar para desarrollar y mejorar el proceso de auditoría continua. Este enfoque se utiliza para evaluar el riesgo y ayudar a un auditor de SI en la decisión de hacer cualquier cumplimiento ensayos o pruebas de confirmación. En un enfoque basado en el riesgo de auditoría, los auditores de SI no sólo deben confiar en riesgo. También están confiando en controles internos y de funcionamiento, así como el conocimiento de la organización. Este tipo de decisiones de evaluación de riesgos puede ayudar a relacionar el análisis de costo / beneficio del control de los riesgos conocidos, permitiendo opciones prácticas.

Mediante la comprensión de la naturaleza del negocio, los auditores pueden identificar y clasificar los tipos de riesgos a los que mejor van a determinar el modelo de riesgo o enfoque utilizado en la realización de la revisión. El modelo de evaluación de riesgos puede ser tan simple como la creación de pesos para los distintos tipos de riesgos asociados con el negocio y la identificación de los riesgos en una ecuación. Por otra parte, la evaluación del riesgo puede ser un esquema


en el que los riesgos se han dado pesos elaboradas sobre la base de la naturaleza del negocio o la importancia del riesgo.

El auditor de SI está interesado en riesgos no controlados y en los controles críticos. Así, en un enfoque de auditoría basado en el riesgo que el auditor de SI estará interesado en sistemas basados en tecnología que proporcionan controles para funciones de negocios donde hay un alto riesgo inherente y en la tecnología a base de funciones donde hay un mayor riesgo residual aceptable.

La determinación del universo de auditoría se basará en conocimiento del plan estratégico de TI de la organización y actividades de la organización, una revisión de los organigramas y funciones y declaraciones de responsabilidad de todos los afiliados de la organización, y las discusiones con los directivos responsables.

Los ciclos de planificación de la auditoría ordinariamente se alinean con los ciclos de planificación de negocios. A menudo, se selecciona un ciclo de planificación de auditoría anual - o bien un año calendario u otro período de doce meses. Algunas organizaciones tienen ciclos de planificación que no son de doce meses, sino períodos de seis o dieciocho meses. En lugar de tener un ciclo de planificación fijo, algunas organizaciones tienen ciclos de planificación continuos que mantienen durante un período determinado. Para mantener la coherencia, este procedimiento asume un ciclo de planificación de auditoría anual.La selección de proyectos de auditoría que deben incluirse en el plan de auditoría de SI es uno de los problemas más importantes que enfrenta la auditoría gestión de SI. El proceso de planificación de la auditoría presenta la oportunidad de cuantificar y justificar la cantidad de recursos de auditoría necesarios para completar el plan de auditoría de SI anual. Se fracasa al seleccionar resultados de proyectos adecuados en oportunidades no explotadas para mejorar el control y la eficiencia operacional.

El supuesto que subyace el plan de auditoría de SI es que, la evaluación de los posibles exámenes y proyectos de auditoría serán más eficaces si un proceso formal se sigue para recopilar la información necesaria para tomar decisiones de selección de exámenes y proyectos.

La metodología que se presenta es relativamente sencilla. Sin embargo, en una gran mayoría de los casos, debería ser suficiente para alcanzar una razonable, prudente y justificable auditoría de revisión de SI, y decisiones de selección de proyectos. Un marco de trabajo para utilizar en la realización de un análisis de la exposición al riesgo y el establecimiento de una auditoría de revisión de SI y programa del proyecto prioritario se detalla en este procedimiento.


5.1 Tipos de riesgos

El auditor de SI debe considerar cada uno de los siguientes tipos de riesgo, determinando su nivel de totalidad:

Riesgo inherente Riesgo de control Riesgo de detección

5.2 Riesgo inherente

El riesgo inherente es la susceptibilidad que un área posee a un error que podría ser material, en forma individual o en combinación con otros, suponiendo la inexistencia de controles internos relacionados. Por ejemplo, el riesgo inherente asociado a la seguridad del sistema operativo es normalmente alto, dado que los cambios en los datos o programas, o aun su divulgación, a través de las deficiencias en la seguridad del sistema operativo podrían tener como resultado una desventaja competitiva o información de gestión falsa. Por otro lado, el riesgo inherente asociado a la seguridad de una PC independiente es normalmente bajo, cuando un análisis adecuado demuestra que no se utiliza con propósitos críticos de negocio.

