Embed Size (px)
Citation preview
Auditoria informaacutetica
Auditoriacutea Concepto
bull Inspeccioacuten o verificacioacuten de la contabilidad de una empresa o una entidad realizada por un auditor con el fin de comprobar si sus cuentas reflejan el patrimonio la situacioacuten financiera y los resultados obtenidos por dicha empresa o entidad en un determinado ejercicio
Informaacutetica Concepto
bull Es una ciencia que estudia meacutetodos teacutecnicas procesos con el fin de almacenar procesar y transmitir informacioacuten y datos en formato digital Se define como la rama de la tecnologiacutea que estudia el tratamiento automaacutetico de la informacioacuten
Auditoria interna
bull La auditoriacutea interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organizacioacuten
Auditoria externa
bull Aplicando el concepto general se puede decir que la auditoria Externa es el examen criacutetico sistemaacutetico y detallado de un sistema de informacioacuten de una unidad econoacutemica realizado por un Contador Puacuteblico sin viacutenculos laborales con la misma utilizando teacutecnicas determinadas y con el objeto de emitir una opinioacuten independiente sobre la forma como opera el sistema el control interno del mismo y formular sugerencias para su mejoramiento
Auditoria administrativa
bull Modalidad de auditoriacutea con la que se pretende verificar la consecucioacuten de los resultados esperados de la gestioacuten realizada por los diferentes servicios de una empresa asiacute como el grado de cumplimiento de los objetivos marcados
Auditoria informaacutetica
bull La auditoriacutea informaacutetica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto y que consiste en recoger agrupar y evaluar evidencias para determinar si un sistema de informacioacuten salvaguarda el activo empresarial mantiene la integridad de los datos lleva a cabo eficazmente los fines de la organizacioacuten utiliza eficientemente los recursos y cumple con las leyes y regulaciones establecidas
iquestQue detecta
bull Permiten detectar de forma sistemaacutetica el uso de los recursos y los flujos de informacioacuten dentro de una organizacioacuten y determinar queacute informacioacuten es criacutetica para el cumplimiento de su misioacuten y objetivos identificando necesidades duplicidades costes valor y barreras que obstaculizan flujos de informacioacuten eficientes
Objetivos
bull El anaacutelisis de la eficiencia de los Sistemas Informaacuteticos
bull La verificacioacuten del cumplimiento de la Normativa
bull La revisioacuten de la eficaz gestioacuten de los recursos informaacuteticos
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la gestioacuten la contratacioacuten de bienes y servicios
documentacioacuten de los programas etcbull Auditoriacutea legal del Reglamento de Proteccioacuten de Datos
Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos
bull Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y anaacutelisis de los flujogramas
bull Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de integridad y calidad de los datos
bull Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando disponibilidad integridad confidencialidad autenticacioacuten y no repudio
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la
organizacioacuten evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad CCTV vigilantes etc) y protecciones del entorno
bull Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los sistemas de informacioacuten
bull Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de autenticacioacuten en los sistemas de comunicacioacuten
bull Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Auditoriacutea de la seguridad del sistemas de computo
bull Es la revisioacuten exhaustiva teacutecnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de coacutemputo
Auditoria de la seguridad de los sistemas de computo
Proteccioacuten y salvaguarda de los sistemas de
computo
En conclusioacuten
bull Todos aquellos aspectos que contribuyen a la proteccioacuten y salvaguarda en el buen funcionamiento del aacuterea de sistematizacioacuten sistemas de redes o computadoras personales incluyendo la prevencioacuten y erradicacioacuten de los virus informaacuteticos
Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos perifeacutericos
Arquitectura del sistema
Instalaciones eleacutectricas de datos y telecomunicaciones
Innovaciones tecnoloacutegicas y de hardware y perifeacutericos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas y paqueteriacuteas de aplicacioacuten y base de datos
Utileriacuteas bibliotecas y aplicaciones
Software de telecomunicacioacuten
Juegos y otros tipos de software
Gestioacuten informaacutetica
Actividad administrativa del aacuterea de sistemas
Operaciones del sistema de computo
Planeacioacuten y control de actividades
Presupuestos y gastos de los recursos informaacuteticos
Gestioacuten de la actividad informaacutetica
Capacitacioacuten y desarrollo del personal informaacutetico
Administracioacuten de los estaacutendares de operacioacuten programacioacuten y
desarrollo
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Auditoriacutea Concepto
bull Inspeccioacuten o verificacioacuten de la contabilidad de una empresa o una entidad realizada por un auditor con el fin de comprobar si sus cuentas reflejan el patrimonio la situacioacuten financiera y los resultados obtenidos por dicha empresa o entidad en un determinado ejercicio
Informaacutetica Concepto
bull Es una ciencia que estudia meacutetodos teacutecnicas procesos con el fin de almacenar procesar y transmitir informacioacuten y datos en formato digital Se define como la rama de la tecnologiacutea que estudia el tratamiento automaacutetico de la informacioacuten
Auditoria interna
bull La auditoriacutea interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organizacioacuten
Auditoria externa
bull Aplicando el concepto general se puede decir que la auditoria Externa es el examen criacutetico sistemaacutetico y detallado de un sistema de informacioacuten de una unidad econoacutemica realizado por un Contador Puacuteblico sin viacutenculos laborales con la misma utilizando teacutecnicas determinadas y con el objeto de emitir una opinioacuten independiente sobre la forma como opera el sistema el control interno del mismo y formular sugerencias para su mejoramiento
Auditoria administrativa
bull Modalidad de auditoriacutea con la que se pretende verificar la consecucioacuten de los resultados esperados de la gestioacuten realizada por los diferentes servicios de una empresa asiacute como el grado de cumplimiento de los objetivos marcados
Auditoria informaacutetica
bull La auditoriacutea informaacutetica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto y que consiste en recoger agrupar y evaluar evidencias para determinar si un sistema de informacioacuten salvaguarda el activo empresarial mantiene la integridad de los datos lleva a cabo eficazmente los fines de la organizacioacuten utiliza eficientemente los recursos y cumple con las leyes y regulaciones establecidas
iquestQue detecta
bull Permiten detectar de forma sistemaacutetica el uso de los recursos y los flujos de informacioacuten dentro de una organizacioacuten y determinar queacute informacioacuten es criacutetica para el cumplimiento de su misioacuten y objetivos identificando necesidades duplicidades costes valor y barreras que obstaculizan flujos de informacioacuten eficientes
Objetivos
bull El anaacutelisis de la eficiencia de los Sistemas Informaacuteticos
bull La verificacioacuten del cumplimiento de la Normativa
bull La revisioacuten de la eficaz gestioacuten de los recursos informaacuteticos
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la gestioacuten la contratacioacuten de bienes y servicios
documentacioacuten de los programas etcbull Auditoriacutea legal del Reglamento de Proteccioacuten de Datos
Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos
bull Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y anaacutelisis de los flujogramas
bull Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de integridad y calidad de los datos
bull Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando disponibilidad integridad confidencialidad autenticacioacuten y no repudio
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la
