Escuela de Gestión de Riesgos

Cómo realizar una auditoría de riesgos

Por Escuela de Gestión de Riesgos el 4 de julio de 2024

En esta sesión Olga Torres, directora de Operaciones en Pirani, nos da una introducción y definición de una auditoría de riesgos, explica el proceso de auditorías, papeles de trabajo auditoría de riesgos y casos de uso.

Crear cuenta gratis

¿Son lo mismo o son diferentes?

  • Auditoría de riesgos
  • Evaluación de riesgos
  • Auditoría basada en riesgos

Definición

Una auditoría de riesgos es un proceso sistemático diseñado para evaluar y analizar los riesgos asociados con las operaciones de una organización. 

El objetivo principal de una auditoría de riesgos es identificar, analizar y evaluar los riesgos potenciales que podrían afectar a la organización, sus activos, operaciones o proyectos.

Papeles de trabajo auditoría de riesgos

1. Plan de auditoría

Elemento Descripción
Alcance Detalle de los procesos y áreas a auditar
Objetivos Objetivos específicos de la auditoría de riesgos
Equipo Miembros del equipo de auditoría y sus responsabilidades
Cronograma Fechas clave y duración de la auditoría

 

2. Matriz de riesgos y controles

Riesgo Probabilidad Impacto Control Existente Efectividad del Control
Acceso no autorizado a sistemas Alta Crítico Autentificación multifactor Moderada

 

3. 

Área de proceso Riesgo  Pregunta Evidencias recopiladas Responsable
TI Acceso no autorizado ¿Se utiliza autentificación multifactor para acceder a sistemas críticos? Informes de autentificación, registros de acceso Auditor de Seguridad
TI Ciberataques ¿Se implementan actualizaciones de seguridad y parches regularmente? Registros de actualizaciones, informes de vulnerabilidades Equipo de TI
Finanzas Fraude financiero ¿Se realizan conciliaciones bancarias mensuales? Registros de conciliaciones, políticas financieras Auditor Financiero
Recursos humanos Contratación de personal no calificado ¿Se verifica la información de antecedentes de los nuevos empleados? Registros de verificación, políticas de contratación Auditor de Recursos Humanos

 

4. Informe de Auditoría

Sección Contenido
Introducción Resumen del alcance y objetivos de la audiencia
Hallazgos Descripción detallada de los hallazgos, incluyendo deficiencias en controles
Conclusiones y Recomendaciones Recomendaciones para mejorar la gestión de riesgos y controles

 

¿Cómo y qué preguntar?

  • ¿Que podría salir mal?
  • ¿Como puede fallar el proceso/sistema?
  • ¿Que debería pasar para que el área o proceso sea exitoso?
  • ¿Cómo podría alguien o algo afectar la continuidad de proceso/actividad?
  • ¿Como se realiza la documentación y seguimiento del cumplimiento de objetivos?
  • ¿Qué vulnerabilidades tienen las personas, procesos, sistemas o activos?
  • ¿Que activos debe ser protegidos?
  • ¿Donde el área gasta más dinero?
  • ¿Qué actividades son más complejas?
  • ¿Qué actividades son reguladas?

Caso de uso

Riesgo / Control Preguntas y Verificaciones Observaciones sobre Riesgos Evidencias Recopiladas Descripción de Pruebas de Controles Conclusiones y Recomendaciones

Riesgo: Gestión de Contraseñas Débil

- ¿Se tienen políticas y procedimientos claros para la gestión de contraseñas? ¿Se requiere el uso de contraseñas fuertes y se establecen períodos de cambio regularmente? - Se identificó el riesgo de brechas de seguridad debido a contraseñas débiles o reutilizadas.La falta de políticas robustas aumenta el riesgo de acceso no autorizado a sistemas críticos. Políticas de contraseñas, informes de cumplimiento de políticas, registros de incidentes de seguridad relacionados. Pruebas de contraseñas débiles utilizando herramientas automatizadas.Revisión de registros de cambio de contraseñas para asegurar cumplimiento.Evaluación de configuración de contraseñas en sistemas críticos. Se recomienda fortalecer las políticas de gestión de contraseñas mediante la implementación de requisitos más estrictos y capacitación del personal en prácticas seguras de gestión de contraseñas. Esto ayudará a mitigar el riesgo de acceso no autorizado y mejorar la seguridad de la información.

 

EBOOK GRATUITO Auditor y Auditado: elementos para realizar y afrontar una auditoría

¡Inscríbete gratis a la Escuela de Gestión de Riesgos!

Inscríbete-a-la-escuela-de-gestion-de-riesgos

No hay comentarios

Díganos lo que piensa