1
00:00:00,420 --> 00:00:07,560
Muy bien, entonces, ya luego de haber identificado la probabilidad y el impacto de cada uno de los

2
00:00:07,710 --> 00:00:16,500
riesgos, entonces debemos de calcular el nivel de riesgo, que es la fase clave de la evaluación de

3
00:00:16,500 --> 00:00:16,890
riesgo.

4
00:00:18,850 --> 00:00:26,350
Para esto contamos con una tabla, una pequeña tabla como ésta que tenemos acá, que nos va, nos va

5
00:00:26,350 --> 00:00:31,240
a ayudar a determinar, tomando como base la probabilidad tiene impacto.

6
00:00:31,390 --> 00:00:36,640
Pudiéramos saber cual sería el nivel de riesgo de cada uno de ellos.

7
00:00:38,770 --> 00:00:46,030
Con la combinación, por ejemplo, tenemos que en cuanto a probabilidad tenemos bajo, medio y alto

8
00:00:46,660 --> 00:00:49,780
cuánto impacto tenemos impacto bajo, medio y alto.

9
00:00:50,740 --> 00:00:51,720
Cuando triangula, vamos.

10
00:00:51,730 --> 00:00:59,860
La combinación entre cada uno de ellos no nos va a indicar el nivel de riesgo o riesgo cuyo cuya probabilidad

11
00:00:59,860 --> 00:01:04,120
sea baja y cuyo impacto sea alto.

12
00:01:04,180 --> 00:01:06,490
Será un riesgo medio.

13
00:01:08,830 --> 00:01:19,030
Entonces, para cada escala tenemos un color amarillo, significa abajo medio, es verde y alto.

14
00:01:19,150 --> 00:01:20,650
Le corresponde el color rojo.

15
00:01:22,730 --> 00:01:30,080
Entonces colocamos nuestra tablita aquí para entonces hacer la comparación de esta manera.

16
00:01:32,600 --> 00:01:40,130
Para nuestro riesgo de interrupciones en las operaciones por averías en los equipos informáticos, tenemos

17
00:01:40,130 --> 00:01:45,020
que es de probabilidad baja para probabilidad baja.

18
00:01:46,870 --> 00:01:50,110
Impacto medio, impacto medio.

19
00:01:51,290 --> 00:01:56,030
Entonces, en este caso, nuestro nivel de riesgo será bajo.

20
00:01:56,750 --> 00:02:02,820
En cuanto a la interacción, hacer las operaciones por falla en el suministro de energía probabilidad

21
00:02:02,960 --> 00:02:03,680
es media.

22
00:02:06,060 --> 00:02:13,380
La idea y el impacto medio también medio y medio.

23
00:02:15,720 --> 00:02:16,560
Los da medio.

24
00:02:19,130 --> 00:02:20,150
Alto y alto.

25
00:02:21,010 --> 00:02:25,420
Nos da alto y si comparamos alto.

26
00:02:27,380 --> 00:02:28,820
Probabilidad alta.

27
00:02:30,330 --> 00:02:34,660
Impacto medio, el nivel de riesgo sería alto.

28
00:02:36,650 --> 00:02:37,260
Perfecto.

29
00:02:37,700 --> 00:02:43,340
Y ya con esto logramos valorar cada uno de los riesgos que identificamos.

30
00:02:44,600 --> 00:02:51,890
Entonces el siguiente y último paso es correlacionar esos riesgos con los controles que tiene la organización

31
00:02:51,890 --> 00:02:54,410
para mitigar los roces.

32
00:02:54,430 --> 00:03:02,480
Es algo que también podemos obtener en reuniones de levantamiento de información o en consulta con la

33
00:03:02,480 --> 00:03:10,310
alta gerencia, el director o jefe del Departamento de Tecnología y de los departamentos involucrados.

34
00:03:10,670 --> 00:03:18,380
Entonces nos quedaría algo como esto, por ejemplo, para nuestro riesgo de interrupciones en las operaciones

35
00:03:18,410 --> 00:03:25,220
por avería a los equipos informáticos, cuyo nivel de riesgo es bajo el mantenimiento preventivo de

36
00:03:25,220 --> 00:03:32,270
los equipos, es el control de la gerencia para mitigar el riesgo de las averías en los equipos, para

37
00:03:32,270 --> 00:03:35,150
minimizar en este caso la familia de los equipos.

38
00:03:35,900 --> 00:03:43,580
En cuanto a la falla en el suministro de energía tienen puesa utilizando puede para mitigar ese riesgo.

39
00:03:44,420 --> 00:03:51,740
Fraude interno al nivel de riesgo es alto y para eso tienen controles de acceso.

40
00:03:52,900 --> 00:03:58,390
En el caso de los controles que desplegamos para cada uno de los riesgos, la organización puede tener

41
00:03:58,900 --> 00:04:06,490
varios controles para mitigar un mismo riesgo o también puede darse el caso de que tenga riesgo, para

42
00:04:06,490 --> 00:04:12,490
los cuales la organización no ha identificado o no ha implantado controles necesarios para mitigarlo.