organizacioacuten evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad CCTV vigilantes etc) y protecciones del entorno
bull Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los sistemas de informacioacuten
bull Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de autenticacioacuten en los sistemas de comunicacioacuten
bull Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Auditoriacutea de la seguridad del sistemas de computo
bull Es la revisioacuten exhaustiva teacutecnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de coacutemputo
Auditoria de la seguridad de los sistemas de computo
Proteccioacuten y salvaguarda de los sistemas de
computo
En conclusioacuten
bull Todos aquellos aspectos que contribuyen a la proteccioacuten y salvaguarda en el buen funcionamiento del aacuterea de sistematizacioacuten sistemas de redes o computadoras personales incluyendo la prevencioacuten y erradicacioacuten de los virus informaacuteticos
Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos perifeacutericos
Arquitectura del sistema
Instalaciones eleacutectricas de datos y telecomunicaciones
Innovaciones tecnoloacutegicas y de hardware y perifeacutericos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas y paqueteriacuteas de aplicacioacuten y base de datos
Utileriacuteas bibliotecas y aplicaciones
Software de telecomunicacioacuten
Juegos y otros tipos de software
Gestioacuten informaacutetica
Actividad administrativa del aacuterea de sistemas
Operaciones del sistema de computo
Planeacioacuten y control de actividades
Presupuestos y gastos de los recursos informaacuteticos
Gestioacuten de la actividad informaacutetica
Capacitacioacuten y desarrollo del personal informaacutetico
Administracioacuten de los estaacutendares de operacioacuten programacioacuten y
desarrollo
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Informaacutetica Concepto
bull Es una ciencia que estudia meacutetodos teacutecnicas procesos con el fin de almacenar procesar y transmitir informacioacuten y datos en formato digital Se define como la rama de la tecnologiacutea que estudia el tratamiento automaacutetico de la informacioacuten
Auditoria interna
bull La auditoriacutea interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organizacioacuten
Auditoria externa
bull Aplicando el concepto general se puede decir que la auditoria Externa es el examen criacutetico sistemaacutetico y detallado de un sistema de informacioacuten de una unidad econoacutemica realizado por un Contador Puacuteblico sin viacutenculos laborales con la misma utilizando teacutecnicas determinadas y con el objeto de emitir una opinioacuten independiente sobre la forma como opera el sistema el control interno del mismo y formular sugerencias para su mejoramiento
Auditoria administrativa
bull Modalidad de auditoriacutea con la que se pretende verificar la consecucioacuten de los resultados esperados de la gestioacuten realizada por los diferentes servicios de una empresa asiacute como el grado de cumplimiento de los objetivos marcados
Auditoria informaacutetica
bull La auditoriacutea informaacutetica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto y que consiste en recoger agrupar y evaluar evidencias para determinar si un sistema de informacioacuten salvaguarda el activo empresarial mantiene la integridad de los datos lleva a cabo eficazmente los fines de la organizacioacuten utiliza eficientemente los recursos y cumple con las leyes y regulaciones establecidas
iquestQue detecta
bull Permiten detectar de forma sistemaacutetica el uso de los recursos y los flujos de informacioacuten dentro de una organizacioacuten y determinar queacute informacioacuten es criacutetica para el cumplimiento de su misioacuten y objetivos identificando necesidades duplicidades costes valor y barreras que obstaculizan flujos de informacioacuten eficientes
Objetivos
bull El anaacutelisis de la eficiencia de los Sistemas Informaacuteticos
bull La verificacioacuten del cumplimiento de la Normativa
bull La revisioacuten de la eficaz gestioacuten de los recursos informaacuteticos
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la gestioacuten la contratacioacuten de bienes y servicios
documentacioacuten de los programas etcbull Auditoriacutea legal del Reglamento de Proteccioacuten de Datos
Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos
bull Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y anaacutelisis de los flujogramas
bull Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de integridad y calidad de los datos
bull Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando disponibilidad integridad confidencialidad autenticacioacuten y no repudio
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la
organizacioacuten evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad CCTV vigilantes etc) y protecciones del entorno
bull Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los sistemas de informacioacuten
bull Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de autenticacioacuten en los sistemas de comunicacioacuten
bull Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Auditoriacutea de la seguridad del sistemas de computo
bull Es la revisioacuten exhaustiva teacutecnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de coacutemputo
Auditoria de la seguridad de los sistemas de computo
Proteccioacuten y salvaguarda de los sistemas de
computo
En conclusioacuten
bull Todos aquellos aspectos que contribuyen a la proteccioacuten y salvaguarda en el buen funcionamiento del aacuterea de sistematizacioacuten sistemas de redes o computadoras personales incluyendo la prevencioacuten y erradicacioacuten de los virus informaacuteticos
Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos perifeacutericos
Arquitectura del sistema
Instalaciones eleacutectricas de datos y telecomunicaciones
Innovaciones tecnoloacutegicas y de hardware y perifeacutericos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas y paqueteriacuteas de aplicacioacuten y base de datos
Utileriacuteas bibliotecas y aplicaciones
Software de telecomunicacioacuten
Juegos y otros tipos de software
Gestioacuten informaacutetica
Actividad administrativa del aacuterea de sistemas
Operaciones del sistema de computo
Planeacioacuten y control de actividades
Presupuestos y gastos de los recursos informaacuteticos
Gestioacuten de la actividad informaacutetica
Capacitacioacuten y desarrollo del personal informaacutetico
Administracioacuten de los estaacutendares de operacioacuten programacioacuten y
desarrollo
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Auditoria interna
bull La auditoriacutea interna es una actividad independiente y objetiva de aseguramiento y consulta concebida para agregar valor y mejorar las operaciones de una organizacioacuten
Auditoria externa
bull Aplicando el concepto general se puede decir que la auditoria Externa es el examen criacutetico sistemaacutetico y detallado de un sistema de informacioacuten de una unidad econoacutemica realizado por un Contador Puacuteblico sin viacutenculos laborales con la misma utilizando teacutecnicas determinadas y con el objeto de emitir una opinioacuten independiente sobre la forma como opera el sistema el control interno del mismo y formular sugerencias para su mejoramiento
Auditoria administrativa
bull Modalidad de auditoriacutea con la que se pretende verificar la consecucioacuten de los resultados esperados de la gestioacuten realizada por los diferentes servicios de una empresa asiacute como el grado de cumplimiento de los objetivos marcados
Auditoria informaacutetica
bull La auditoriacutea informaacutetica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto y que consiste en recoger agrupar y evaluar evidencias para determinar si un sistema de informacioacuten salvaguarda el activo empresarial mantiene la integridad de los datos lleva a cabo eficazmente los fines de la organizacioacuten utiliza eficientemente los recursos y cumple con las leyes y regulaciones establecidas
iquestQue detecta
bull Permiten detectar de forma sistemaacutetica el uso de los recursos y los flujos de informacioacuten dentro de una organizacioacuten y determinar queacute informacioacuten es criacutetica para el cumplimiento de su misioacuten y objetivos identificando necesidades duplicidades costes valor y barreras que obstaculizan flujos de informacioacuten eficientes