El riesgo inherente para la mayoría de las áreas de auditoría de SI es normalmente alto dado que, por lo general, el posible efecto de los errores se extiende a varios sistemas de negocios y a un gran número de usuarios.

Al evaluar el riesgo inherente, el Auditor de SI debe tener en cuenta tanto los controles generales de SI como los detallados. Ello no se aplica en los casos en que la tarea del Auditor de SI esté relacionada exclusivamente con controles generales.

En lo que respecta a los controles generales de SI, el Auditor Interno debe tener en cuenta lo siguiente, al nivel apropiado para el área de auditoría en cuestión:

La integridad, experiencia y conocimiento de la Gerencia de SI. Los cambios en la Gerencia de SI. La presión ejercida sobre la Gerencia de SI, que puede predisponerla a

ocultar o distorsionar información (por ej., pérdida de datos en grandes proyectos críticos de negocios, actividades de hackers, etc.).

La naturaleza del negocio y de los sistemas de la organización (por ej., la posibilidad de ejercer el comercio electrónico, la complejidad de los sistemas, la falta de sistemas integrados, etc.).


Los factores que afectan el rendimiento de la organización en general (por ej., cambios tecnológicos, disponibilidad del personal de SI, etc.).

El grado de influencia de terceros en el control de los sistemas auditados (por ej., debido a la integración de la cadena de suministro, la tercerización de los procesos de SI, las alianzas estratégicas de negocio y el acceso directo de los clientes).

Al nivel de los controles detallados de SI, el Auditor Interno debe tener en cuenta, en el nivel apropiado para el área de auditoría en cuestión:

Los hallazgos y fecha de auditorías anteriores en el área. La complejidad de los sistemas involucrados. El nivel de intervención manual requerida. La propensión a la pérdida o apropiación indebida de los bienes controlados

por el sistema (por ej., inventario, nómina, etc.). La probabilidad de que se produzcan picos de actividad en ciertos

momentos del período de auditoría. Las actividades que no estén comprendidas en la rutina de procesamiento

de SI (por ej., el uso de los utilitarios del sistema operativo para corregir datos, etc.).

La integridad, experiencia y habilidades de la gerencia y el personal que participan en la aplicación de los controles de SI.

5.3 Riesgo de Control

Es el riesgo por el que un error, que podría cometerse en un área de auditoría -y que podría ser material, individualmente o en combinación con otros-, no pueda ser evitado o detectado y corregido oportunamente por el sistema de control interno. Por ejemplo, el riesgo de control asociado a las revisiones manuales de registros computadorizados es normalmente alto debido a que las actividades que requieren investigación a menudo se pierden con facilidad por el volumen de información registrada. El riesgo de control asociado a los procedimientos computarizados de validación de datos es normalmente bajo, puesto que los procesos se aplican con regularidad.

El Auditor Interno debe evaluar el riesgo de control como un riesgo alto a menos que los controles internos pertinentes:

Se identifiquen Se consideren eficaces Se prueben y confirmen como adecuadamente operativos (pruebas de

cumplimiento)


5.4 Riesgo de Detección

Es el riesgo que se produce cuando los procedimientos sustantivos del Auditor Interno no detectan un error que podría ser material, individualmente o en combinación con otros. Por ejemplo, el riesgo de detección asociado a la identificación de violaciones de la seguridad en un sistema de aplicación es normalmente alto, debido a que en el transcurso de la auditoría, los registros de todo su período no se encuentran disponibles. El riesgo de detección asociado con la identificación de la falta de planes de recuperación ante desastres es normalmente bajo, dado que su existencia puede verificarse con facilidad.Al determinar el nivel de pruebas sustantivas requeridas, el Auditor Interno debe tener en cuenta:

La evaluación del riesgo inherente. La conclusión sobre riesgos de control a la que se llega luego de las

pruebas de cumplimiento. Cuanto más exhaustiva es la evaluación del riesgo inherente y de control, mayor es la evidencia de auditoría que debería obtener el Auditor Interno mediante la ejecución de los procedimientos sustantivos de auditoría.

6 Metodología de medición de evaluación de riesgos de auditoría de SI

6.1 Objetivo de un modelo de riesgo:

El objetivo de un modelo de riesgo es optimizar la asignación de los recursos de auditoría de SI a través de una comprensión global del universo de auditoría en SI y los riesgos asociados con cada elemento universo.