43
00:04:13,360 --> 00:04:21,190
En ese caso, debemos de levantar una recomendación para que se implementen controles necesarios para

44
00:04:21,190 --> 00:04:24,610
mitigar esos riesgos que identificamos.

45
00:04:27,160 --> 00:04:33,580
Entonces, ya sabiendo el nivel de riesgo y los controles implantados por la gerencia para mitigar esos

46
00:04:33,580 --> 00:04:41,890
riesgos doces, tenemos completada nuestra evaluación de riesgo y podremos priorizar cuáles son aquellos

47
00:04:41,890 --> 00:04:49,210
riesgos más significativos para la empresa, de manera que podamos seleccionarlo para validar los controles,

48
00:04:50,410 --> 00:04:54,730
por ejemplo, en el caso del fraude interno, cuyo riesgo es alto.

49
00:04:56,140 --> 00:04:57,500
El control es.

50
00:04:57,520 --> 00:04:58,840
Controles de acceso.

51
00:05:00,700 --> 00:05:06,790
En una planificación de auditoría deberíamos de incluir la revisión de los controles de acceso de los

52
00:05:06,880 --> 00:05:07,930
empleados.

53
00:05:08,020 --> 00:05:11,080
Tomando en cuenta que el nivel de riesgos alto.

54
00:05:12,520 --> 00:05:15,430
A esto se le llama una auditoría basada en riesgo.

55
00:05:16,150 --> 00:05:23,530
Priorizamos las revisiones de los controles implementados para mitigar aquellos riesgos que son de mayor

56
00:05:23,530 --> 00:05:25,230
impacto para las empresas.

57
00:05:26,730 --> 00:05:32,680
Entonces de esta manera podemos preparar una auditoría mucho más eficiente y que agravió mucho más valor

58
00:05:32,710 --> 00:05:41,140
a nuestra empresa y también de esa manera podemos determinar que validar y que no es necesario validar.

59
00:05:41,230 --> 00:05:49,630
En el caso de la avería de los equipos informáticos cuyo nivel es bajo y los controles son el mantenimiento

60
00:05:49,630 --> 00:05:55,090
preventivo de los equipos, ya tomando en cuenta su nivel de riesgo.

61
00:05:55,210 --> 00:06:02,530
Podemos descartar para un plan de auditoria la revisión de ese control, aunque en revisiones posteriores

62
00:06:02,650 --> 00:06:03,860
lo podamos incluir.

63
00:06:04,120 --> 00:06:08,740
Pero siempre es importante revisar los controles más importantes para la organización.

64
00:06:10,030 --> 00:06:13,510
Ya con esta información podemos dar como concluida nuestra evaluación de riesgo.

65
00:06:15,100 --> 00:06:18,990
Le voy a mostrar cómo se vería básicamente esta información con una plantilla.

66
00:06:19,010 --> 00:06:21,070
Es él con un poco más de información.

67
00:06:21,790 --> 00:06:28,600
Esta plantilla de Excel se las voy a colocar en el módulo para que la puedan descargar y utilizar donde

68
00:06:29,350 --> 00:06:32,590
tendrán lo necesario para completar su matriz de riesgo.

69
00:06:33,010 --> 00:06:37,000
Esta plantilla tiene los siguientes campos número proceso.

70
00:06:37,000 --> 00:06:38,440
Departamento responsable.

71
00:06:40,660 --> 00:06:43,840
El riesgo, que es la consecuencia de la casa.

72
00:06:45,850 --> 00:06:49,360
Los controles relacionados a cada uno de los riesgos.

73
00:06:50,320 --> 00:06:52,510
Probabilidad, impacto y el nivel de riesgo

74
00:06:55,210 --> 00:06:58,270
para nuestro caso de estudio que completamos ahora.

75
00:07:01,250 --> 00:07:03,410
Identificamos estos riesgos.

76
00:07:07,300 --> 00:07:13,810
De esta manera se puede completar la plantilla de información, también se la voy a colocar para que

77
00:07:13,810 --> 00:07:15,340
la puedan descargar y.

78
00:07:16,790 --> 00:07:19,040
Y y le sirva de material de estudio.

79
00:07:19,400 --> 00:07:25,310
Dentro de los riesgos identificados está la integración de las operaciones, el robo de información,

80
00:07:25,370 --> 00:07:26,990
robo de equipos tecnológico.

81
00:07:28,520 --> 00:07:35,410
Destrucción de datos, pérdidas económicas significativas, daños ocupacionales y de confianza, pérdida

82
00:07:35,410 --> 00:07:43,210
de competitividad en el mercado español, divulgación de información confidencial, daños a los activos

83
00:07:43,210 --> 00:07:47,830
de información por inundación, tormenta o rayos eléctricos.

84
00:07:48,760 --> 00:07:51,880
Esta es la tabla de los criterios que definimos.

85
00:07:53,930 --> 00:07:57,470
Y nuestra tablita para identificar al nivel de riesgo.

86
00:07:59,880 --> 00:08:02,100
Espero esta información les sea de mucha utilidad.