Objetivos
bull El anaacutelisis de la eficiencia de los Sistemas Informaacuteticos
bull La verificacioacuten del cumplimiento de la Normativa
bull La revisioacuten de la eficaz gestioacuten de los recursos informaacuteticos
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la gestioacuten la contratacioacuten de bienes y servicios
documentacioacuten de los programas etcbull Auditoriacutea legal del Reglamento de Proteccioacuten de Datos
Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos
bull Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y anaacutelisis de los flujogramas
bull Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de integridad y calidad de los datos
bull Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando disponibilidad integridad confidencialidad autenticacioacuten y no repudio
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la
organizacioacuten evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad CCTV vigilantes etc) y protecciones del entorno
bull Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los sistemas de informacioacuten
bull Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de autenticacioacuten en los sistemas de comunicacioacuten
bull Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Auditoriacutea de la seguridad del sistemas de computo
bull Es la revisioacuten exhaustiva teacutecnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de coacutemputo
Auditoria de la seguridad de los sistemas de computo
Proteccioacuten y salvaguarda de los sistemas de
computo
En conclusioacuten
bull Todos aquellos aspectos que contribuyen a la proteccioacuten y salvaguarda en el buen funcionamiento del aacuterea de sistematizacioacuten sistemas de redes o computadoras personales incluyendo la prevencioacuten y erradicacioacuten de los virus informaacuteticos
Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos perifeacutericos
Arquitectura del sistema
Instalaciones eleacutectricas de datos y telecomunicaciones
Innovaciones tecnoloacutegicas y de hardware y perifeacutericos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas y paqueteriacuteas de aplicacioacuten y base de datos
Utileriacuteas bibliotecas y aplicaciones
Software de telecomunicacioacuten
Juegos y otros tipos de software
Gestioacuten informaacutetica
Actividad administrativa del aacuterea de sistemas
Operaciones del sistema de computo
Planeacioacuten y control de actividades
Presupuestos y gastos de los recursos informaacuteticos
Gestioacuten de la actividad informaacutetica
Capacitacioacuten y desarrollo del personal informaacutetico
Administracioacuten de los estaacutendares de operacioacuten programacioacuten y
desarrollo
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Auditoria externa
bull Aplicando el concepto general se puede decir que la auditoria Externa es el examen criacutetico sistemaacutetico y detallado de un sistema de informacioacuten de una unidad econoacutemica realizado por un Contador Puacuteblico sin viacutenculos laborales con la misma utilizando teacutecnicas determinadas y con el objeto de emitir una opinioacuten independiente sobre la forma como opera el sistema el control interno del mismo y formular sugerencias para su mejoramiento
Auditoria administrativa
bull Modalidad de auditoriacutea con la que se pretende verificar la consecucioacuten de los resultados esperados de la gestioacuten realizada por los diferentes servicios de una empresa asiacute como el grado de cumplimiento de los objetivos marcados
Auditoria informaacutetica
bull La auditoriacutea informaacutetica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto y que consiste en recoger agrupar y evaluar evidencias para determinar si un sistema de informacioacuten salvaguarda el activo empresarial mantiene la integridad de los datos lleva a cabo eficazmente los fines de la organizacioacuten utiliza eficientemente los recursos y cumple con las leyes y regulaciones establecidas
iquestQue detecta
bull Permiten detectar de forma sistemaacutetica el uso de los recursos y los flujos de informacioacuten dentro de una organizacioacuten y determinar queacute informacioacuten es criacutetica para el cumplimiento de su misioacuten y objetivos identificando necesidades duplicidades costes valor y barreras que obstaculizan flujos de informacioacuten eficientes
Objetivos
bull El anaacutelisis de la eficiencia de los Sistemas Informaacuteticos
bull La verificacioacuten del cumplimiento de la Normativa
bull La revisioacuten de la eficaz gestioacuten de los recursos informaacuteticos
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la gestioacuten la contratacioacuten de bienes y servicios
documentacioacuten de los programas etcbull Auditoriacutea legal del Reglamento de Proteccioacuten de Datos
Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos
bull Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y anaacutelisis de los flujogramas
bull Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de integridad y calidad de los datos
bull Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando disponibilidad integridad confidencialidad autenticacioacuten y no repudio
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la
organizacioacuten evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad CCTV vigilantes etc) y protecciones del entorno
bull Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los sistemas de informacioacuten
bull Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de autenticacioacuten en los sistemas de comunicacioacuten
bull Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Auditoriacutea de la seguridad del sistemas de computo
bull Es la revisioacuten exhaustiva teacutecnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de coacutemputo
Auditoria de la seguridad de los sistemas de computo
Proteccioacuten y salvaguarda de los sistemas de
computo
En conclusioacuten
bull Todos aquellos aspectos que contribuyen a la proteccioacuten y salvaguarda en el buen funcionamiento del aacuterea de sistematizacioacuten sistemas de redes o computadoras personales incluyendo la prevencioacuten y erradicacioacuten de los virus informaacuteticos
Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos perifeacutericos
Arquitectura del sistema
Instalaciones eleacutectricas de datos y telecomunicaciones
Innovaciones tecnoloacutegicas y de hardware y perifeacutericos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas y paqueteriacuteas de aplicacioacuten y base de datos
Utileriacuteas bibliotecas y aplicaciones
Software de telecomunicacioacuten
Juegos y otros tipos de software
Gestioacuten informaacutetica
Actividad administrativa del aacuterea de sistemas
Operaciones del sistema de computo
Planeacioacuten y control de actividades
Presupuestos y gastos de los recursos informaacuteticos
Gestioacuten de la actividad informaacutetica
Capacitacioacuten y desarrollo del personal informaacutetico
Administracioacuten de los estaacutendares de operacioacuten programacioacuten y
desarrollo
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Auditoria administrativa
bull Modalidad de auditoriacutea con la que se pretende verificar la consecucioacuten de los resultados esperados de la gestioacuten realizada por los diferentes servicios de una empresa asiacute como el grado de cumplimiento de los objetivos marcados
Auditoria informaacutetica
bull La auditoriacutea informaacutetica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto y que consiste en recoger agrupar y evaluar evidencias para determinar si un sistema de informacioacuten salvaguarda el activo empresarial mantiene la integridad de los datos lleva a cabo eficazmente los fines de la organizacioacuten utiliza eficientemente los recursos y cumple con las leyes y regulaciones establecidas
iquestQue detecta
bull Permiten detectar de forma sistemaacutetica el uso de los recursos y los flujos de informacioacuten dentro de una organizacioacuten y determinar queacute informacioacuten es criacutetica para el cumplimiento de su misioacuten y objetivos identificando necesidades duplicidades costes valor y barreras que obstaculizan flujos de informacioacuten eficientes
Objetivos
bull El anaacutelisis de la eficiencia de los Sistemas Informaacuteticos
