USO DE LA EVALUACIÓN DE RIESGOS ~ CIP Auditores Ltda

USO DE LA EVALUACIÓN DE RIESGOS EN LA PLANIFICACIÓN DE AUDITORÍAS DE TI

Selección de una Metodología de Evaluación de Riesgos.

Existen numerosas metodologías de evaluación de riesgos –informatizadas y no informatizadas– disponibles para el área de Auditoría. Éstas varían desde las simples clasificaciones de riesgo alto, medio y bajo basadas en el juicio del Auditor, hasta los cálculos complejos y aparentemente científicos que suministran una clasificación numérica de riesgo. El Auditor debe tener en cuenta el grado de complejidad y detalle apropiados para la organización auditada.

Todas las metodologías de evaluación de riesgos dependen de juicios subjetivos en algún momento del proceso (por ej., para asignar ponderaciones a los diversos parámetros). El área de Auditoría debe identificar las decisiones subjetivas requeridas a fin de utilizar una metodología específica y considerar si estos juicios pueden emitirse y validarse con un grado de exactitud apropiado.

Al decidir cuál es la metodología de evaluación de riesgos más apropiada, el área de Auditoría debe tener en cuenta:

-El tipo de información que debe recopilarse (algunos sistemas utilizan el efecto financiero como única medida – esto no siempre resulta adecuado para las auditorías de TI).

-El costo del software u otras licencias requeridas para utilizar la metodología.

-El grado de disponibilidad de la información requerida.

-La cantidad de información adicional que debe recopilarse antes de poder obtener una salida confiable, y el costo de recopilar dicha información (incluyendo el tiempo que debe dedicarse a esa tarea).

-Las opiniones de otros usuarios de la metodología y sus puntos de vista sobre su eficacia en la tarea de mejorar la eficiencia y/o efectividad de sus auditorías.

-La buena disposición de la gerencia para aceptar la metodología como medio para determinar el tipo y nivel de trabajo de auditoría a realizar.

No puede esperarse que una metodología de evaluación de riesgos determinada resulte apropiada en todas las situaciones. Las condiciones que inciden en el desarrollo de las auditorías pueden modificarse con el tiempo. Periódicamente, el área de Auditoría debe realizar una nueva evaluación de la idoneidad de las metodologías de evaluación de riesgos seleccionadas.

Uso de la Evaluación de Riesgos

El Auditor debe utilizar las técnicas de evaluación de riesgos seleccionadas al desarrollar el plan global de auditoría y al planificar las auditorías específicas. La evaluación de riesgos, en combinación con otras técnicas de auditoría, debe tenerse en cuenta al tomar decisiones de planificación relacionadas con:

-La naturaleza, el alcance y la oportunidad de los procedimientos de auditoría.

-Las áreas o funciones de negocio a auditar.

-El tiempo y los recursos a asignar a cada una de las auditorías.

El Auditor de SI debe tener en cuenta los siguientes tipos de riesgo, a fin de determinar su nivel global:

-Riesgo inherente

-Riesgo de control

-Riesgo de detección

Riesgo inherente

El riesgo inherente es la tendencia de un área de Tecnología de Información a cometer un error que podría ser material, en forma individual o en combinación con otros, suponiendo la inexistencia de controles s relacionados. Por ejemplo, el riesgo inherente asociado a la seguridad del sistema operativo es normalmente alto dado que los cambios en los datos o programas, o aun su divulgación, a través de las deficiencias en la seguridad del sistema operativo podrían tener como resultado una desventaja competitiva o información de gestión falsa. Por otro lado, el riesgo inherente asociado a la seguridad de una PC independiente es normalmente bajo, cuando un análisis adecuado demuestra que no se utiliza con propósitos críticos de negocio.

El riesgo inherente para la mayoría de las áreas de auditoría de TI es normalmente alto dado que, por lo general, el posible efecto de los errores se extiende a varios sistemas de negocios y a un gran número de usuarios.

Al evaluar el riesgo inherente, el Auditor de TI debe tener en cuenta tanto los controles generales de TI como los detallados. Ello no se aplica en los casos en que la tarea del Auditor esté relacionada exclusivamente con controles generales.

En lo que respecta a los controles generales de TI, el Auditor debe tener en cuenta lo siguiente, al nivel apropiado para el área de auditoría en cuestión:

-La integridad, experiencia y conocimiento de la Gerencia de TI.

-Los cambios en la Gerencia de TI.

-La presión ejercida sobre la Gerencia de TI, que puede predisponerla a ocultar o distorsionar información (por ej., pérdida de datos en grandes proyectos críticos de negocios, actividades de hackers, etc.).

-La naturaleza del negocio y de los sistemas de la organización (por ej., la posibilidad de ejercer el comercio electrónico, la complejidad de los sistemas, la falta de sistemas integrados, etc.).

-Los factores que afectan el rendimiento de la organización en general (por ej., cambios tecnológicos, disponibilidad del personal de TI, etc.).

