Conceptos Análisis de Riesgo y Técnicas en la Auditoría de Sistemas
Análisis de Riesgo
Los Análisis de Riesgos han resultado
ser una herramienta útil de los directivos técnicos en la industria para
diseñar y operar las instalaciones haciendo énfasis en la seguridad. Para ello
se han desarrollado y procedimentado diversas técnicas de carácter cualitativo
y cuantitativo de evaluaciones de riesgo.
Los riesgos normalmente se definen como
eventos negativos, como puede ser la pérdida de dinero en una empresa o una
tormenta que genera un gran número de reclamaciones de seguro. Sin embargo,
durante el proceso de análisis de riesgo también se pueden descubrir resultados
potenciales positivos. Mediante la exploración de todo el espacio de posibles
resultados para una situación determinada, un buen análisis de riesgo puede
identificar peligros y descubrir oportunidades.
El análisis del riesgo ayuda
a las personas encargadas de tomar decisiones y a los directivos a
entender la gestión de riesgos y cómo pueden afectar a la consecución de sus
objetivos, y a la capacidad de eficiencia de los controles ya
implantados.
Técnicas en la Auditoría de Sistemas
Se define a las técnicas de auditoría como “los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias”. Al aplicar su conocimiento y experiencia el auditor, podrá conocer los datos de la empresa u organización a ser auditada, que pudieran necesitar una mayor atención.
Las técnicas procedimientos están
estrechamente relacionados, si las técnicas no son elegidas adecuadamente, la
auditoría no alcanzará las normas aceptadas de ejecución, por lo cual las
técnicas así como los procedimientos de auditoría tienen una gran importancia
para el auditor.
Según el IMCP en su libro Normas y procedimientos de auditoría las técnicas se clasifican generalmente con base en la acción que se va a efectuar, estas acciones pueden ser oculares, verbales, por escrito, por revisión del contenido de documentos y por examen físico. Siguiendo esta clasificación las técnicas de auditoría se agrupan específicamente de la siguiente manera:
- Estudio General
- Análisis
- Inspección
- Confirmación
- Investigación
- Declaración
- Certificación
- Observación
- Cálculo
¿Cuáles son los componentes del análisis de riesgo?
- Identificación del peligro
Es
la parte del proceso de gestión de riesgos en la que conocemos e
inspeccionamos los riesgos. El objetivo de la identificación del riesgo
es conocer los sucesos que se pueden producir en la organización y
las consecuencias que puedan tener sobre los objetivos de la empresa. Una vez
que tenemos realizado este pasó, debemos identificar los controles
implantados.
Los
procedimientos de identificación del riesgo pueden contener:
- Procedimientos en base a evidencias, como por ejemplo las revisiones de datos anteriores.
- Los enfoques metódicos del equipo, en el que los expertos identifican los riesgos a través de una serie de preguntas.
- Métodos de razonamiento inductivo, como por ejemplo HAZOP.
- Evaluación del
riesgo
Un
análisis de riesgo consiste en estimar las pérdidas probables para los
diferentes eventos peligrosos posibles. Evaluar el riesgo es relacionar los
peligros y las vulnerabilidades con el fin de determinar el nivel de riesgo.
Debe
tener en cuenta todas las actividades realizadas en las instalaciones de la fábrica
por parte del personal propio y ajeno. Consecuencias que pueden traer consigo
determinadas situaciones y la probabilidad de que estas se produzcan.
- Gestión del riesgo
Hace
referencia al proceso de identificación y evaluación de riesgos, y a la creación
de un plan para disminuirlos o controlarlos. Identificar posibles riesgos,
reducir o dividir los riesgos.
Proceso
de identificación, selección y aplicación de las medidas que permiten reducir
el nivel del riesgo.
- Información sobre el riesgo
El
intercambio interactivo de información, las personas encargadas de su gestión y
las demás partes interesadas.
Técnicas aplicadas en la evaluación de riesgo en casos de empresas.