bull La verificacioacuten del cumplimiento de la Normativa
bull La revisioacuten de la eficaz gestioacuten de los recursos informaacuteticos
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la gestioacuten la contratacioacuten de bienes y servicios
documentacioacuten de los programas etcbull Auditoriacutea legal del Reglamento de Proteccioacuten de Datos
Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos
bull Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y anaacutelisis de los flujogramas
bull Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de integridad y calidad de los datos
bull Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando disponibilidad integridad confidencialidad autenticacioacuten y no repudio
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la
organizacioacuten evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad CCTV vigilantes etc) y protecciones del entorno
bull Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los sistemas de informacioacuten
bull Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de autenticacioacuten en los sistemas de comunicacioacuten
bull Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Auditoriacutea de la seguridad del sistemas de computo
bull Es la revisioacuten exhaustiva teacutecnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de coacutemputo
Auditoria de la seguridad de los sistemas de computo
Proteccioacuten y salvaguarda de los sistemas de
computo
En conclusioacuten
bull Todos aquellos aspectos que contribuyen a la proteccioacuten y salvaguarda en el buen funcionamiento del aacuterea de sistematizacioacuten sistemas de redes o computadoras personales incluyendo la prevencioacuten y erradicacioacuten de los virus informaacuteticos
Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos perifeacutericos
Arquitectura del sistema
Instalaciones eleacutectricas de datos y telecomunicaciones
Innovaciones tecnoloacutegicas y de hardware y perifeacutericos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas y paqueteriacuteas de aplicacioacuten y base de datos
Utileriacuteas bibliotecas y aplicaciones
Software de telecomunicacioacuten
Juegos y otros tipos de software
Gestioacuten informaacutetica
Actividad administrativa del aacuterea de sistemas
Operaciones del sistema de computo
Planeacioacuten y control de actividades
Presupuestos y gastos de los recursos informaacuteticos
Gestioacuten de la actividad informaacutetica
Capacitacioacuten y desarrollo del personal informaacutetico
Administracioacuten de los estaacutendares de operacioacuten programacioacuten y
desarrollo
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Auditoria informaacutetica
bull La auditoriacutea informaacutetica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto y que consiste en recoger agrupar y evaluar evidencias para determinar si un sistema de informacioacuten salvaguarda el activo empresarial mantiene la integridad de los datos lleva a cabo eficazmente los fines de la organizacioacuten utiliza eficientemente los recursos y cumple con las leyes y regulaciones establecidas
iquestQue detecta
bull Permiten detectar de forma sistemaacutetica el uso de los recursos y los flujos de informacioacuten dentro de una organizacioacuten y determinar queacute informacioacuten es criacutetica para el cumplimiento de su misioacuten y objetivos identificando necesidades duplicidades costes valor y barreras que obstaculizan flujos de informacioacuten eficientes
Objetivos
bull El anaacutelisis de la eficiencia de los Sistemas Informaacuteticos
bull La verificacioacuten del cumplimiento de la Normativa
bull La revisioacuten de la eficaz gestioacuten de los recursos informaacuteticos
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la gestioacuten la contratacioacuten de bienes y servicios
documentacioacuten de los programas etcbull Auditoriacutea legal del Reglamento de Proteccioacuten de Datos
Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos
bull Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y anaacutelisis de los flujogramas
bull Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de integridad y calidad de los datos
bull Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando disponibilidad integridad confidencialidad autenticacioacuten y no repudio
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la
organizacioacuten evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad CCTV vigilantes etc) y protecciones del entorno
bull Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los sistemas de informacioacuten
bull Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de autenticacioacuten en los sistemas de comunicacioacuten
bull Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Auditoriacutea de la seguridad del sistemas de computo
bull Es la revisioacuten exhaustiva teacutecnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de coacutemputo
Auditoria de la seguridad de los sistemas de computo
Proteccioacuten y salvaguarda de los sistemas de
computo
En conclusioacuten
bull Todos aquellos aspectos que contribuyen a la proteccioacuten y salvaguarda en el buen funcionamiento del aacuterea de sistematizacioacuten sistemas de redes o computadoras personales incluyendo la prevencioacuten y erradicacioacuten de los virus informaacuteticos
Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos perifeacutericos
Arquitectura del sistema
Instalaciones eleacutectricas de datos y telecomunicaciones
Innovaciones tecnoloacutegicas y de hardware y perifeacutericos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas y paqueteriacuteas de aplicacioacuten y base de datos
Utileriacuteas bibliotecas y aplicaciones
Software de telecomunicacioacuten
Juegos y otros tipos de software
Gestioacuten informaacutetica
Actividad administrativa del aacuterea de sistemas
Operaciones del sistema de computo
Planeacioacuten y control de actividades
Presupuestos y gastos de los recursos informaacuteticos
Gestioacuten de la actividad informaacutetica
Capacitacioacuten y desarrollo del personal informaacutetico
Administracioacuten de los estaacutendares de operacioacuten programacioacuten y
desarrollo
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
iquestQue detecta
bull Permiten detectar de forma sistemaacutetica el uso de los recursos y los flujos de informacioacuten dentro de una organizacioacuten y determinar queacute informacioacuten es criacutetica para el cumplimiento de su misioacuten y objetivos identificando necesidades duplicidades costes valor y barreras que obstaculizan flujos de informacioacuten eficientes
Objetivos
bull El anaacutelisis de la eficiencia de los Sistemas Informaacuteticos
bull La verificacioacuten del cumplimiento de la Normativa
bull La revisioacuten de la eficaz gestioacuten de los recursos informaacuteticos
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la gestioacuten la contratacioacuten de bienes y servicios
documentacioacuten de los programas etcbull Auditoriacutea legal del Reglamento de Proteccioacuten de Datos
Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos
bull Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y anaacutelisis de los flujogramas
bull Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de integridad y calidad de los datos
bull Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando disponibilidad integridad confidencialidad autenticacioacuten y no repudio
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la
organizacioacuten evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad CCTV vigilantes etc) y protecciones del entorno
bull Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los sistemas de informacioacuten
bull Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de autenticacioacuten en los sistemas de comunicacioacuten
bull Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Auditoriacutea de la seguridad del sistemas de computo
bull Es la revisioacuten exhaustiva teacutecnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de coacutemputo
Auditoria de la seguridad de los sistemas de computo
Proteccioacuten y salvaguarda de los sistemas de
computo
En conclusioacuten
