Este documento fue preparado para GBA 577 Auditoría Avanzada ES, impartido por el
profesor Manson.
....................................... 3
................................. 4
Metodología................................................. ..................................................
................................ 6
.................................................. ........ 8
............................... 22
................................ 25
................................. 26
Resumen
auditoría basado en el riesgo es un tema muy amplio, uno que se puede aplicar a muchas
control, formas de identificar el riesgo de negocio, así como las prácticas eficientes y
interna de TI, o aquellos que buscan nuevas formas de evaluar los riesgos de seguridad.
mundo de los negocios de hoy en día está en constante cambio, que es impredecible y
volátil, y parece ser más compleja cada día. Por su propia naturaleza, es lleno de
cumplido, sin embargo, como lo demuestra la crisis del mercado financiero, donde la
cualquier negocio.
riesgos ofrece a las organizaciones una visión clara de las variables a las que pueden
estar expuestos, ya sea mirando hacia adelante, interno o externo, o retrospectiva. Una
organización y la tolerancia, y proporciona una base para determinar las respuestas a los
explotar los riesgos necesarios para los negocios, todo ello manteniendo los controles
medida que las auditorías de TI son un componente crítico del funcionamiento de una
auditoría del sistema de información. También hay casos en los que una auditoría
de una organización. Sin embargo, los riesgos de TI deben tenerse en cuenta, ya que
que también pone de relieve el papel único que juega en la identificación de eventos o
riesgo, los auditores pueden ayudar a las empresas llevan a cabo una evaluación de
riesgos en toda la empresa. (Lo que todo auditor de TI debe saber sobre el riesgo en
evaluación, Tommie W. Singleton, 2009) Esto también ayudará a identificar los riesgos
organización. Ellos permiten al personal para cumplir con los requisitos reglamentarios,
validar que los controles existentes protegen las funciones de negocio, y determinar
una auditoría basado en el riesgo requiere tener una comprensión de las funciones y
objetivos de negocio de la organización - que cavar muy hondo dentro de los sistemas y
redes.
información no sólo se basan en el riesgo, sino que también se basan en los controles
Por lo tanto, una auditoría basada en el riesgo proporciona una evaluación más
(por ejemplo, los posibles riesgos y oportunidades) que podrían afectar a la consecución
personas, procesos e infraestructura). Cuando estos eventos se cruzan con los objetivos
de una organización, o se pueden predecir para hacerlo, se convierten en riesgos. Por lo
tanto, el riesgo se define como “la posibilidad de que ocurra un evento y afectar el logro
Integrado, www.coso.org)
una empresa está dispuesta a aceptar. La organización debe establecer un umbral para
identificar cuándo y dónde implementar controles para mitigar el riesgo. Este proceso es
esencial para determinar qué controles son buenos para tener frente a las necesarias para
proteger las funciones de negocio. Varias metodologías de gestión de riesgos, como los
risk_assessment_guide.pdf
Gestión de Riesgos de TI
esta capacidad, los riesgos de TI se refiere a la capacidad de ofrecer los servicios de TI que
permiten a la empresa para llevar a cabo los procesos operativos del día a día. Sin embargo,
dirección de las necesidades del negocio de una manera rentable. Por último, los riesgos de TI
automatización. Por lo tanto, la evaluación del riesgo puede llevarse a cabo en varios niveles de
organización.
de proyectos.
aplicación general y aceptado las buenas prácticas. COBIT es un marco para la gestión