riezg inherente
Páginas: 12 (2812 palabras)
Publicado: 22 de septiembre de 2014
Riesgo inherente y riesgo de control
Existen numerosas metodologías de evaluación de riesgos –informatizadas y no informatizadas– disponibles para el área de Auditoría Interna. Éstas varían desde las simples clasificaciones de riesgo alto, medio y bajo basadas en el juicio del Auditor, hasta los cálculos complejos y aparentemente científicos que suministran una clasificación numérica de riesgo.El Auditor Interno debe tener en cuenta el grado de complejidad y detalle apropiados para la organización auditada.
Todas las metodologías de evaluación de riesgos dependen de juicios subjetivos en algún momento del proceso (por ej., para asignar ponderaciones a los diversos parámetros). El área de Auditoría Interna debe identificar las decisiones subjetivas requeridas a fin de utilizar unametodología específica y considerar si estos juicios pueden emitirse y validarse con un grado de exactitud apropiado.
Al decidir cuál es la metodología de evaluación de riesgos más apropiada, el área de Auditoría Interna debe tener en cuenta:
• El tipo de información que debe recopilarse (algunos sistemas utilizan el efecto financiero como única medida – esto no siempre resulta adecuado para lasauditorías de TI).
• El costo del software u otras licencias requeridas para utilizar la metodología.
• El grado de disponibilidad de la información requerida.
• La cantidad de información adicional que debe recopilarse antes de poder obtener una salida confiable, y el costo de recopilar dicha información (incluyendo el tiempo que debe dedicarse a esa tarea).
• Las opiniones de otros usuariosde la metodología y sus puntos de vista sobre su eficacia en la tarea de mejorar la eficiencia y/o efectividad de sus auditorías.
• La buena disposición de la gerencia para aceptar la metodología como medio para determinar el tipo y nivel de trabajo de auditoría a realizar.
No puede esperarse que una metodología de evaluación de riesgos determinada resulte apropiada en todas las situaciones.Las condiciones que inciden en el desarrollo de las auditorías pueden modificarse con el tiempo. Periódicamente, el área de Auditoría Interna debe realizar una nueva evaluación de la idoneidad de las metodologías de evaluación de riesgos seleccionadas.
Uso de la Evaluación de Riesgos
El Auditor Interno debe utilizar las técnicas de evaluación de riesgos seleccionadas al desarrollar el planglobal de auditoría y al planificar las auditorías específicas. La evaluación de riesgos, en combinación con otras técnicas de auditoría, debe tenerse en cuenta al tomar decisiones de planificación relacionadas con:
• La naturaleza, el alcance y la oportunidad de los procedimientos de auditoría.
• Las áreas o funciones de negocio a auditar.
• El tiempo y los recursos a asignar a cada una de lasauditorías.
El Auditor de SI debe tener en cuenta los siguientes tipos de riesgo, a fin de determinar su nivel global:
• Riesgo inherente
• Riesgo de control
• Riesgo de detección
Riesgo inherente
El riesgo inherente es la tendencia de un área de Tecnología de Información a cometer un error que podría ser material, en forma individual o en combinación con otros, suponiendo lainexistencia de controles internos relacionados. Por ejemplo, el riesgo inherente asociado a la seguridad del sistema operativo es normalmente alto dado que los cambios en los datos o programas, o aun su divulgación, a través de las deficiencias en la seguridad del sistema operativo podrían tener como resultado una desventaja competitiva o información de gestión falsa. Por otro lado, el riesgo inherenteasociado a la seguridad de una PC independiente es normalmente bajo, cuando un análisis adecuado demuestra que no se utiliza con propósitos críticos de negocio.
El riesgo inherente para la mayoría de las áreas de auditoría de TI es normalmente alto dado que, por lo general, el posible efecto de los errores se extiende a varios sistemas de negocios y a un gran número de usuarios.
Al evaluar el...
Existen numerosas metodologías de evaluación de riesgos –informatizadas y no informatizadas– disponibles para el área de Auditoría Interna. Éstas varían desde las simples clasificaciones de riesgo alto, medio y bajo basadas en el juicio del Auditor, hasta los cálculos complejos y aparentemente científicos que suministran una clasificación numérica de riesgo.El Auditor Interno debe tener en cuenta el grado de complejidad y detalle apropiados para la organización auditada.
Todas las metodologías de evaluación de riesgos dependen de juicios subjetivos en algún momento del proceso (por ej., para asignar ponderaciones a los diversos parámetros). El área de Auditoría Interna debe identificar las decisiones subjetivas requeridas a fin de utilizar unametodología específica y considerar si estos juicios pueden emitirse y validarse con un grado de exactitud apropiado.
Al decidir cuál es la metodología de evaluación de riesgos más apropiada, el área de Auditoría Interna debe tener en cuenta:
• El tipo de información que debe recopilarse (algunos sistemas utilizan el efecto financiero como única medida – esto no siempre resulta adecuado para lasauditorías de TI).
• El costo del software u otras licencias requeridas para utilizar la metodología.
• El grado de disponibilidad de la información requerida.
• La cantidad de información adicional que debe recopilarse antes de poder obtener una salida confiable, y el costo de recopilar dicha información (incluyendo el tiempo que debe dedicarse a esa tarea).
• Las opiniones de otros usuariosde la metodología y sus puntos de vista sobre su eficacia en la tarea de mejorar la eficiencia y/o efectividad de sus auditorías.
• La buena disposición de la gerencia para aceptar la metodología como medio para determinar el tipo y nivel de trabajo de auditoría a realizar.
No puede esperarse que una metodología de evaluación de riesgos determinada resulte apropiada en todas las situaciones.Las condiciones que inciden en el desarrollo de las auditorías pueden modificarse con el tiempo. Periódicamente, el área de Auditoría Interna debe realizar una nueva evaluación de la idoneidad de las metodologías de evaluación de riesgos seleccionadas.
Uso de la Evaluación de Riesgos
El Auditor Interno debe utilizar las técnicas de evaluación de riesgos seleccionadas al desarrollar el planglobal de auditoría y al planificar las auditorías específicas. La evaluación de riesgos, en combinación con otras técnicas de auditoría, debe tenerse en cuenta al tomar decisiones de planificación relacionadas con:
• La naturaleza, el alcance y la oportunidad de los procedimientos de auditoría.
• Las áreas o funciones de negocio a auditar.
• El tiempo y los recursos a asignar a cada una de lasauditorías.
El Auditor de SI debe tener en cuenta los siguientes tipos de riesgo, a fin de determinar su nivel global:
• Riesgo inherente
• Riesgo de control
• Riesgo de detección
Riesgo inherente
El riesgo inherente es la tendencia de un área de Tecnología de Información a cometer un error que podría ser material, en forma individual o en combinación con otros, suponiendo lainexistencia de controles internos relacionados. Por ejemplo, el riesgo inherente asociado a la seguridad del sistema operativo es normalmente alto dado que los cambios en los datos o programas, o aun su divulgación, a través de las deficiencias en la seguridad del sistema operativo podrían tener como resultado una desventaja competitiva o información de gestión falsa. Por otro lado, el riesgo inherenteasociado a la seguridad de una PC independiente es normalmente bajo, cuando un análisis adecuado demuestra que no se utiliza con propósitos críticos de negocio.
El riesgo inherente para la mayoría de las áreas de auditoría de TI es normalmente alto dado que, por lo general, el posible efecto de los errores se extiende a varios sistemas de negocios y a un gran número de usuarios.
Al evaluar el...
Leer documento completo
Regístrate para leer el documento completo.