bull Todos aquellos aspectos que contribuyen a la proteccioacuten y salvaguarda en el buen funcionamiento del aacuterea de sistematizacioacuten sistemas de redes o computadoras personales incluyendo la prevencioacuten y erradicacioacuten de los virus informaacuteticos
Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos perifeacutericos
Arquitectura del sistema
Instalaciones eleacutectricas de datos y telecomunicaciones
Innovaciones tecnoloacutegicas y de hardware y perifeacutericos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas y paqueteriacuteas de aplicacioacuten y base de datos
Utileriacuteas bibliotecas y aplicaciones
Software de telecomunicacioacuten
Juegos y otros tipos de software
Gestioacuten informaacutetica
Actividad administrativa del aacuterea de sistemas
Operaciones del sistema de computo
Planeacioacuten y control de actividades
Presupuestos y gastos de los recursos informaacuteticos
Gestioacuten de la actividad informaacutetica
Capacitacioacuten y desarrollo del personal informaacutetico
Administracioacuten de los estaacutendares de operacioacuten programacioacuten y
desarrollo
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Objetivos
bull El anaacutelisis de la eficiencia de los Sistemas Informaacuteticos
bull La verificacioacuten del cumplimiento de la Normativa
bull La revisioacuten de la eficaz gestioacuten de los recursos informaacuteticos
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la gestioacuten la contratacioacuten de bienes y servicios
documentacioacuten de los programas etcbull Auditoriacutea legal del Reglamento de Proteccioacuten de Datos
Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos
bull Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y anaacutelisis de los flujogramas
bull Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de integridad y calidad de los datos
bull Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando disponibilidad integridad confidencialidad autenticacioacuten y no repudio
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la
organizacioacuten evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad CCTV vigilantes etc) y protecciones del entorno
bull Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los sistemas de informacioacuten
bull Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de autenticacioacuten en los sistemas de comunicacioacuten
bull Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Auditoriacutea de la seguridad del sistemas de computo
bull Es la revisioacuten exhaustiva teacutecnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de coacutemputo
Auditoria de la seguridad de los sistemas de computo
Proteccioacuten y salvaguarda de los sistemas de
computo
En conclusioacuten
bull Todos aquellos aspectos que contribuyen a la proteccioacuten y salvaguarda en el buen funcionamiento del aacuterea de sistematizacioacuten sistemas de redes o computadoras personales incluyendo la prevencioacuten y erradicacioacuten de los virus informaacuteticos
Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos perifeacutericos
Arquitectura del sistema
Instalaciones eleacutectricas de datos y telecomunicaciones
Innovaciones tecnoloacutegicas y de hardware y perifeacutericos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas y paqueteriacuteas de aplicacioacuten y base de datos
Utileriacuteas bibliotecas y aplicaciones
Software de telecomunicacioacuten
Juegos y otros tipos de software
Gestioacuten informaacutetica
Actividad administrativa del aacuterea de sistemas
Operaciones del sistema de computo
Planeacioacuten y control de actividades
Presupuestos y gastos de los recursos informaacuteticos
Gestioacuten de la actividad informaacutetica
Capacitacioacuten y desarrollo del personal informaacutetico
Administracioacuten de los estaacutendares de operacioacuten programacioacuten y
desarrollo
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la gestioacuten la contratacioacuten de bienes y servicios
documentacioacuten de los programas etcbull Auditoriacutea legal del Reglamento de Proteccioacuten de Datos
Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgaacutenica de Proteccioacuten de Datos
bull Auditoriacutea de los datos Clasificacioacuten de los datos estudio de las aplicaciones y anaacutelisis de los flujogramas
bull Auditoriacutea de las bases de datos Controles de acceso de actualizacioacuten de integridad y calidad de los datos
bull Auditoriacutea de la seguridad Referidos a datos e informacioacuten verificando disponibilidad integridad confidencialidad autenticacioacuten y no repudio
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la
organizacioacuten evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad CCTV vigilantes etc) y protecciones del entorno
bull Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los sistemas de informacioacuten
bull Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de autenticacioacuten en los sistemas de comunicacioacuten
bull Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Auditoriacutea de la seguridad del sistemas de computo
bull Es la revisioacuten exhaustiva teacutecnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de coacutemputo
Auditoria de la seguridad de los sistemas de computo
Proteccioacuten y salvaguarda de los sistemas de
computo
En conclusioacuten
bull Todos aquellos aspectos que contribuyen a la proteccioacuten y salvaguarda en el buen funcionamiento del aacuterea de sistematizacioacuten sistemas de redes o computadoras personales incluyendo la prevencioacuten y erradicacioacuten de los virus informaacuteticos
Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos perifeacutericos
Arquitectura del sistema
Instalaciones eleacutectricas de datos y telecomunicaciones
Innovaciones tecnoloacutegicas y de hardware y perifeacutericos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas y paqueteriacuteas de aplicacioacuten y base de datos
Utileriacuteas bibliotecas y aplicaciones
Software de telecomunicacioacuten
Juegos y otros tipos de software
Gestioacuten informaacutetica
Actividad administrativa del aacuterea de sistemas
Operaciones del sistema de computo
Planeacioacuten y control de actividades
Presupuestos y gastos de los recursos informaacuteticos
Gestioacuten de la actividad informaacutetica
Capacitacioacuten y desarrollo del personal informaacutetico
Administracioacuten de los estaacutendares de operacioacuten programacioacuten y
desarrollo
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Tipos de auditoriacutea informaacuteticabull Auditoriacutea de la seguridad fiacutesica Referido a la ubicacioacuten de la
organizacioacuten evitando ubicaciones de riesgo y en algunos casos no revelando la situacioacuten fiacutesica de esta Tambieacuten estaacute referida a las protecciones externas (arcos de seguridad CCTV vigilantes etc) y protecciones del entorno
bull Auditoriacutea de la seguridad loacutegica Comprende los meacutetodos de autenticacioacuten de los sistemas de informacioacuten
bull Auditoriacutea de las comunicaciones Se refiere a la auditoria de los procesos de autenticacioacuten en los sistemas de comunicacioacuten
bull Auditoriacutea de la seguridad en produccioacuten Frente a errores accidentes y fraudes
Auditoriacutea de la seguridad del sistemas de computo
bull Es la revisioacuten exhaustiva teacutecnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de coacutemputo
Auditoria de la seguridad de los sistemas de computo
Proteccioacuten y salvaguarda de los sistemas de
computo
En conclusioacuten
bull Todos aquellos aspectos que contribuyen a la proteccioacuten y salvaguarda en el buen funcionamiento del aacuterea de sistematizacioacuten sistemas de redes o computadoras personales incluyendo la prevencioacuten y erradicacioacuten de los virus informaacuteticos
Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos perifeacutericos
Arquitectura del sistema
Instalaciones eleacutectricas de datos y telecomunicaciones
Innovaciones tecnoloacutegicas y de hardware y perifeacutericos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas y paqueteriacuteas de aplicacioacuten y base de datos
Utileriacuteas bibliotecas y aplicaciones
Software de telecomunicacioacuten
Juegos y otros tipos de software
Gestioacuten informaacutetica
Actividad administrativa del aacuterea de sistemas
Operaciones del sistema de computo
Planeacioacuten y control de actividades
Presupuestos y gastos de los recursos informaacuteticos
