Cómo realizar una auditoría de riesgos
Por Escuela de Gestión de Riesgos el 4 de julio de 2024
En esta sesión Olga Torres, directora de Operaciones en Pirani, nos da una introducción y definición de una auditoría de riesgos, explica el proceso de auditorías, papeles de trabajo auditoría de riesgos y casos de uso.
¿Son lo mismo o son diferentes?
- Auditoría de riesgos
- Evaluación de riesgos
- Auditoría basada en riesgos
Definición
Una auditoría de riesgos es un proceso sistemático diseñado para evaluar y analizar los riesgos asociados con las operaciones de una organización.
El objetivo principal de una auditoría de riesgos es identificar, analizar y evaluar los riesgos potenciales que podrían afectar a la organización, sus activos, operaciones o proyectos.
Papeles de trabajo auditoría de riesgos
1. Plan de auditoría
Elemento | Descripción |
Alcance | Detalle de los procesos y áreas a auditar |
Objetivos | Objetivos específicos de la auditoría de riesgos |
Equipo | Miembros del equipo de auditoría y sus responsabilidades |
Cronograma | Fechas clave y duración de la auditoría |
2. Matriz de riesgos y controles
Riesgo | Probabilidad | Impacto | Control Existente | Efectividad del Control |
Acceso no autorizado a sistemas | Alta | Crítico | Autentificación multifactor | Moderada |
3.
Área de proceso | Riesgo | Pregunta | Evidencias recopiladas | Responsable |
TI | Acceso no autorizado | ¿Se utiliza autentificación multifactor para acceder a sistemas críticos? | Informes de autentificación, registros de acceso | Auditor de Seguridad |
TI | Ciberataques | ¿Se implementan actualizaciones de seguridad y parches regularmente? | Registros de actualizaciones, informes de vulnerabilidades | Equipo de TI |
Finanzas | Fraude financiero | ¿Se realizan conciliaciones bancarias mensuales? | Registros de conciliaciones, políticas financieras | Auditor Financiero |
Recursos humanos | Contratación de personal no calificado | ¿Se verifica la información de antecedentes de los nuevos empleados? | Registros de verificación, políticas de contratación | Auditor de Recursos Humanos |
4. Informe de Auditoría
Sección | Contenido |
Introducción | Resumen del alcance y objetivos de la audiencia |
Hallazgos | Descripción detallada de los hallazgos, incluyendo deficiencias en controles |
Conclusiones y Recomendaciones | Recomendaciones para mejorar la gestión de riesgos y controles |
¿Cómo y qué preguntar?
- ¿Que podría salir mal?
- ¿Como puede fallar el proceso/sistema?
- ¿Que debería pasar para que el área o proceso sea exitoso?
- ¿Cómo podría alguien o algo afectar la continuidad de proceso/actividad?
- ¿Como se realiza la documentación y seguimiento del cumplimiento de objetivos?
- ¿Qué vulnerabilidades tienen las personas, procesos, sistemas o activos?
- ¿Que activos debe ser protegidos?
- ¿Donde el área gasta más dinero?
- ¿Qué actividades son más complejas?
- ¿Qué actividades son reguladas?
Caso de uso
Riesgo / Control | Preguntas y Verificaciones | Observaciones sobre Riesgos | Evidencias Recopiladas | Descripción de Pruebas de Controles | Conclusiones y Recomendaciones |
Riesgo: Gestión de Contraseñas Débil |
- ¿Se tienen políticas y procedimientos claros para la gestión de contraseñas? ¿Se requiere el uso de contraseñas fuertes y se establecen períodos de cambio regularmente? | - Se identificó el riesgo de brechas de seguridad debido a contraseñas débiles o reutilizadas.La falta de políticas robustas aumenta el riesgo de acceso no autorizado a sistemas críticos. | Políticas de contraseñas, informes de cumplimiento de políticas, registros de incidentes de seguridad relacionados. | Pruebas de contraseñas débiles utilizando herramientas automatizadas.Revisión de registros de cambio de contraseñas para asegurar cumplimiento.Evaluación de configuración de contraseñas en sistemas críticos. | Se recomienda fortalecer las políticas de gestión de contraseñas mediante la implementación de requisitos más estrictos y capacitación del personal en prácticas seguras de gestión de contraseñas. Esto ayudará a mitigar el riesgo de acceso no autorizado y mejorar la seguridad de la información. |
Siguiente clases
Casos prácticos y de éxito de empresas usando Pirani →También te puede gustar
Episodios relacionados
Conoce cómo cuantificar los eventos
Conoce cómo cuantificar los eventos
4 de octubre de 2024
Cuantificación del riesgo de ciberseguridad
Cuantificación del riesgo de ciberseguridad
19 de marzo de 2024
Matriz de riesgos: ¿cómo se mide el riesgo inherente y residual?
Matriz de riesgos: ¿cómo se mide el riesgo inherente y residual?
6 de junio de 2023
No hay comentarios
Díganos lo que piensa