6.2 Métodos de evaluación de riesgos:

En la actualidad se emplean varios métodos para realizar las evaluaciones de riesgos en SI. Entre estos métodos tenemos:

Sistema de puntuación:

Sistema que es útil en la priorización de las auditorías basadas en una evaluación de los factores de riesgo que consideran variables tales como la complejidad técnica, el alcance del sistema y proceso de cambio y materialidadEstas variables pueden o no ser ponderados, estos valores de riesgo se comparan entre sí y ordinariamente el plan anual de auditoría de SI está preparado. A menudo, el plan de auditoría en SI es aprobado por el comité


de auditoría y el o director ejecutivo. Los comentarios están programados a continuación de acuerdo con el plan de auditoría de SI.

Método crítico:

Esto implica hacer una decisión independiente basada en directivas de gestión ejecutiva, perspectivas históricas y el clima de negocios.

6.3 Selección de la metodología de evaluación de riesgo.

Existen muchas metodologías de evaluación del riesgo disponibles, dentro de las cuales los auditores en SI deben escoger. Estas van desde las más simples hasta las más complicadas, estas se basan en el juicio del auditor, las hay para efectuar cálculos complejos y aparentemente científicos, para proveer una valoración. El auditor de SI deberá considerar el nivel de complejidad y detallar apropiadamente la metodología para la organización que está siendo auditada.

Los auditores en SI deben incluir, como mínimo, un análisis (con su metodología) de los riesgos en la entidad resultado de pérdida o disponibilidad de soporte de controles, integridad de los datos, o perdida de la confidencialidad de la información.

Todas las metodologías de evaluación del riesgo, confían en juicios subjetivos en algún punto del proceso (EJ, ponderación de parámetros). El auditor en SI deberá identificar las decisiones subjetivas requeridas, para usar una metodología en particular, y considerar si esos juicios pueden ser validados en un nivel de precisión adecuado.

6.4 Consideraciones a tomar para elegir metodologías

A la hora de decidir cuál es la metodología de evaluación del riesgo más apropiada, el auditor en SI debe considerar lo siguiente:

El tipo de información a ser recolectada (algunos sistemas usan los criterios financieros como una medida, eso no es apropiado para la auditoria de SI)

El costo del programa o de las licencias requeridas para usar tal o cual metodología.

En qué medida la información requerida estará disponible. En monto adicional de información requerida o que será recolectada antes

de que la información fiable pueda ser obtenida, y el costo de recolectar esta información (incluyendo el tiempo requerido que será invertido en el ejercicio de recolección)


La opinión de otros usuarios a cerca de la metodología, y sus revisiones de que tan bien les ha ayudado a promover la eficiencia y/o efectividad en sus auditorías.

La voluntad de la administración para aceptar la metodología, como medio de determinar el tipo de nivel de trabajo de auditoría llevada a cabo.

Una sola metodología de evaluación de riesgo no puede esperarse que sea apropiada en todas las situaciones, las condiciones que afectan las auditorias pueden cambiar todo el tiempo. Periódicamente el auditor de SI deberá reevaluar que tan apropiada sigue siendo la metodología de evaluación del riesgo adoptada.

6.5 Técnicas de medición de evaluación de riesgos de SI

Los auditores de SI deben usar las técnicas de evaluación de riesgos seleccionadas, en el desarrollo de todo el plan de la auditoria y su planeación especifica. La evaluación del riesgo, en combinación con otras técnicas de auditoría, deben ser consideradas en orden de efectuar decisiones de planeación tales como:

La naturaleza, extensión y tiempo en los que se efectuaran los procedimientos de auditoria

Las áreas del negocio que serán auditados La cantidad de tiempo y los recursos que serán utilizados en la auditoria

Al determinar qué áreas funcionales deben ser auditadas, el auditor podría enfrentarse a una gran variedad de temas de auditoría. Si es posible todas las áreas del SI de la organización deben ser incluidas en la evaluación del riesgo. Algunas organizaciones sólo valoran proyectos de SI. Otros valoran cada área y sistema auditable del SI. Cada uno de ellos puede representar diferentes tipos de riesgos de auditoría. El auditor de SI debe evaluar a los diferentes riesgos candidatos para determinar cuáles son las áreas de alto riesgo y por lo tanto, que deban ser auditados. El propósito de este proceso es:

Identificar áreas donde el riesgo residual es inaceptablemente alto. Identificar controles críticos del sistema que aborda los altos riesgos

inherentes. Evaluar la incertidumbre que existe en relación con los sistemas de control

críticos.