Gestioacuten de la actividad informaacutetica
Capacitacioacuten y desarrollo del personal informaacutetico
Administracioacuten de los estaacutendares de operacioacuten programacioacuten y
desarrollo
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Auditoriacutea de la seguridad del sistemas de computo
bull Es la revisioacuten exhaustiva teacutecnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de coacutemputo
Auditoria de la seguridad de los sistemas de computo
Proteccioacuten y salvaguarda de los sistemas de
computo
En conclusioacuten
bull Todos aquellos aspectos que contribuyen a la proteccioacuten y salvaguarda en el buen funcionamiento del aacuterea de sistematizacioacuten sistemas de redes o computadoras personales incluyendo la prevencioacuten y erradicacioacuten de los virus informaacuteticos
Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos perifeacutericos
Arquitectura del sistema
Instalaciones eleacutectricas de datos y telecomunicaciones
Innovaciones tecnoloacutegicas y de hardware y perifeacutericos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas y paqueteriacuteas de aplicacioacuten y base de datos
Utileriacuteas bibliotecas y aplicaciones
Software de telecomunicacioacuten
Juegos y otros tipos de software
Gestioacuten informaacutetica
Actividad administrativa del aacuterea de sistemas
Operaciones del sistema de computo
Planeacioacuten y control de actividades
Presupuestos y gastos de los recursos informaacuteticos
Gestioacuten de la actividad informaacutetica
Capacitacioacuten y desarrollo del personal informaacutetico
Administracioacuten de los estaacutendares de operacioacuten programacioacuten y
desarrollo
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Auditoria de la seguridad de los sistemas de computo
Proteccioacuten y salvaguarda de los sistemas de
computo
En conclusioacuten
bull Todos aquellos aspectos que contribuyen a la proteccioacuten y salvaguarda en el buen funcionamiento del aacuterea de sistematizacioacuten sistemas de redes o computadoras personales incluyendo la prevencioacuten y erradicacioacuten de los virus informaacuteticos
Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos perifeacutericos
Arquitectura del sistema
Instalaciones eleacutectricas de datos y telecomunicaciones
Innovaciones tecnoloacutegicas y de hardware y perifeacutericos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas y paqueteriacuteas de aplicacioacuten y base de datos
Utileriacuteas bibliotecas y aplicaciones
Software de telecomunicacioacuten
Juegos y otros tipos de software
Gestioacuten informaacutetica
Actividad administrativa del aacuterea de sistemas
Operaciones del sistema de computo
Planeacioacuten y control de actividades
Presupuestos y gastos de los recursos informaacuteticos
Gestioacuten de la actividad informaacutetica
Capacitacioacuten y desarrollo del personal informaacutetico
Administracioacuten de los estaacutendares de operacioacuten programacioacuten y
desarrollo
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
En conclusioacuten
bull Todos aquellos aspectos que contribuyen a la proteccioacuten y salvaguarda en el buen funcionamiento del aacuterea de sistematizacioacuten sistemas de redes o computadoras personales incluyendo la prevencioacuten y erradicacioacuten de los virus informaacuteticos
Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos perifeacutericos
Arquitectura del sistema
Instalaciones eleacutectricas de datos y telecomunicaciones
Innovaciones tecnoloacutegicas y de hardware y perifeacutericos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas y paqueteriacuteas de aplicacioacuten y base de datos
Utileriacuteas bibliotecas y aplicaciones
Software de telecomunicacioacuten
Juegos y otros tipos de software
Gestioacuten informaacutetica
Actividad administrativa del aacuterea de sistemas
Operaciones del sistema de computo
Planeacioacuten y control de actividades
Presupuestos y gastos de los recursos informaacuteticos
Gestioacuten de la actividad informaacutetica
Capacitacioacuten y desarrollo del personal informaacutetico
Administracioacuten de los estaacutendares de operacioacuten programacioacuten y
desarrollo
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Esquema de la Auditoria de sistemas
Hardware
Plataforma del hardware
Tarjeta madre
Procesadores
Dispositivos perifeacutericos
Arquitectura del sistema
Instalaciones eleacutectricas de datos y telecomunicaciones
Innovaciones tecnoloacutegicas y de hardware y perifeacutericos
Software
Plataforma del software
Sistema operativo
Lenguajes y programas de desarrollo
Programas y paqueteriacuteas de aplicacioacuten y base de datos
Utileriacuteas bibliotecas y aplicaciones
Software de telecomunicacioacuten
Juegos y otros tipos de software
Gestioacuten informaacutetica
Actividad administrativa del aacuterea de sistemas
Operaciones del sistema de computo
Planeacioacuten y control de actividades
Presupuestos y gastos de los recursos informaacuteticos
Gestioacuten de la actividad informaacutetica
Capacitacioacuten y desarrollo del personal informaacutetico
Administracioacuten de los estaacutendares de operacioacuten programacioacuten y
desarrollo
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Continuacioacutenbull Administracioacuten Seguridad y control de la informacioacuten
bull Salvaguardia Proteccioacuten y Custodia de la informacioacuten
bull Cumplimiento de las caracteriacutesticas de la informacioacuten
Informacioacuten
bull Metodologiacuteas de desarrollo de Sistemas
bull Estaacutendares de programacioacuten y desarrollo
bull documentacioacuten de sistemas
Disentildeo de sistemas
bull Administracioacuten de la base de datos
bull Disentildeo de base de datos
bull Metodologiacuteas para el disentildeo y programacioacuten de bases de datos
bull Seguridad salvaguarda y proteccioacuten de las bases de datos
Bases de datos
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Continuacioacuten esquema de AIbull Seguridad
ndash Seguridad del aacuterea de sistemasndash Seguridad fiacutesicandash Seguridad loacutegicandash Seguridad de las instalaciones eleacutectricas de datos y dendash telecomunicacionesndash Seguridad de la informacioacuten redes y bases de datosndash Administracioacuten y control de las bases de datosndash Seguridad del personal informaacutetico
bull Redes de coacutemputondash Plataformas y configuracioacuten de las redesndash Protocolos de comunicacionesndash Sistemas operativos y softwarendash Administracioacuten de las redes de coacutemputondash Administracioacuten de la seguridad de las redesndash Administracioacuten de las bases de datos de las redes
bull Especializadasndash Outsourcingndash Helpdeskndash Ergonomiacutea en sistemas computacionalesndash ISO-9000ndash Internetintranetndash Sistemas multimedia
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Elementos fundamentales en el estudio de auditoria
bull Mostrar los elementos que fundamentan la existencia de la auditoriacutea para que pueda identificarlos plenamente
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Definicioacuten general de auditoriacutea
Auditor profesional
Teacutecnicas meacutetodos y procedimientos especializados
Funciones actividades tareas y procedimientos
Dictaminar
Revisioacuten independiente
Aplicando
Para evaluar
Sobre el resultado de la evaluacioacuten
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Objetivos de la auditoria de sistemas
bull La evaluacioacuten a los sistemas computacionales a la administracioacuten del centro de coacutemputo al desarrollo de proyectos informaacuteticos a la seguridad de los sistemas computacionales y a todo lo relacionado con ellos
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Objetivos
bull Realizar una evaluacioacuten con personal multidisciplinario y capacitado en el aacuterea de sistemas con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestioacuten administrativa del aacuterea de informaacutetica
bull Hacer una evaluacioacuten sobre el uso de los recursos financieros en las aacutereas del centro de informacioacuten asiacute como del aprovechamiento del sistema computacional sus equipos perifeacutericos e instalaciones
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Objetivos
