Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
de la Facultad de Ingeniera
de la Universidad Americana
(Managua, Nicaragua) y el
oficial de riesgos y seguridad
de la informacin de
Accedo Technologies, una
empresa de externalizacin
de servicios BPO/ITO en
Nicaragua. En los ltimos
cinco aos, fue el auditor de
SI de una empresa privada
del sector financiero de
Nicaragua.
Caractersticas
FASE DE EVALUACIN
Control
Riesgos
Interno
Riesgos
Contexto
Participantes
Sensibilidad
Limitiaciones
Activos Tecnolgicos
Vulnerabilidad
Amenazas
Actividades
Probabilidad
Procesos
Activos
Riesgos
Controles
Controles
MATRIZ DE RIESGOS
FASE DE PLANEACIN
Objetivos
Alcance
Cronograma
FASE DE EJECUCIN
Diseo de Pruebas
Ejecucin Pruebas
S
U
P
E
R
V
I
S
I
N
C
O
N
T
I
N
U
A
INFORME
tiene que identificar cules son los planes que desarrollan los
responsables del proceso, servicio o producto para contribuir
con esta estrategia.
Contexto
El equipo de auditores tiene que investigar todas las
caractersticas del proceso, servicio o producto sujeto a
evaluacin, esto incluye pero no se limita a los siguientes
aspectos: una descripcin sobre el diseo y operacin del
proceso, servicio o producto, rea responsable, importancia
(crtico, sensible, vitaltomando de referencia el tiempo
de recuperacin [RTO por sus siglas en ingls] definido),
canales que se utilizan para ofrecer los servicios o productos
de una organizacin, por ejemplo, banca electrnica, cajeros
automticos, comercios afiliados, centros de atencin al
cliente, sucursales fsicas, segmento de mercado, volmenes
de venta, leyes, regulaciones, reglamentos, polticas y reas
que intervienen en el proceso, servicio o producto.
Es importante que el equipo de auditores conozca los
eventos de riesgos que han ocurrido y afectado el proceso,
servicio o producto sujeto a evaluacin. Una descripcin
breve del evento de riesgo se necesita documentar, al igual
que la cantidad de eventos ocurridos en los ltimos dos
aos, la causa que origin el evento y el impacto (financiero,
regulatorio, de reputacin, otros) del evento de riesgo.
Dependiendo del tipo de evento de riesgo, el auditor analiza
las acciones realizadas por la administracin y determina si
el riesgo fue mitigado o administrado. Los eventos de riesgo
materializados se pueden encontrar en bitcoras de incidentes,
registro de quejas y/o sugerencias, solicitudes de cambio a los
sistemas o por medio de entrevistas con los involucrados en el
proceso, servicio o producto para los casos en que los eventos
ocurridos no se encuentran documentados.
De las reas que intervienen en el proceso, servicio o
producto auditado, el equipo de auditores tiene que entender
su misin y visin, su organigrama detallado para identificar
los empleados claves y las estrategias que desarrollan. En
esta parte, el equipo de auditores realiza un cruce entre las
acciones estratgicas de las reas con las definidas por la
alta gerencia y evala el alineamiento entre las mismas, por
ejemplo, si una organizacin prioriza entre sus estrategias la
reduccin de costos operativos, el auditor analiza la existencia
de planes de accin en donde el proceso, producto o servicio
que se est auditando apoya la estrategia organizacional.
2
Elaborado Por:
Actividades
Descripcin Actividad 1
Descripcin Actividad 2
Descripcin Actividad 3
Puesto 1
Area 1
Puesto 2
Controles
Descripcin
Control 1
Descripcin
Riesgo 1
Activo
Tecnolgico 1
Descripcin
Control 2
Descripcin
Riesgo 2
Activo
Tecnolgico 1
Descripcin
Riesgo 3
Activo
Tecnolgico 2
Descripcin
Control 3
No
Observaciones
Los objetivos son comunicados a cierto
nivel; lo conocen solo el gerente y los jefes
de rea; coordinadores, supervisores y
operadores no lo conocen. A lo interno,
no hay un seguimiento peridico sobre el
cumplimiento de los objetivos, solo se hace
al momento de la evaluacin al desempeo.
Descripcin de la
debilidad
Ej:
Almacenamiento
Desprotegido
Sensibilidad
Agente
Evento
?Quin se
aprovecha de la
debilidad?
Descripcin de lo
que cause dao
Ej: Empleado y
Visitanes
Ej: Robo
Amenazas
Integridad
Disponibilidad
Severidad
Exposicin
Capacidad
Motivacin
Probabilidad
Vulnerabilidad
Confidencialidad
Nivel de Riesgo
Alto
Controles Identificados
Se revisa un reporte diario sobre
los cambios a los parmetros
crticos del afiliado, ej: Los
cambios en la tasa de inters se
ven reflejados en el reporte y se
hace un cruce con las solicitudes
de cambio de tasa.