6.6 Determinación de Unidades Auditables

Para definir las unidades auditables y modelar los riesgos de SI inherentes a las operaciones de la unidad se hace uso de la información que describe todos los aspectos del funcionamiento de la organización.

Dichas información tiene diferentes tipos de fuentes entre estas están:

Las entrevistas realizadas a altos directivos con el fin de recopilar datos para el desarrollo del modelo de riesgo

Las devoluciones de cuestionarios estructurados enviado a la administración para facilitar la recopilación de datos sobre el riesgo modelo IS

Los últimos informes de revisión. El plan estratégico de TI El proceso presupuestario puede ser una fuente útil de información Las cuestiones planteadas por los auditores externos Conocimientos de auditoría y la conciencia de los problemas importantes

recopilada de otras fuentes Los métodos específicos utilizados para recoger los datos, si van a ser

suficientes teniendo en cuenta el tiempo y los recursos disponibles para la tarea.

El modelo está destinado a incluir y proporcionar un nivel de riesgo para cada unidad de SI auditable en la organización (el universo de auditoría SI). No hay reglas específicas para determinar o diferenciar una unidad auditable individual. Sin embargo, los siguientes son pautas para el uso de este modelo de riesgo de auditoría para cada unidad / tema / función:

Auditable en un plazo razonable Un sistema, es decir, tienen entradas reconocibles, procesos, productos,

resultados Separable, es decir, capaz de ser auditados con una mínima referencia a

otros sistemas (Esto puede ser difícil si un sistema de aplicación que se examina tiene muchos sistemas interconectados.)

6.7 Documentación

El Auditor de SI deberá documentar la técnica o metodología de evaluación de riesgos utilizada en una auditoría. Normalmente, la documentación deberá incluir:

Una descripción de la metodología de evaluación de riesgos utilizada.


La identificación de exposiciones significativas y los riesgos correspondientes.

Los riesgos y exposiciones que la auditoría se propone abordar. La evidencia de auditoría utilizada para respaldar la evaluación de riesgos

del Auditor Interno.

6.8 Ejemplos de metodologías de evaluación de riesgos

a. CLASIFICACION DE RIESGOS DE PROYECTOS DE TI

Este ejemplo proporciona una metodología para clasificar los proyectos de SI. Cada proyecto de SI en el universo de auditoría de SI serán calificados en las ocho claves variables usando una clasificación de evaluación numérica de riesgo desde 1 (bajo) a 5 (alto). Los resultados de estas clasificaciones se multiplican entonces por un factor de ponderación que oscila entre 1 (bajo) a 10 (alto) para dar un valor extendido. Estos valores extendidos se suman para obtener un total. Una vez los totales de cada proyecto se han obtenido, los proyectos se clasifican según el riesgo. El marco del proyecto de cobertura anual de auditoría de SI, se va creando a partir de estas clasificaciones. Las categorías utilizadas en el Ejemplo III se enumeran en los puntos 13.2 y 13.3.

Medidas del efecto. Proyecto de presupuesto -El presupuesto total de un proyecto de SI es

un factor importante a considerar. Como guía, algunas organizaciones clasifican proyectos de presupuesto por encima de US$500,000 como un nivel de riesgo de 4 o 5. Estas organizaciones clasifican presupuestos entre los US$100,000 a US$500,000 como una clasificación de riesgo de 2 o 3 y presupuestos de menos de US$100.000 como un nivel de riesgo de 1.

Volumen de transacciones –El volumen total de las transacciones que se estiman para ser procesado por el sistema en un determinado período.

Naturaleza de la actividad -La criticabilidad de la actividad y la parte de la organización que utiliza la actividad. Actividades o proyectos infrecuentes o inusuales tienen más probabilidades de dar lugar a error o ineficiencia y son de mayor interés de la auditoría.

Interés de la dirección ejecutiva -Este factor se refiere a la importancia de la unidad, función o área vista por la dirección ejecutiva.

