Auditoria Informática Unidad III Etapa II Ejecución del Trabajo Podemos considerar las siguientes técnicas para identificar riesgos: Análisis del flujo del proceso. En cada proceso, debemos identificar los subprocesos y actividades, respecto de las cuales debemos preguntar ¿Qué puede fallar?, ¿Cómo puede suceder? y ¿Cuál es la consecuencia desde el punto de vista de riesgo? Considerar los resultados de la investigación preliminar Tomar en cuenta eventos ocurridos en la empresa y/o en la industria Análisis de factores externos (económicos, competencia, políticos, sociales, tecnológicos) e internos (personal, sistemas). Entrevistas y consultas al personal clave respecto de riesgos asociados a factores internos y externos.

Auditoria Informática Unidad III Etapa II Ejecución del Trabajo Evaluar los Riesgos Identificados El objetivo de esta actividad es determinar la magnitud del riesgo de lograr los objetivos definidos por la organización para la materia bajo análisis, en función de su impacto o consecuencias y de su probabilidad de ocurrencia. La combinación impacto/probabilidad para cada uno de los riesgos identificados, Permite determinar cuán riesgoso es que la materia a auditar sea susceptible a errores o fallas, que pudieran ser importantes en forma individual o en conjunto con otros riesgos, asumiendo que no hay acciones y/o controles de la dirección para mitigar su probabilidad o impacto o que éstas acciones y/o controles no son lo suficientemente eficaces para mitigarlos.

Auditoria Informática Unidad III               Matriz de Riesgos Riesgo N° IDENTIFICACIÒN DE RIESGOS INHERENTES Evaluación Riesgo Inherente) Evaluación actividades de control y/o monitoreo Observaciones y/o hallazgos    Impacto Probabilidad Evaluación Controles Impacto prob RiesgoF.

Auditoria Informática Unidad III Evaluar los Riesgos Identificados Calificar el Impacto de Cada Riesgo Se entenderá por impacto, el efecto o consecuencia de la materialización asociado a cada riesgo identificado. Se debe determinar el impacto por cada uno de los riesgos identificados para la materia bajo análisis, considerando la clasificación de impacto siguiente: Nivel Materialidad Catastrófica Superior a MM$500 Grave entre MM$100 y MM$500 Moderado entre MM$10 y MM$100 Débil entre MM$5 y MM$10 Insignificante menos MM$5

Auditoria Informática Unidad III Evaluar los Riesgos Identificados Calificar la probabilidad de Cada Riesgo Inherente La probabilidad representa la posibilidad que el riesgo ocurra, es decir la probabilidad de que el riesgo identificado se materialice. Se debe estimar la probabilidad de ocurrencia por cada uno de los riesgos identificados en %. Nivel Descripción Cualitativa Casi certeza Se espera que ocurra en la mayoría de las circunstancias Probable Probablemente ocurrirá en buena parte de los casos Posible Podría ocurrir más que a nivel de excepciones Improbable Puede ocurrir con cierto nivel de excepción Casi Imposible Puede ocurrir sólo en circunstancias muy excepcionales

Auditoria Informática Unidad III               Matriz de Evaluación de Riesgos Impacto / Probabilidad de Ocurrencia Insignificante Debil Moderado Grave Catastrofico Casi certeza medio medio alto alto Probable medio bajo Posible bajo Improbable Casi imposible

Auditoría Informática Ejercicio Para los siguientes procesos de negocios de un banco: Vender Pacto por sumas superiores a MM$10 Identificar; Partícipes en el proceso (Cliente, Ejecutivo Inversiones, Mesa de Dinero, Cajero, Operaciones, Sistemas Diagramar las actividades Identificar Riesgos Inherentes en Matriz y evaluar sus riesgos

Auditoría Informática Ejercicio Grupal En Grupos de 3 personas: Para los siguientes procesos de negocios de un banco: Vender Cuenta Corriente Personas Identificar; Partícipes en el proceso Diagramar las actividades Identificar Riesgos Inherentes en Matriz y evaluar sus riesgos