Cómo realizar una auditoría de riesgos
Por Escuela de Gestión de Riesgos el 4 de julio de 2024
En esta sesión Olga Torres, directora de Operaciones en Pirani, nos da una introducción y definición de una auditoría de riesgos, explica el proceso de auditorías, papeles de trabajo auditoría de riesgos y casos de uso.
¿Son lo mismo o son diferentes?
- Auditoría de riesgos
- Evaluación de riesgos
- Auditoría basada en riesgos
Definición
Una auditoría de riesgos es un proceso sistemático diseñado para evaluar y analizar los riesgos asociados con las operaciones de una organización.
El objetivo principal de una auditoría de riesgos es identificar, analizar y evaluar los riesgos potenciales que podrían afectar a la organización, sus activos, operaciones o proyectos.
Papeles de trabajo auditoría de riesgos
1. Plan de auditoría
Elemento | Descripción |
Alcance | Detalle de los procesos y áreas a auditar |
Objetivos | Objetivos específicos de la auditoría de riesgos |
Equipo | Miembros del equipo de auditoría y sus responsabilidades |
Cronograma | Fechas clave y duración de la auditoría |
2. Matriz de riesgos y controles
Riesgo | Probabilidad | Impacto | Control Existente | Efectividad del Control |
Acceso no autorizado a sistemas | Alta | Crítico | Autentificación multifactor | Moderada |
3.
Área de proceso | Riesgo | Pregunta | Evidencias recopiladas | Responsable |
TI | Acceso no autorizado | ¿Se utiliza autentificación multifactor para acceder a sistemas críticos? | Informes de autentificación, registros de acceso | Auditor de Seguridad |
TI | Ciberataques | ¿Se implementan actualizaciones de seguridad y parches regularmente? | Registros de actualizaciones, informes de vulnerabilidades | Equipo de TI |
Finanzas | Fraude financiero | ¿Se realizan conciliaciones bancarias mensuales? | Registros de conciliaciones, políticas financieras | Auditor Financiero |
Recursos humanos | Contratación de personal no calificado | ¿Se verifica la información de antecedentes de los nuevos empleados? | Registros de verificación, políticas de contratación | Auditor de Recursos Humanos |
4. Informe de Auditoría
Sección | Contenido |
Introducción | Resumen del alcance y objetivos de la audiencia |
Hallazgos | Descripción detallada de los hallazgos, incluyendo deficiencias en controles |
Conclusiones y Recomendaciones | Recomendaciones para mejorar la gestión de riesgos y controles |
¿Cómo y qué preguntar?
- ¿Que podría salir mal?
- ¿Como puede fallar el proceso/sistema?
- ¿Que debería pasar para que el área o proceso sea exitoso?
- ¿Cómo podría alguien o algo afectar la continuidad de proceso/actividad?
- ¿Como se realiza la documentación y seguimiento del cumplimiento de objetivos?
- ¿Qué vulnerabilidades tienen las personas, procesos, sistemas o activos?
- ¿Que activos debe ser protegidos?
- ¿Donde el área gasta más dinero?
- ¿Qué actividades son más complejas?
- ¿Qué actividades son reguladas?
Caso de uso
Riesgo / Control | Preguntas y Verificaciones | Observaciones sobre Riesgos | Evidencias Recopiladas | Descripción de Pruebas de Controles | Conclusiones y Recomendaciones |
Riesgo: Gestión de Contraseñas Débil |
- ¿Se tienen políticas y procedimientos claros para la gestión de contraseñas? ¿Se requiere el uso de contraseñas fuertes y se establecen períodos de cambio regularmente? | - Se identificó el riesgo de brechas de seguridad debido a contraseñas débiles o reutilizadas.La falta de políticas robustas aumenta el riesgo de acceso no autorizado a sistemas críticos. | Políticas de contraseñas, informes de cumplimiento de políticas, registros de incidentes de seguridad relacionados. | Pruebas de contraseñas débiles utilizando herramientas automatizadas.Revisión de registros de cambio de contraseñas para asegurar cumplimiento.Evaluación de configuración de contraseñas en sistemas críticos. | Se recomienda fortalecer las políticas de gestión de contraseñas mediante la implementación de requisitos más estrictos y capacitación del personal en prácticas seguras de gestión de contraseñas. Esto ayudará a mitigar el riesgo de acceso no autorizado y mejorar la seguridad de la información. |
Siguiente clases
Casos prácticos y de éxito de empresas usando Pirani →También te puede gustar
Episodios relacionados
Matriz de riesgo: Funcionamiento del mapa de calor

Matriz de riesgo: Funcionamiento del mapa de calor
17 de enero de 2023
Cómo ponderar riesgos no financieros

Cómo ponderar riesgos no financieros
15 de abril de 2024
Recomendación del GAFI para elaborar una matriz de riesgos

Recomendación del GAFI para elaborar una matriz de riesgos
25 de octubre de 2024
No hay comentarios
Díganos lo que piensa