Las empresas deben
analizar todos los posibles peligros, situaciones y eventos que se interpongan
en el cumplimiento de objetivos, o peor aún, que impliquen pérdidas humanas,
ambientales y económicas. Una vez, la compañía tenga ese análisis claro, podrá enfocar
sus esfuerzos en los riesgos con mayor amenaza.
Las organizaciones
deben tener en cuenta todos los riesgos a los que puede enfrentarse por
causa de fallas en los procesos, errores en la ejecución, fraudes internos y
externos, entre otras situaciones que pueden llevarla a perder participación en
el mercado o afectar su buen nombre.
Esos errores pueden causar daños a consumidores, a la comunidad, al personal operativo, o daños psicológicos; también impactos ambientales como contaminación del aire, del agua, o del suelo; y afectaciones económicas como daños en la propiedad, cambios en producción, producción de baja calidad, pérdida de participación en el mercado, líos legales o pérdida de credibilidad. Por ello, las compañías deben contar con analistas y herramientas de riesgo para identificar las amenazas de forma temprana y así mitigar esos impactos. En este artículo, se explican diferentes métodos y herramientas que le ayudarán a identificar los riesgos de su organización.
- Método cualitativo
Es uno de los más
utilizados para el análisis de riesgo y la toma de decisiones, es ideal
para empresas que quieren ahorrar tiempo y recursos monetarios, pero requiere
de expertos con alto conocimiento, manejo de herramientas y estrategias
como listas de observación, estudios, cuestionarios y entrevistas,
evaluación de grupos multidisciplinarios y debates en grupo para tener mayor
objetividad y eficacia.
Este método se usa
cuando el nivel de riesgo es bajo y no justifica el tiempo ni recursos
necesarios para hacer un análisis más profundo, en casos más complejos,
se puede complementar con el método cuantitativo.
- Método cuantitativo
Permite obtener una
valoración numérica de la materialización de un evento, que implique pérdidas
económicas, técnicas o humanas. Este análisis requiere de la utilización
de matemáticas y estadísticas para la recolección de datos que permiten
calcular el nivel de riesgo.
Los métodos cuantitativos incluyen análisis de probabilidad, de consecuencias y simulación computacional, que amplían la visión para mostrar posibles escenarios de las amenazas. Entre sus ventajas, está la objetividad, profundidad, resultados de riesgo más tangibles, asimismo, los conceptos y las teorías son más robustos. Para saber más sobre las ventajas y desventajas con estos métodos (cualitativo y cuantitativo), a la hora de medir el riesgo, lee conozca los métodos para evaluar el riesgo.
Métodos de análisis de riesgos
Los
métodos de análisis de riesgos son técnicas que se emplean para evaluar los
riesgos de un proyecto o un proceso. Estos métodos ayudan a tomar decisiones
que permiten implementar medidas de prevención para evitar peligros potenciales
o reducir su impacto.
Es
cierto que no existe una única metodología de riesgos. La forma
ideal de realizar la gestión es seleccionar y combinar las mejores
técnicas según el tipo de negocio o de proyecto. Por eso, a la hora de
escoger, hay que tener en cuenta que algunas de estas herramientas son más
idóneas para evaluar las causas de un problema, mientras que otras son más
adecuadas para valorar las consecuencias.
Aquí
te presentamos algunos de los métodos de análisis de riesgos más
utilizados:
- What if
El
análisis what if (¿qué pasaría si…?) es una herramienta sencilla y
fácil de entender para cualquier gestor. Usualmente se utiliza en la primera
fase de la gestión cuando apenas se están identificando los riesgos. Después,
este método puede complementarse con un análisis más profundo de los riesgos y
sus causas a través de otras técnicas adicionales.
Esta metodología
de administración de riesgos consiste en programar reuniones entre
funcionarios o colaboradores que conozcan a fondo el proceso que se
analiza.