Recurrir a arreglos -Este factor se refiere a las medidas que se han puesto en marcha para continuar con las operaciones si el nuevo sistema tiene problemas. Los factores a considerar incluyen:

- Los planes de continuidad.- Planes de recuperación de desastres - Procedimientos manuales - Antiguo sistema


En general, si las cuestiones anteriores se han abordado, son factibles o son costos- beneficios, entonces el riesgo es más bajo.

Medidas de Riesgo Cambios en los procedimientos -El grado de cambio de procedimiento

o reingeniería que acompaña a la implementación del sistema. Complejidad del sistema -Factores tales como el número de usuarios,

número de módulos del sistema, ordenador central versus ambiente cliente-servidor (centralizada frente a un entorno descentralizado), y el número de interfaces que se consideran.

Gestión de proyectos. Se debe considerar lo siguiente en la clasificación de la gestión del proyecto:

- Desarrolladores internos o externos. - Estructura del proyecto - Habilidades personales - Plazos del proyecto

Generalmente, el riesgo es compartido si el proyecto se subcontrata.

CategoríasNivel de riesgo1 ( bajo) a 5 ( Alto)

Importancia de ponderación 1 ( bajo) a 10 ( alto)

TOTAL

1. Presupuesto del proyecto

> $ 500,000 = 4 a 5

$ 100.000 a $ 500.000 = 2 a 3

< $ 100.000 = 1

3 5 15

2. Transacción volumen 3 2 6

3. Naturaleza de la actividad

Consejo central 4 a 5

Unidad de negocios 2 a 3

Sistema local 1

4 6 24

4. Interés de la dirección ejecutiva

Mayor interés = 4 a 5

Interés Moderada = 2 a 3

Menor interés = 1

2 6 12

5. Recurrir a arreglos

De continuidad del negocio / planes de

recuperación de desastres

Procedimientos manuales

Antiguo sistema

2 7 14


6. Cambios en los procedimientos (extensión

de la reingeniería)

Reingeniería Mayor = 4 a 5

Reingeniería Moderada = 2 a 3

Reingeniería menor = 1

2 8 16

7. Complejidad del sistema

Número de usuarios

Número de módulos

Centralizada o descentralizada (ordenador

central versus ambiente cliente-servidor)

Interfaces

5 7 35

8. Gestión de proyectos

Desarrolladores internos o externos

estructura

Habilidades

Plazo

3 7 21

TOTAL. 143

b. Evaluación del riesgo de las unidades auditables de SI - Sistemas de aplicación (producción)

Este ejemplo clasifica a las diversas categorías de unidades auditables en el universo de SI auditable después de que hayan sido identificados. Las categorías se enumeran basándose en la naturaleza del riesgo en que estas unidades estén expuestas. La información relevante, como por ejemplo, la exposición financiera, el efecto sobre en los negocios y el alcance son calificados. Las categorías son las siguientes:

i. Operaciones del Centro de datos ii. Los sistemas de aplicación (de producción)iii. Los sistemas de aplicación (desarrollo) iv. Contratación de SI (mano de obra y materiales) v. Adquisición de paquete de software vi. Otras funciones de SI

Dentro de cada categoría, los componentes principales de riesgo se enumeran. Dependiendo del tipo de riesgo de un valor se asigna a cada elemento de riesgo. Cada elemento de riesgo es entonces subdividido y se le atribuye una puntuación. Esta puntuación de un elemento de riesgo en particular es el producto de la puntuación y su valor. La puntuación total de riesgo de la función es la suma de las puntuaciones de todos sus elementos de riesgo. Para facilidad de


comparación, la puntuación de riesgo se mide en una escala de 100. Separar las hojas de evaluación de riesgos puede ser preparado para cada unidad auditable. Finalmente las puntuaciones obtenidas para cada unidad auditable son considerados y priorizados en la auditoría.

i. OPERACIONES DEL CENTRO DE DATOS.


