Auditoria Interna En TI

INTRODUCCION

La Gestión Integral de Riesgo en un Ambiente de IT (GIR) en las empresas está orientada a resaltar la importancia que tiene la gestión de riesgo en las organizaciones como herramienta fundamental para el manejo de la incertidumbre y la creación de valor.

La GIR es definida como un proceso efectuado por la Junta Directiva, la alta gerencia y el resto del personal, diseñado para identificar eventos potenciales que puedan afectar a la organización, gestionando los riesgos dentro de los niveles aceptados y proporcionando una seguridad razonable para el logro de sus objetivos. Cada año, la gerencia de riesgo adquiere mayor importancia ante la gran cantidad de eventos ocurridos y el impacto que han tenido en las finanzas de las organizaciones afectadas.

Ante estos eventos adversos se puede demostrar que una efectiva gerencia de riesgo facilita el logro de los objetivos del negocio, permite prepararse ante cambios adversos, reduce las pérdidas y asegura la permanencia de las organizaciones en el tiempo.

OBJETIVOS

General

– Conocer los eventos de riesgo en el ámbito IT que puedan afectar el logro de los objetivos de las empresas.

Específicos

– Identificar los niveles de riesgos en el ámbito IT al cual están expuestas las empresas.

– Medir la eficiencia operativa a través de los controles que se implementan entorno a los procesos ejecutados en IT.

– Dar a conocer el procedimiento a seguir para la aplicación de una Auditoria en IT.

METODOLOGÍA: ERM (ENTERPRISE RISK MANAGAMENT)

ERM es un conjunto de acciones (proceso) llevadas a cabo por el directorio, la gerencia y el resto del personal de una entidad, aplicado en la definición de la estrategia y que abarca a toda la empresa, destinado a identificar acontecimientos eventuales que puedan afectar a la entidad y a procurar que los riesgos estén dentro del nivel de riesgo aceptado para proveer una seguridad razonable con respecto al logro de los objetivos de la entidad.

La administración de riesgos empresarial es una respuesta al manejo inadecuado que emplea el enfoque basado es silos, es decir en el aislamiento de las exposiciones para administrar riesgos altamente interdependientes. A la disciplina de administración de riesgos empresarial también se le conoce como la administración estratégica de riesgos empresariales, por lo que se considera como un método más robusto de manejar los riesgos y las oportunidades, ya que es una mejor respuesta para esas exigencias de los negocios. La administración de riesgos empresarial fue diseñada para mejorar el desempeño de las empresas, este nuevo enfoque por el cual se manejan los riesgos de una manera coordinada e integrada a través de toda la organización. Este enfoque es un gran avance en el pensamiento empresarial, ya que pretende establecer una metodología para el crecimiento continuo, con un tratamiento maduro y la evolución del la profesión de la administración de riesgos, ya que se establece un manejo estructurado y disciplinado hacia los riesgos. Al tratar de entender las interdependencias entre los riesgos, como se materializa el riesgo en un área de la empresa y como puede incrementarse el impacto de los riesgos en otra área de la organización. Por consecuencia esto también considera como la acción de mitigar el riesgo puede dirigirse a abarcar múltiples sectores de los negocios.

La administración de riesgos empresarial tiene que satisfacer una serie de parámetros. Debe estar incluida en el sistema de control interno de un negocio, mientras que al mismo tiempo debe respetar, reflejar y responder a los otros controles internos. La administración de riesgos empresarial pretende proteger e incrementar el valor de la acción para satisfacer el objetivo fundamental de la empresa que es la maximización de la inversión del accionista. Debe ser multifacético, tratando todos los aspectos del plan de negocios de la planeación estratégica a través de los controles de la empresa:

• Plan estratégico.

• Plan mercadotecnia.

• Plan de operaciones.

• Investigación y desarrollo.

• Organización y dirección.

• Pronósticos y datos financieros.

• Financiamiento.

• Procesos de la administración de riesgos.

• Controles del negocio.

Las empresas que funcionan en el entorno actual están caracterizadas por el cambio constante y requieren de un enfoque integral para manejar su exposición al riesgo. Esto no siempre ha sido así, anteriormente los riesgos eran manejados en “silos”, es decir aisladamente. Los riesgos económicos, legales, comerciales y del personal eran tratados por separado y manejados a menudo por diversos individuos dentro de una compañía sin tener que hacer alguna referencia cruzada de los riesgos o sin comprender el impacto de las acciones administrativas adoptadas para un grupo y sus efectos en otros grupos. Los riesgos son muy naturales, dinámicos, fluidos y altamente interdependientes. Por lo tanto, ellos no se pueden evaluar o manejar independientemente

MARCO DE LA ADMINISTRACIÓN DE RIESGOS EMPRESARIAL

1. El gobierno corporativo se requiere para asegurarse de que la junta directiva y la gerencia hayan establecido los procesos organizacionales apropiados y los controles corporativos para medir y para manejar los riesgos a través de la empresa.

2. La creación y el mantenimiento de un sistema sólido de control interno se requiere para salvaguardar la inversión del accionista y los activos de la empresa.

3. Un recurso específico se debe identificar para implementar los controles internos con suficiente conocimiento y experiencia que genere el máximo beneficio del proceso.

4. Se requiere un claro proceso de administración de riesgos que establezca los procesos individuales, sus aportaciones, sus resultados, sus limitantes y sus responsables.

5. El valor de un proceso de administración de riesgos se reduce sin una clara comprensión

...