- Análisis preliminar de riesgos (APR)
Esta metodología
de gestión de riesgos también forma parte del análisis inicial. Se utiliza
para identificar posibles riesgos cuando el proyecto apenas está comenzando. El
primer paso en el análisis preliminar de riesgos es identificar todas las
actividades que forman parte de un proyecto o de un proceso, intentando
reconocer los posibles problemas que se puedan enfrentar en cada fase.
Con
esos datos se llena una tabla de registro. En una de las columnas se describen
los riesgos que se identificaron, en otra se ubican las posibles causas, en la
tercera se listan las consecuencias y en la última se sitúan las categorías de
riesgos, combinando la frecuencia y la gravedad del riesgo para crear una
clasificación de prioridades.
- FMEA (Failure Mode and Effective Analysis)
Esta metodología
de gestión de riesgos es en realidad una técnica de ingeniería. En
principio fue creada por la Nasa, pero después fue adoptada en diferentes
campos e industrias. El método FMEA consiste en identificar, clasificar y
eliminar las fallas de los proyectos o de los procesos antes de que estas
ocurran.
El
método FMEA empieza identificando las posibles fallas y efectos. Posteriormente,
se crea una clasificación de ellos. La puntuación de los riesgos se determina
teniendo en cuenta tres criterios:
- Frecuencia.
- Gravedad.
- Detección.
Con
esos tres puntos se aplica una fórmula que permite establecer cuáles fallas son
más o menos graves. Los riesgos más críticos deben ser atendidos primero que
los demás.
- Lista de chequeo
Esta
es una herramienta utilizada para confirmar que las medidas preventivas de los
procesos de análisis y riesgo están siendo adoptadas. Consiste en montar una
lista con todos los riesgos que se han identificado y sus recomendaciones de
prevención correspondientes. Frente a cada ítem se debe llenar una casilla con
las tareas que ya fueron hechas y las que no.
Las
listas de chequeo son un método de análisis de riesgos muy útil
porque son fáciles de hacer y de usar. Además, se pueden emplear para cualquier
actividad o proceso y facilitan la toma de decisiones.
Análisis de la matriz del riesgo en una empresa
La
Matriz de Riesgos es una herramienta de gestión que permite determinar
objetivamente cuáles son los riesgos relevantes para la seguridad y salud de
los trabajadores que enfrenta una organización. Su llenado es simple y requiere
del análisis de las tareas que desarrollan los trabajadores.
Se
debe utilizar cada vez que se implemente una tarea nueva, cada vez que se
cambie un procedimiento y por lo menos una vez al año como parte de la gestión
de seguridad para asegurar que no ha habido cambios en el nivel de protección
de los trabajadores.
Con
ella, podemos evaluar los riesgos financieros, operativos y estratégicos que
supongan un impedimento para el correcto avance del proyecto en base a los
objetivos marcados, así como siguiendo la misión y valores de nuestra compañía.
En definitiva, una matriz de riesgos podrá darnos un diagnóstico de la
evolución de nuestro proyecto.
Debemos
tener en cuenta que:
- Es flexible
- Es fácil y sencilla de entender
- Evalúa según los objetivos de nuestros proyectos
- Es capaz de comparar actividades y proyectos
- Nos ayuda a saber cuáles son nuestras actividades críticas
- Nos permite priorizar tareas a través de la elaboración de la matriz de priorización
- Se puede aplicar a distintas áreas del proyecto y de la empresa
Fuentes
Laurido, R. (5 de Julio de 2019). Sinnaps.
Obtenido de
https://www.sinnaps.com/blog-gestion-proyectos/matriz-de-riesgos-ejemplo
Lopez,
A. (15 de Octubre de 2020). Piranirisk. Obtenido de
https://www.piranirisk.com/es/blog/conozca-las-tecnicas-para-evaluar-el-riesgo-en-su-empresa
Martinez,
J. (10 de Septiembre de 2019). Olea.org. Obtenido de
https://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s03.html
Ywama,
L. (24 de Febrero de 2019). Palisade. Obtenido de
https://www.palisade-lta.com/risk/analisis_de_riesgo.asp
Read More