Factor de ponderación Valor Calificación Puntuación Asignada

1. Número de personas en el centro de datos.Muy pequeño menos de 2Pequeño 3 - 7Moderado 7 - 15Grande 16 - 25Muy Grande más de 25

112345

5

2. Efecto sobre el grupo de negociosSin efectoPequeño Moderado AltoDejar fuera el grupo de negocios

512345

25

3. Número de aplicacionesÚnicoMenos de 55 - 1516 - 25Más de 25

512345

25

4. Número de usuariosDebajo de 2526 - 5051 - 100100 - 250Arriba de 250

212345

10

5. Resultados de auditorías anterioresNo hay hallazgos significativosPocos hallazgos no significativosMuchos hallazgos no significativosPocos hallazgos significativosMuchos hallazgos significativos

112345

5

6. Sofisticación de procesamientoLoteLote / tiempo realLote / tiempo real / en líneaCliente / servidorParalelo / distribuido

212345

10

7. Los cambios en el equipo / plataforma / personalNo hay cambiosCambios moderados / baja rotación Cambios significativos / baja rotaciónAlta rotaciónCambios de plataforma y alta rotación

112345

5

8. Número de plataformas12345 +

312345

15

Índice de Riesgo Total 100 100

ii. SISTEMAS DE APLICACIÓN (PRODUCCIÓN)

Factor de ponderación Asignación Calificación Puntuación Asignada

1. Efecto de fallo del sistema (criticabilidad)Sin efecto inmediatoInconvenientes a los usuariosLa pérdida de fondo de comercioPérdida de ingresosPérdida de negocios / ingresos / fondo de comercio

512345

25

2. Exposición financiera ningunoPequeño (<100.000)Moderado (100,000 -1 millón)Alto (1 millón -10 millones)Muy alto (> 10 millones)

512345

25

3. Ámbito de aplicación del sistemaParte de un departamentodepartamento completoMultidepartamentalToda la organizaciónOrganización y externo

212345

10

4. Edad de la aplicaciónMás de 10 años7-10 años4-6 años1-3 añosMenos de un año

112345

5

5. Resultados de auditorías anterioresAuditoría Reciente sin debilidadesAuditoría Reciente con menores debilidadesAuditoría con algunas debilidadesAuditoría con muchas debilidadesSin auditoria anterior

212345

10

6. Tamaño de la aplicación (número de programas)por debajo de 2525 - 5050 - 100100 - 250Por encima de 250

312345

15

7. Los cambios en el medio ambiente / personalNo hay cambiosCambios moderados / baja rotaciónCambios significativos / baja rotaciónAlta rotaciónCambios significativos y alta rotación

112345

5

8. Número de localidades implementadas12345 +

112345

5


Índice de Riesgo Total 100 100

iii. LOS SISTEMAS DE APLICACIÓN (DESARROLLO)

Factor de ponderación Asignación Calificación Puntuación Asignada

1 El tamaño, la organización y la experiencia del equipoEquipo pequeño, dedicado y con experiencia.Equipo de tamaño medio, centralizado y con experiencia.Promedio, con experiencia y prioridades mixtas. Promedio, en su mayoría centralizada con otras prioridades.Grande, descentralizado, sin experiencia e informes pocos claros

31234

5

15

2 Tamaño del sistemaPequeño número de programas para un departamentoNúmero moderado de programas para un departamentoGran número de programas para muchos departamentosNúmero moderado de programas para toda la organizaciónGran número de programas para toda la organización

312345

15

3 Duración del ciclo de desarrolloMenos de 3 meses3-6 meses6-12 meses1 – 1 1/2 años2 o más años

212345

10

4 Plataforma de desarrolloProbada y utilizada ampliamenteBastante nuevo pero aceptada en todo el mundoBastante nuevo pero no aceptada en todo el mundoProbado y propioNuevo, no probado en propiedad

312345

15

5 Antes de la participación de auditoríaEjercicios de creación de controlesRequisitos de fase de análisisSeguimiento del cronograma del proyectoSeguimiento de costo del proyectoninguno

212345

10

6 Metodología de desarrollo de SistemaMetodología estándar con procedimientos y estándares documentadosMetodología estándar sin procedimientos y estándares documentadosNo hay una metodología estándar, pero si equipo con experiencia

31

2

3

15


Metodología experimental no probadaNo hay metodología de desarrollo utilizada y no hay estándares de desarrollo y directrices documentados

45

7 Experiencia en gestión de proyectosMuy altoPor encima del promediopromedioPor debajo del promedioSin experiencia / multiproyecto

112345

5

8 Mano de obra externaPequeña cantidad, Proveedor únicoPequeña cantidad, Diferentes proveedoresCantidad significativa, Proveedores individualesCantidad significativa, Diferentes proveedores100%

112345

5

TOTAL 90 90

iv. CONTRATACIÓN (RECURSOS HUMANOS Y MATERIALES).