bull Evaluar el uso y aprovechamiento de los equipos de coacutemputo sus perifeacutericos las instalaciones y mobiliario del centro de coacutemputo asiacute como el uso de sus recursos teacutecnicos y materiales para el procesamiento de informacioacuten
bull Evaluar el aprovechamiento de los sistemas de procesamiento sus sistemas operativos los lenguajes programas y paqueteriacuteas de aplicacioacuten y desarrollo asiacute como el desarrollo e instalacioacuten de nuevos sistemas
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Objetivosbull Evaluar el cumplimiento de planes programas estaacutendares
poliacuteticas normas y lineamientos que regulan las funciones y actividades de las aacutereas y de los sistemas de procesamiento de informacioacuten asiacute como de su personal y de los usuarios del centro de informacioacuten
bull Realizar la evaluacioacuten de las aacutereas actividades y funciones de una empresa contando con el apoyo de los sistemas computacionales de los programas especiales para auditoriacutea y de la paqueteriacutea que sirve de soporte para el desarrollo de auditoriacuteas por medio de la computadora
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Principales aacutereas y resultados que se auditan
bull Evaluacioacuten de los estados de resultados financieros y operaciones contables
bull Evaluacioacuten de los objetivos planes programas y presupuestos
bull Evaluacioacuten de la estructura organizacional funciones perfil de puestos liacuteneas de autoridad y comunicaciones
bull Evaluacioacuten de la administracioacuten de los recursos humanos de una empresa o del aacuterea auditada
bull Evaluacioacuten de la administracioacuten de prestaciones impuestos y obligaciones de una empresa asiacute como de sus funcionarios y personal en general
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Continuacioacuten
bull Evaluacioacuten de las actividades y operaciones de una empresa asiacute como de sus funcionarios y personal en general
bull Evaluacioacuten de las normas1048620 poliacuteticas1048620 meacutetodos y procedimientos de operacioacuten
bull Evaluacioacuten de los bienes y activos de una empresa
bull Evaluacioacuten de otras aacutereas y actividades por auditar
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Normas generales de auditoriacuteaLa auditoriacutea debe ser realizada por personal que cuente con la capacitacioacuten teacutecnica adecuada y la competencia para ejercer como auditor
El auditor debe conservar una actitud mental independiente en todos los aspectos
El auditor debe ser diligente en la presentacioacuten de los resultados de su auditoriacutea
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Normas de trabajo
Para que una auditoriacutea sea eficiente y eficaz se debe planear y supervisar cabalmente
El control interno se debe entender en estructura y contenido a fin de aplicarlo en la planeacioacuten y
determinacioacuten de la naturaleza duracioacuten extensioacuten y profundidad de la realizacioacuten de una auditoriacutea
La evidencia que soporta el informe del auditor debe ser suficiente competente y oportuna esto se
logra mediante las teacutecnicas meacutetodos y procedimientos de auditoriacutea
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Normas de la informacioacutenbull El informe de la auditoriacutea debe presentarse en estricto apego a
las normas de auditoriacutea y contabilidad generalmente aceptadas
bull En el informe de la auditoriacutea se deben sentildealar las observaciones que se hayan detectado durante el periodo de evaluacioacuten destacando aquellas desviaciones de los procedimientos normales de la operacioacuten de la empresa y de los principios generalmente aceptados
bull Los informes de auditoriacuteas financieras deberaacuten contener la opinioacuten razonada del auditor
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Nomas
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Normas para auditores (todos)
bull Independenciabull Integridad profesionalbull Fiabilidad de los estados y registrosbull Mantenimiento del control internobull Obtencioacuten y evaluacioacuten de evidenciabull Rango de conocimientondash Conocimiento completondash Buen conocimientondash Conocimiento adecuado
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Normas generales (auditor)
bull Capacitacioacuten
bull Conducta observable
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Normas generales
bull Desarrollo del trabajo del auditor
bull Emisioacuten de resultados de auditoriacutea
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Meacutetodos teacutecnicas herramientas y meacutetodos para la auditoria informaacutetica
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Teacutecnicas de evaluacioacuten aplicables a la auditoria de sistemas
bull Examenbull Inspeccioacutenbull Confirmacioacutenbull Comparacioacutenbull Revisioacuten documental
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Teacutecnicas especiales para auditoria informaacutetica
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Estructura de grandes empresas dedicadas a auditoriacutea
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Medianas empresas dedicadas a auditoriacutea
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Pequentildeos despachos o auditores independientes
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Auditoria interna en grandes empresas
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Pequentildeas empresas con auditoria interna
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Micro empresas
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Tarea
bull Trabajo Planificar auditoriacutea de sistema (Software)ndash Planificar actividadesndash Planificar la supervisioacutenndash Planificar la aplicacioacuten de meacutetodos teacutecnicas y
herramientasndash Determinar las evidencias a obtener
ndash Informe de auditoriacutea
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Unidad 3
bull Gestioacuten de riesgosndash Planificar la gestioacuten de riesgosndash Identificar los riesgosndash Anaacutelisis cualitativo de riesgosndash Anaacutelisis cuantitativo de riesgosndash Planificar la respuesta a los riesgosndash Monitoreo y control de riesgo
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Planificar la gestioacuten de riesgosbull Reuniones de planificacioacuten y anaacutelisis
bull Los equipos del proyecto celebran reuniones de planificacioacuten para desarrollar el plan de gestioacuten de riesgos Los participantes de estas reuniones pueden ser entre otros el director del proyecto miembros del equipo del proyecto e interesados seleccionados cualquier persona de la organizacioacuten con la responsabilidad de gestionar la planificacioacuten y ejecucioacuten de actividades relacionadas con los riesgos asiacute como otras personas seguacuten sea necesario
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Que se define en las reuniones
bull Los planes a alto nivel para efectuar las actividades de gestioacuten de riesgos
bull Se desarrollaraacuten los elementos de costo de la gestioacuten de riesgos y las actividades del cronograma
bull Se incluyen en el presupuesto y el cronograma del proyecto respectivamente
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Plan de gestioacuten de riesgosbull Metodologiacutea Define los meacutetodos las herramientas y las fuentes de datos
que pueden utilizarse para llevar a cabo la gestioacuten de riesgos en el proyectobull Roles y responsabilidades Define al liacuteder el apoyo y a los miembros del
equipo de gestioacuten de riesgos para cada tipo de actividad del plan de gestioacuten de riesgos y explica sus responsabilidades
bull Presupuesto Asigna recursos estima los fondos necesarios para la gestioacuten de riesgos a fin de incluirlos en la liacutenea base del desempentildeo de costos y establece los protocolos para la aplicacioacuten de la reserva para contingencias (Seccioacuten 7231)
bull Calendario Define cuaacutendo y con queacute frecuencia se realizaraacute el proceso de gestioacuten de riesgos a lo largo del ciclo de vida del proyecto establece los protocolos para la utilizacioacuten de las reservas para contingencias del cronograma y preveacute las actividades de gestioacuten de riesgos que deben incluirse en el cronograma del proyecto (Seccioacuten 6531)