-El grado de influencia de terceros en el control de los sistemas auditados (por ej., debido a la integración de la cadena de suministro, la tercerización de los procesos de TI, las alianzas estratégicas de negocio y el acceso directo de los clientes).

Al nivel de los controles detallados de TI, el Auditor debe tener en cuenta, en el nivel apropiado para el área de auditoría en cuestión:

-Los hallazgos y fecha de auditorías anteriores en el área.

-La complejidad de los sistemas involucrados.

-El nivel de intervención manual requerida.

-La propensión a la pérdida o apropiación indebida de los bienes controlados por el sistema (por ej., inventario, nómina, etc.).

-La probabilidad de que se produzcan picos de actividad en ciertos momentos del período de auditoría.

-Las actividades que no estén comprendidas en la rutina de procesamiento de SI (por ej., el uso de los utilitarios del sistema operativo para corregir datos, etc.).

-La integridad, experiencia y habilidades de la gerencia y el personal que participan en la aplicación de los controles de TI.

Riesgo de Control

Es el riesgo por el que un error, que podría cometerse en un área de auditoría y que podría ser material, individualmente o en combinación con otros-, no pueda ser evitado o detectado y corregido oportunamente por el sistema de control . Por ejemplo, el riesgo de control asociado a las revisiones manuales de registros computadorizados es normalmente alto debido a que las actividades que requieren investigación a menudo se pierden con facilidad por el volumen de información registrada. El riesgo de control asociado a los procedimientos computarizados de validación de datos es normalmente bajo puesto que los procesos se aplican con regularidad.

El Auditor debe evaluar el riesgo de control como un riesgo alto a menos que los controles s pertinentes:

-Se identifiquen

-Se consideren eficaces

-Se prueben y confirmen como adecuadamente operativos (pruebas de cumplimiento)

Riesgo de Detección

Es el riesgo que se produce cuando los procedimientos sustantivos del Auditor no detectan un error que podría ser material, individualmente o en combinación con otros. Por ejemplo, el riesgo de detección asociado a la identificación de violaciones de la seguridad en un sistema de aplicación es normalmente alto, debido a que en el transcurso de la auditoría, los registros de todo su período no se encuentran disponibles. El riesgo de detección asociado con la identificación de la falta de planes de recuperación ante desastres es normalmente bajo, dado que su existencia puede verificarse con facilidad.

Al determinar el nivel de pruebas sustantivas requeridas, el Auditor debe tener en cuenta:

-La evaluación del riesgo inherente.

-La conclusión sobre riesgos de control a la que se llega luego de las pruebas de cumplimiento.

Cuanto más exhaustiva es la evaluación del riesgo inherente y de control, mayor es la evidencia de auditoría que debería obtener el Auditor mediante la ejecución de los procedimientos sustantivos de auditoría.

Documentación

El área de Auditoría deberá documentar la técnica o metodología de evaluación de riesgos utilizada en una auditoría. Normalmente, la documentación deberá incluir:

-Una descripción de la metodología de evaluación de riesgos utilizada.

-La identificación de exposiciones significativas y los riesgos correspondientes.

-Los riesgos y exposiciones que la auditoría se propone abordar.

-La evidencia de auditoría utilizada para respaldar la evaluación de riesgos del Auditor.

En resumen, el nivel de trabajo de auditoría requerido para lograr un objetivo de auditoría específico resulta de una decisión subjetiva del Auditor . Uno de los aspectos de esta decisión es el riesgo de llegar a una conclusión incorrecta basada en los hallazgos de auditoría (riesgo de auditoría). El otro es el riesgo de cometer errores en el área auditada (riesgo de error). El Auditor debe tener en cuenta las normas profesionales al determinar cómo implementar la evaluación de riesgos mencionada, así como también, utilizar el juicio profesional en su aplicación y estar preparado para justificar cualquier desviación respecto de ellas.

Por:
Juan de Dios Bel

LICENCIADO EN ADMINISTRACIÓN, CISA, CISM, CFE.

Posted in: EVALUACIÓN DE RIESGOS,Metodología de Evaluación de Riesgos

	Superfinanciera		Superservicios
	MinHacienda		MinCIT
	Presidencia de la República		Gobierno en línea
	Contraloría General de la Nación		Junta Central de Contadores
	Contaduría General de la Nación		Superintentencia de Sociedades

Share this

USO DE LA EVALUACIÓN DE RIESGOS

0 comentarios:

Publicar un comentario

LA ESTRATEGIA QUE NECESITA

Certificación Internacional

TRANSLATE

CONTACTO

VISITAS A ESTA PÁGINA WEB

INDICADORES ECONÓMICOS

INDICADORES CONTABLES

"Me Gusta" en Facebook

DE COLOMBIA PARA EL MUNDO

Twitter

Archivo de PUBLICACIONES

PUBLICACIONES MÁS POPULARES

ArchivO DEL Blog

Datos personales

PÁGINAS DE INTERÉS