Cómo realizar una auditoría de riesgos

Por Escuela de Gestión de Riesgos el 4 de julio de 2024

En esta sesión Olga Torres, directora de Operaciones en Pirani, nos da una introducción y definición de una auditoría de riesgos, explica el proceso de auditorías, papeles de trabajo auditoría de riesgos y casos de uso.

¿Son lo mismo o son diferentes?

Auditoría de riesgos
Evaluación de riesgos
Auditoría basada en riesgos

Definición

Una auditoría de riesgos es un proceso sistemático diseñado para evaluar y analizar los riesgos asociados con las operaciones de una organización.

El objetivo principal de una auditoría de riesgos es identificar, analizar y evaluar los riesgos potenciales que podrían afectar a la organización, sus activos, operaciones o proyectos.

Papeles de trabajo auditoría de riesgos

1. Plan de auditoría

Elemento	Descripción
Alcance	Detalle de los procesos y áreas a auditar
Objetivos	Objetivos específicos de la auditoría de riesgos
Equipo	Miembros del equipo de auditoría y sus responsabilidades
Cronograma	Fechas clave y duración de la auditoría

2. Matriz de riesgos y controles

Riesgo	Probabilidad	Impacto	Control Existente	Efectividad del Control
Acceso no autorizado a sistemas	Alta	Crítico	Autentificación multifactor	Moderada

3.

Área de proceso	Riesgo	Pregunta	Evidencias recopiladas	Responsable
TI	Acceso no autorizado	¿Se utiliza autentificación multifactor para acceder a sistemas críticos?	Informes de autentificación, registros de acceso	Auditor de Seguridad
TI	Ciberataques	¿Se implementan actualizaciones de seguridad y parches regularmente?	Registros de actualizaciones, informes de vulnerabilidades	Equipo de TI
Finanzas	Fraude financiero	¿Se realizan conciliaciones bancarias mensuales?	Registros de conciliaciones, políticas financieras	Auditor Financiero
Recursos humanos	Contratación de personal no calificado	¿Se verifica la información de antecedentes de los nuevos empleados?	Registros de verificación, políticas de contratación	Auditor de Recursos Humanos

4. Informe de Auditoría

Sección	Contenido
Introducción	Resumen del alcance y objetivos de la audiencia
Hallazgos	Descripción detallada de los hallazgos, incluyendo deficiencias en controles
Conclusiones y Recomendaciones	Recomendaciones para mejorar la gestión de riesgos y controles

¿Cómo y qué preguntar?

¿Que podría salir mal?
¿Como puede fallar el proceso/sistema?
¿Que debería pasar para que el área o proceso sea exitoso?
¿Cómo podría alguien o algo afectar la continuidad de proceso/actividad?
¿Como se realiza la documentación y seguimiento del cumplimiento de objetivos?
¿Qué vulnerabilidades tienen las personas, procesos, sistemas o activos?
¿Que activos debe ser protegidos?
¿Donde el área gasta más dinero?
¿Qué actividades son más complejas?
¿Qué actividades son reguladas?

Caso de uso

Riesgo / Control	Preguntas y Verificaciones	Observaciones sobre Riesgos	Evidencias Recopiladas	Descripción de Pruebas de Controles	Conclusiones y Recomendaciones
Riesgo: Gestión de Contraseñas Débil	- ¿Se tienen políticas y procedimientos claros para la gestión de contraseñas? ¿Se requiere el uso de contraseñas fuertes y se establecen períodos de cambio regularmente?	- Se identificó el riesgo de brechas de seguridad debido a contraseñas débiles o reutilizadas.La falta de políticas robustas aumenta el riesgo de acceso no autorizado a sistemas críticos.	Políticas de contraseñas, informes de cumplimiento de políticas, registros de incidentes de seguridad relacionados.	Pruebas de contraseñas débiles utilizando herramientas automatizadas.Revisión de registros de cambio de contraseñas para asegurar cumplimiento.Evaluación de configuración de contraseñas en sistemas críticos.	Se recomienda fortalecer las políticas de gestión de contraseñas mediante la implementación de requisitos más estrictos y capacitación del personal en prácticas seguras de gestión de contraseñas. Esto ayudará a mitigar el riesgo de acceso no autorizado y mejorar la seguridad de la información.