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Plan de gestioacuten de riesgos (cont)
bull Categoriacuteas de riesgo Proporciona una estructura que asegura un proceso completo de identificacioacuten sistemaacutetica de los riesgos con un nivel de detalle coherente y contribuye a la efectividad y calidad del proceso Identificar los Riesgos
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Plan de gestioacuten de riesgos (conthellip)
bull Definiciones de la probabilidad e impacto de los riesgos La calidad y credibilidad del proceso Realizar el Anaacutelisis Cualitativo de Riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestioacuten de Riesgos para usarse en el proceso Realizar el Anaacutelisis Cualitativo de Riesgos (Seccioacuten 113)
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Escalas de probabilidad e impacto
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Plan de gestioacuten de riesgos (conthellip)bull Matriz de probabilidad e impacto Los riesgos se clasifican por orden de
prioridad de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto
bull Tolerancias revisadas de los interesados Las tolerancias de los interesados seguacuten se aplican al proyecto especiacutefico pueden revisarse en el marco del proceso Planificar la Gestioacuten de Riesgos
bull Formatos de los informes Definen coacutemo se documentaraacuten analizaraacuten y comunicaraacuten los resultados de los procesos de gestioacuten de riesgos Describe el contenido y el formato del registro de riesgos asiacute como de cualquier otro informe de riesgos requerido
bull Seguimiento Documenta coacutemo se registraraacuten las actividades de gestioacuten de riesgos para beneficio del proyecto en curso de necesidades futuras y de las lecciones aprendidas Tambieacuten documenta si los procesos de gestioacuten de riesgos se auditaraacuten y de queacute manera
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Identificar los riesgosbull 1 Revisiones de la Documentacioacutenbull Puede efectuarse una revisioacuten estructurada de la documentacioacuten del proyecto incluyendo los
planes los supuestos los archivos de proyectos anteriores los contratos y otra informacioacuten La calidad de los planes asiacute como la consistencia entre dichos planes y los requisitos y supuestos del proyecto pueden ser indicadores de riesgo en el proyecto
bull 2 Teacutecnicas de Recopilacioacuten de Informacioacutenndash Tormenta de ideas La meta de la tormenta de ideas es obtener una lista completa de
los riesgos del proyectondash Teacutecnica Delphi Los expertos en riesgos del proyecto participan en esta teacutecnica de forma
anoacutenima Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto
ndash Entrevistas La realizacioacuten de entrevistas a los participantes experimentados del proyecto a los interesados y a los expertos en la materia puede ayudar a identificar los riesgos
ndash Anaacutelisis causal El anaacutelisis causal es una teacutecnica especiacutefica para identificar un problema determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Identificar los riesgosbull 3 Anaacutelisis de las Listas de Controlbull Las listas de control para identificacioacuten de riesgos pueden
desarrollarse basaacutendose en la informacioacuten histoacuterica y el conocimiento acumulado a partir de proyectos similares anteriores y otras fuentes de informacioacuten
bull 4 Anaacutelisis de Supuestosbull Cada proyecto y cada riesgo identificado se conciben y
desarrollan tomando como base un grupo de hipoacutetesis escenarios y supuestoshellipIdentifica los riesgos del proyecto debidos al caraacutecter inexacto inestable incoherente o incompleto de los supuestos
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Identificar los riesgosbull Teacutecnicas de diagramacioacuten
ndash Diagramas de causa y efecto (Seccioacuten 8321) Estos diagramas tambieacuten se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son uacutetiles para identificar las causas de los riesgos
ndash Diagramas de flujo o de sistemas Estos diagramas muestran coacutemo se interrelacionan los diferentes elementos de un sistema y el mecanismo de causalidad (Seccioacuten 8323)
ndash Diagramas de influencias Estos diagramas son representaciones graacuteficas de situaciones que muestran las influencias causales la cronologiacutea de eventos y otras relaciones entre las variables y los resultados
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Identificar los riesgos
bull 6 Anaacutelisis SWOT (o DAFO Debilidades Amenazas Fortalezas y Oportunidades) Esta teacutecnica examina el proyecto desde cada uno de los aspectos DAFO (debilidades amenazas fortalezas y oportunidades) para aumentar el espectro de riesgos identificados incluyendo los riesgos generados internamente
bull 7 Juicio de Expertosbull Los expertos con experiencia apropiada adquirida en
proyectos o aacutereas de negocio similares pueden identificar los riesgos directamente
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Identificar riesgo Resultadosbull 1 Registro de Riesgosbull El registro de riesgos contiene al final los resultados de los demaacutes
procesos de gestioacuten de riesgos a medida que se llevan a cabo dando como resultado un incremento en el nivel y tipo de informacioacuten contenida en el registro de riesgos conforme transcurre el tiempondash Lista de riesgos identificados Los riesgos identificados se describen con un
nivel de detalle razonablebull (evento ndash Impacto)bull (Causa ndash Evento - Efecto)
bull Lista de respuestas potenciales A veces pueden identificarse respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos Estas respuestas si se identifican durante este proceso pueden ser uacutetiles como entradas para el proceso Planificar la Respuesta a los Riesgos
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Cuantificacioacuten de riesgos
bull Anaacutelisis cualitativobull Anaacutelisis cuantitativo
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Planificar las respuestas al riesgobull 1 Estrategias para Riesgos Negativos o Amenazas Evitar
ndash Evitar el riesgo implica cambiar el plan para la direccioacuten del proyecto a fin de eliminar por completo la amenaza El director del proyecto tambieacuten puede aislar los objetivos del proyecto del impacto de los riesgos o cambiar el objetivo que se encuentra amenazado
ndash Transferir Transferir el riesgo requiere trasladar a un tercero todo o parte del impacto negativo de una amenaza junto con la propiedad de la respuesta La transferencia de un riesgo simplemente confiere a una tercera persona la responsabilidad de su gestioacuten no lo elimina (Ejemplo seguros de accidente)
ndash Mitigar Mitigar el riesgo implica reducir a un umbral aceptable la probabilidad yo el impacto de un evento adversohellipa menudo es maacutes efectivo que tratar de reparar el dantildeo despueacutes de ocurrido el riesgo
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Planificar la respuesta al riesgo
bull Aceptar Esta estrategia se adopta debido a que rara vez es posible eliminar todas las amenazas de un proyecto Esta estrategia indica que el equipo del proyecto ha decidido no cambiar el plan para la direccioacuten del proyecto para hacer frente a un riesgo o no ha podido identificar ninguna otra estrategia de respuesta adecuada
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Estrategias para riesgos positivosbull Explotar Esta estrategia busca eliminar la incertidumbre
asociada con un riesgo positivo particular asegurando que la oportunidad definitivamente se concrete
bull Compartir Compartir un riesgo positivo implica asignar todo o parte de la propiedad de la oportunidad a un tercero mejor capacitado para capturar la oportunidad en beneficio del proyecto
bull Mejorar Esta estrategia se utiliza para aumentar la probabilidad yo los impactos positivos de una oportunidad
bull Aceptar Aceptar una oportunidad consiste en tener la voluntad de tomar ventaja de ella si se presenta pero sin buscarla de manera activa
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
Planificar la respuesta al riesgo
bull 4 Juicio de Expertosbull El juicio de expertos constituye una entrada
procedente de partes con soacutelidos conocimientos que atantildee a las acciones que deben tomarse en el caso de un riesgo especiacutefico y definido