Factor de ponderación Asignación

Calificación

Puntuación Asignada

1 EfectoSin efecto inmediatoInconvenientes de los usuariosLa pérdida de fondo de comercioPérdida de ingresosPérdida de negocios / ingresos / fondo de comercio

512345

25

2 Exposición financiera (AED)NingunaPequeña (<100.000)Moderada (100,000-1 m)Alta (1m-10 m)Muy alta (> 10 m)

512345

25

3 Procedimientos y lineamientosProcedimientos documentados y AprobadosProcedimientos no documentadosProcedimientos, completos pero no se han aplicadoSin procedimientos establecidos, pero controladoNo existen procedimientos establecidos y controles

512345

25

4 Resultados de auditorías anterioresAuditorias recientes - No hay deficienciasAuditorias recientes – Deficiencias menoresAuditoría-Algunas deficienciasAuditoria – Muchas deficienciasNo hay auditoría anterior

212345

10

5 ComplejidadAbastecimiento local para un departamentoAbastecimiento local para toda la organizaciónAbastecimiento internacional para una tecnologíaAbastecimiento internacional para multitecnologíaAbastecimiento local e internacional para

312345

15


multitecnologíaPuntuación de riesgo Total 100 100

iv. ADQUISICIÓN DE PAQUETE DE SOFTWARE


Calificación

Puntuación Asignada

1 Ámbito de aplicación del sistemaParte de un departamentoDepartamento completoMultidepartmentoToda la organizaciónOrganización y externo

512345

25

2 Exposición financiera (AED) asociado con elsistemaNingunaPequeña (<100.000)Moderada (100,000-1 m)Alta (1m-10 m)Muy alta (> 10 m)

5

12345

25

3 Naturaleza del paqueteDe la utilidad del productoHecho a la medida por el proveedor, mantenido por el proveedorDesarrollado por el proveedor, mantenido internamenteDesarrollado conjuntamente, el proveedor mantieneDesarrollado conjuntamente, mantenido internamente

212345

10

4 Tipo de evaluaciónPor el Departamento usuario / SI / consultorPor SI / usuarioPor consultorPor SIPor el departamento usuario

112345

5

5 Costo y la complejidad del paqueteInsignificantePequeñoModeradoSignificativoMuy alto

212345

10

6 Metodología de evaluaciónProveedor / producto evaluadoÚnico producto evaluadoSólo proveedores evaluadosNo se ha evaluado ambos se adquieren de forma condicionalNo se ha evaluado incondicionalmente la compra

312345

15

7 SelecciónSeleccionado de entre muchos candidatosSeleccionado de entre unos pocos proveedores de renombreSeleccionado de entre pocos sistemas conocidos

11234

5


Seleccionado de un sistema familiarSeleccionado de un sistema desconocido

5

8 Efectos en el negocioSin efecto inmediatoInconvenientes a los usuariosPérdida de plusvalíaPérdida de ingresosPérdida de negocio / Plusvalía / ingresos

112345

5

Puntuación de riesgo Total 100 100

iv. OTRAS FUNCIONES DE SI


Calificación

Puntuación

1 Efecto del fallo de funcionamiento (criticidad)Sin efecto inmediatoInconvenientes a los usuariosPérdida de fondo de comercioPérdida de ingresosPérdida de negocios / ingresos / fondo de comercio

512345

25

2 Exposición financiera (AED) asociado con elsistemaNingunaPequeña (<100.000)Moderada (100,000-1 m)Alta (1m-10 m)Muy alta (> 10 m)

5

12345

25

3 Alcance de la funciónParte de un departamentoDepartamento completoMultidepartmentoToda la organizaciónOrganización y externo

212345

10

4 Edad de la función Más de 10 años7-10 años4-6 años1-3 añosMenos de un año

112345

5

5 Resultados de auditorías anteriores Auditorias recientes - No hay deficienciasAuditorias recientes – Deficiencias menoresNo hay auditoria anteriorAuditoría - Algunas deficienciasAuditoria – Muchas deficiencias

212345

10

6 Complejidad de las funcionesMuy bajabajamoderadaaltaMuy alta

312345

15

7 Cantidad de personalUnoMenos de 5

112

5


6-1011-25Por encima de 25

345

8 Número de ubicaciones12345 +

112345

5

Puntuación de riesgo Total 100 100


s11 uso de la evaluacion de riesgos en la planeacion de auditoria

Education