Matriz De Riesgos
Páginas: 8 (1855 palabras)
Publicado: 4 de diciembre de 2012
Matriz de Riesgos
Como hemos visto en clase, para poder dirigir adecuadamente un estudio de auditoría es necesario poder definir las pruebas en función de los aspectos de mayor riesgo, en este caso para aquellos medios que presentan un mayor nivel de riesgo dentro de un proceso. Lo anterior debido a que los recursos de auditoría generalmente son limitados y es necesario poder utilizarlosapropiadamente, por tanto, se usa una herramienta como la matriz de riesgos para lograr identificar los riesgos asociados a un proceso y cuáles son los medios (habilitadores) que pueden tener un mayor impacto y probabilidad de materializar el riesgo. Para elaborar la matriz de riesgos se debe seguir los siguientes pasos: 1. Conocer el proceso y subprocesos que lo componen. 2. Por cada subproceso,identificar los riesgos potenciales. 3. Por cada riesgo identificado, determinar los medios que podrían ocasionar que el riesgo se materialice. 4. A cada uno de los medios se les estima la probabilidad y el impacto. 5. El resultado obtenido de la estimación de probabilidad e impacto, determina el nivel de riesgo para cada uno, en una escala de bajo, medio y alto. 6. El promedio simple de los valoresobtenidos como nivel de riesgo de cada medio, dará como resultado el nivel de riesgo para cada uno de los riesgos identificados. 7. Finalmente, el promedio simple de los valores de riesgo dará como resultado el nivel de riesgo de un proceso. El detalle de cada uno de estos pasos se incluye a continuación, procurando brindar una guía clara y sencilla para la elaboración de la matriz de riesgos.Conocer el proceso y subprocesos
Esta actividad es fundamental en cualquier trabajo de auditoría, y para esto se asignó la investigación de los diversos temas que están incluidos en el programa académico. Mediante la investigación el estudiante lleva a cabo un entendimiento del tema, visto como un proceso, de modo que se familiarice con este y con los subprocesos que lo componen. En el transcurso dela investigación, se tiene que lograr identificar el objetivo del proceso y de sus subprocesos, ya que esto es fundamental para poder determinar los riesgos que los pueden afectar.
Identificar riesgos por cada proceso
Una vez se tiene un entendimiento del proceso y de sus subprocesos, la identificación de riesgos se facilita, pues en nuestro caso, parte de la investigación ha requerido que serelacionen los objetivos de control detallados de Cobit que son aplicables a cada proceso y subproceso, lo cual significa que se tiene una base normativa que apoya la determinación de riesgos.
Así por ejemplo, si en un determinado subproceso, un objetivo de control detallado indica que debe existir cierto tipo de controles, por contraposición la no existencia de estos podría implicar unriesgo. Vamos a tomar como ilustración el objetivo de control detallado PO1.4 Plan estratégico de TI, en este se menciona: “Crear un plan estratégico…” de lo cual se puede obtener por contraposición que no tener un plan estratégico de TI representa un riesgo.
Determinar cuáles medios pueden materializar un riesgo
La identificación de riesgos por sí misma no es suficiente, pues se requiere determinarcuáles pueden ser los medios (habilitadores) por los cuales un riesgo podría llegar a materializarse (hacerse realidad). Por esto es necesario que para cada uno de los riesgos identificados se piense de qué manera o a través de qué acciones u omisiones podría el riesgo transformarse en un hecho. Continuando con el ejemplo del plan estratégico de TI, si el riesgo es no tener dicho plan, qué podríaocasionar esto; podría determinarse que la falta de apoyo de la alta administración, puede ser un medio o causa, que facilite que el riesgo se materialice. Otro medio podría ser que exista desconocimiento por parte de los niveles gerenciales de TI sobre la importancia o necesidad de elaborar dicho plan. Así un riesgo puede tener diversos medios, del mismo modo que un riesgo puede afectar...
Como hemos visto en clase, para poder dirigir adecuadamente un estudio de auditoría es necesario poder definir las pruebas en función de los aspectos de mayor riesgo, en este caso para aquellos medios que presentan un mayor nivel de riesgo dentro de un proceso. Lo anterior debido a que los recursos de auditoría generalmente son limitados y es necesario poder utilizarlosapropiadamente, por tanto, se usa una herramienta como la matriz de riesgos para lograr identificar los riesgos asociados a un proceso y cuáles son los medios (habilitadores) que pueden tener un mayor impacto y probabilidad de materializar el riesgo. Para elaborar la matriz de riesgos se debe seguir los siguientes pasos: 1. Conocer el proceso y subprocesos que lo componen. 2. Por cada subproceso,identificar los riesgos potenciales. 3. Por cada riesgo identificado, determinar los medios que podrían ocasionar que el riesgo se materialice. 4. A cada uno de los medios se les estima la probabilidad y el impacto. 5. El resultado obtenido de la estimación de probabilidad e impacto, determina el nivel de riesgo para cada uno, en una escala de bajo, medio y alto. 6. El promedio simple de los valoresobtenidos como nivel de riesgo de cada medio, dará como resultado el nivel de riesgo para cada uno de los riesgos identificados. 7. Finalmente, el promedio simple de los valores de riesgo dará como resultado el nivel de riesgo de un proceso. El detalle de cada uno de estos pasos se incluye a continuación, procurando brindar una guía clara y sencilla para la elaboración de la matriz de riesgos.Conocer el proceso y subprocesos
Esta actividad es fundamental en cualquier trabajo de auditoría, y para esto se asignó la investigación de los diversos temas que están incluidos en el programa académico. Mediante la investigación el estudiante lleva a cabo un entendimiento del tema, visto como un proceso, de modo que se familiarice con este y con los subprocesos que lo componen. En el transcurso dela investigación, se tiene que lograr identificar el objetivo del proceso y de sus subprocesos, ya que esto es fundamental para poder determinar los riesgos que los pueden afectar.
Identificar riesgos por cada proceso
Una vez se tiene un entendimiento del proceso y de sus subprocesos, la identificación de riesgos se facilita, pues en nuestro caso, parte de la investigación ha requerido que serelacionen los objetivos de control detallados de Cobit que son aplicables a cada proceso y subproceso, lo cual significa que se tiene una base normativa que apoya la determinación de riesgos.
Así por ejemplo, si en un determinado subproceso, un objetivo de control detallado indica que debe existir cierto tipo de controles, por contraposición la no existencia de estos podría implicar unriesgo. Vamos a tomar como ilustración el objetivo de control detallado PO1.4 Plan estratégico de TI, en este se menciona: “Crear un plan estratégico…” de lo cual se puede obtener por contraposición que no tener un plan estratégico de TI representa un riesgo.
Determinar cuáles medios pueden materializar un riesgo
La identificación de riesgos por sí misma no es suficiente, pues se requiere determinarcuáles pueden ser los medios (habilitadores) por los cuales un riesgo podría llegar a materializarse (hacerse realidad). Por esto es necesario que para cada uno de los riesgos identificados se piense de qué manera o a través de qué acciones u omisiones podría el riesgo transformarse en un hecho. Continuando con el ejemplo del plan estratégico de TI, si el riesgo es no tener dicho plan, qué podríaocasionar esto; podría determinarse que la falta de apoyo de la alta administración, puede ser un medio o causa, que facilite que el riesgo se materialice. Otro medio podría ser que exista desconocimiento por parte de los niveles gerenciales de TI sobre la importancia o necesidad de elaborar dicho plan. Así un riesgo puede tener diversos medios, del mismo modo que un riesgo puede afectar...
Leer documento completo
Regístrate para leer el documento completo.