Detalle de Riesgo
Criterio de Impacto
Seleccionar
Justificar
Alto
Fuente
Estrategias
Eventos de
Reisgo
Limitaciones
Proceso
Eval. Control
Interno
Activos
Tecnolgicos
Ref. Doc.
Tipo de
Riesgo
Hacer
referencia al
formulario
utilizado para
documentar la
fuente
Operacional
Tecnolgico
Regulatorio
Fraude
Reputacin
Otros
Riesgo
Descripcin
del Riesgo
identificado
Nivel
de
Riesgo
Alto
Medio
Bajo
Ref. Criterios
Hacer
referencia al
formulario
utilizado para
el cruce de
riesgos versus
criterios de
impacto/
aceptacin
Controles
Identificados
Descripcin
del control
identificado
Brecha en los
Controles
Criterio de
Evalucin
Descripcin
de la brecha
identificada en
los controles
Descripcin
de la decisin
tomada por
el equipo de
auditores,
si realizan o
no prueba al
control.
FASE DE EJECUCIN
En esta fase, basados en las reas de mayor riesgo
seleccionadas, objetivos y alcances definidos, los auditores
especializados disean y ejecutan las pruebas a los controles.
Se recomienda que exista de una forma sencilla un enlace
entre la pruebas, controles, riesgos, fuente de riesgo (proceso,
activo tecnolgico, restricciones, otros), por lo que, el diseo
de pruebas puede quedar en la misma matriz de riesgos y
tener as un mejor control sobre la documentacin del trabajo
de auditora.
Durante la ejecucin de pruebas, el presente modelo
recomienda al equipo de auditores documentar cada uno de
los resultados de las pruebas y comunicar los hallazgos en la
medida que stos se identifican. Los beneficios de comunicar
los hallazgos en la medida que se identifican son:
Mayor agilidad a la hora de presentar el informe final
Brindar tiempo para que la administracin atienda los
hallazgos del equipo de auditores durante el transcurso
de la auditora
Desarrollar planes de mitigacin ms reales
El Comit de Auditora y los Directores miembros de
la junta directiva y del Comit de Auditora valoran las
medidas de control adoptadas por la administracin para
mitigar el riesgo presentado en los hallazgos.
Comunicacin ms fluida entre el equipo de auditores y la
administracin
Una gestin de riesgos ms efectiva
Los entregables en esta fase de ejecucin son un detalle
de las pruebas a realizar y la documentacin pertinente para
sustentar la ejecucin de las mismas.
INFORME
El formato de informe de auditora lo establece cada unidad
de auditora interna, resume todo el esfuerzo del equipo de
auditores y es dirigido al nivel ms alto de la organizacin. El
modelo no pretende establecer un formato para el informe,
sin embargo, a continuacin se detallan algunos aspectos
claves que el autor considera se deben incluir en un informe
de auditora interna: fecha de informe, nombre de auditora,
perodo de revisin, a quien va dirigido, a quien se copia,
objetivos, alcance, limitaciones, exclusiones, conclusin, nivel
de exposicin de riesgo, estrategias afectadas, evaluacin
general u opinin del auditor y hallazgos.
SUPERVISIN CONTINA
El presente modelo recomienda establecer una supervisin
contina en cada una de las actividades de las fases
propuestas aunque pueda ser ejercida por fase y no por
actividad. La idea de establecer la supervisin del trabajo
con base en cada una de las actividades se fundamenta en
que a la medida que el trabajo avance en sus actividades,
un error de enfoque o entendimiento ocasionara reproceso,
investigaciones adicionales, ajustes de las dems actividades,
ocasionando un impacto significativo en el tiempo a invertir
en la auditora integrada.
CONCLUSIONES
Una auditora integrada exitosa depende de un modelo
prctico y fiable a seguir por el equipo de auditores. En
este artculo se describe un modelo prctico y fiable como
herramienta para las unidades de auditora interna al
momento de ejecutar auditorias integradas, enfocndose
en eliminar la duplicidad de esfuerzo, abarcar los riesgos y
controles claves, entre otros.
RECURSOS ADICIONALES
The Institute of Internal Auditors (IIA), Gua Prctica:
Auditora Integrada, 2012
Garsoux, Monique; Integrated Audit Approach: An
Overview, Qualified Audit Partners, 2005
International Organization for Standardization, ISO/IEC
27005 Information Security Risk Management, 2008
Helpert, Anita; John Lazarine; Making Integrated Audits
Reality, Internal Auditor, The Institute of Internal Auditors
(IIA), 2009
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving ITgovernance professionals, entitles one to receive an annual subscription
to the ISACA Journal.
Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance
Institute and their committees, and from opinions endorsed by authors employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors content.
2013 ISACA. All rights reserved.
Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in
writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St.,
Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25 per page. Send payment to the CCC stating the ISSN (1526-7407), date,
volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without
express permission of the association or the copyright owner is expressly prohibited.
www.isaca.org