Una vez diseñados cada uno de estos instrumentos para recolectar la información
Enviado por ALEJOFIREY • 16 de Abril de 2020 • Ensayos • 476 Palabras (2 Páginas) • 139 Visitas
Buenos días para todos cordial saludo.
En esta fase de ejecución de la auditoria se deben diseñar los instrumentos de recolección de información (entrevistas, listas de chequeo, cuestionarios, pruebas) que serán usadas para evidenciar nuevas vulnerabilidades, amenazas y riesgos para cada proceso que haya sido seleccionado en el programa de auditoria presentado anteriormente, si aún no se han seleccionado los procesos inicialmente deben seleccionar del estándar CobIT los procesos y objetivos de control.
Una vez diseñados cada uno de estos instrumentos para recolectar la información, se deben aplicar a los usuarios clave que puedan tener la información que se necesita, y de las respuestas de la aplicación se podrá identificar nuevas vulnerabilidades, amenazas y riesgos en cada proceso evaluado.
Con los nuevos riesgos de la aplicación de los instrumentos y los riesgos inicialmente identificados para definir el objetivo de la auditoría, se elabora una lista de riesgos para la medición de la probabilidad de ocurrencia y el impacto que pueden causar esos riesgos de llegar a concretarse.
Para hacer la medición se debe hacer el análisis de la posibilidad de ocurrencia de esos riesgos en porcentaje medida en una escala cualitativa de ocurrencia, la escala de medición de la probabilidad se define con los valores cualitativos (alta, media, baja) y el impacto que puedan causar a la organización o a un servicio o a un sistema también debe ser medido en una escala cualitativa (leve, moderado, catastrófico), con cada riesgo se debe medir la probabilidad de ocurrencia y el impacto, para todos los riesgos identificados en cada proceso evaluado de manera individual.
Finalmente y de acuerdo con el cuadro de valoración de riesgos, se muestra de manera gráfica mediante la construcción de la matriz de riesgos y se definirá el tratamiento que tendrá cada uno de los riesgos de acuerdo al nivel de probabilidad de ocurrencia y el impacto que puedan causar.
Las actividades a desarrollar son las siguientes:
1. Diseñar y aplicar los instrumentos de recolección de información (entrevistas, listas de chequeo, cuestionarios, pruebas) para descubrir vulnerabilidades, amenazas y riesgos para cada proceso asignado.
2. Diseñar y aplicar un conjunto de pruebas que permitan confirmar las vulnerabilidades, amenazas y riesgos detectados con los instrumentos de recolección de información.
3. Elaborar un cuadro de las vulnerabilidades, amenazas y riesgos detectados para cada proceso evaluado.
4. Realizar el análisis y evaluación de riesgos para cada proceso asignado.
5. Elaborar la matriz de riesgos de cada proceso evaluado.
6. Elaborar el cuadro de tratamiento de riesgos para cada riesgo detectado.
Una vez terminados los aportes individuales, el grupo debe participar en la consolidación del trabajo final, colocando sus aportes individuales completos en el archivo consolidado que debe organizarse por procesos, cada proceso deberá tener: Los formatos de recolección de información diseñados y aplicados, los riesgos detectados, las pruebas realizadas, el cuadro de evaluación de los riesgos, la matriz de riesgos, y el cuadro de tratamiento de los riesgos.
...