En esta sesión Olga Torres, directora de Operaciones en Pirani, nos da una introducción y definición de una auditoría de riesgos, explica el proceso de auditorías, papeles de trabajo auditoría de riesgos y casos de uso.
Una auditoría de riesgos es un proceso sistemático diseñado para evaluar y analizar los riesgos asociados con las operaciones de una organización.
El objetivo principal de una auditoría de riesgos es identificar, analizar y evaluar los riesgos potenciales que podrían afectar a la organización, sus activos, operaciones o proyectos.
| Elemento | Descripción |
| Alcance | Detalle de los procesos y áreas a auditar |
| Objetivos | Objetivos específicos de la auditoría de riesgos |
| Equipo | Miembros del equipo de auditoría y sus responsabilidades |
| Cronograma | Fechas clave y duración de la auditoría |
| Riesgo | Probabilidad | Impacto | Control Existente | Efectividad del Control |
| Acceso no autorizado a sistemas | Alta | Crítico | Autentificación multifactor | Moderada |
| Área de proceso | Riesgo | Pregunta | Evidencias recopiladas | Responsable |
| TI | Acceso no autorizado | ¿Se utiliza autentificación multifactor para acceder a sistemas críticos? | Informes de autentificación, registros de acceso | Auditor de Seguridad |
| TI | Ciberataques | ¿Se implementan actualizaciones de seguridad y parches regularmente? | Registros de actualizaciones, informes de vulnerabilidades | Equipo de TI |
| Finanzas | Fraude financiero | ¿Se realizan conciliaciones bancarias mensuales? | Registros de conciliaciones, políticas financieras | Auditor Financiero |
| Recursos humanos | Contratación de personal no calificado | ¿Se verifica la información de antecedentes de los nuevos empleados? | Registros de verificación, políticas de contratación | Auditor de Recursos Humanos |
| Sección | Contenido |
| Introducción | Resumen del alcance y objetivos de la audiencia |
| Hallazgos | Descripción detallada de los hallazgos, incluyendo deficiencias en controles |
| Conclusiones y Recomendaciones | Recomendaciones para mejorar la gestión de riesgos y controles |
| Riesgo / Control | Preguntas y Verificaciones | Observaciones sobre Riesgos | Evidencias Recopiladas | Descripción de Pruebas de Controles | Conclusiones y Recomendaciones |
|
Riesgo: Gestión de Contraseñas Débil |
- ¿Se tienen políticas y procedimientos claros para la gestión de contraseñas? ¿Se requiere el uso de contraseñas fuertes y se establecen períodos de cambio regularmente? | - Se identificó el riesgo de brechas de seguridad debido a contraseñas débiles o reutilizadas.La falta de políticas robustas aumenta el riesgo de acceso no autorizado a sistemas críticos. | Políticas de contraseñas, informes de cumplimiento de políticas, registros de incidentes de seguridad relacionados. | Pruebas de contraseñas débiles utilizando herramientas automatizadas.Revisión de registros de cambio de contraseñas para asegurar cumplimiento.Evaluación de configuración de contraseñas en sistemas críticos. | Se recomienda fortalecer las políticas de gestión de contraseñas mediante la implementación de requisitos más estrictos y capacitación del personal en prácticas seguras de gestión de contraseñas. Esto ayudará a mitigar el riesgo de acceso no autorizado y mejorar la seguridad de la información. |