POSTGRADO EN AUDITORIA DE SISTEMAS

FACULTAD DE INGENIERÍA DE SISTEMAS INFORMÁTICOS Y CIENCIAS DE LA COMPUTACIÓN

PROGRAMA DEL CURSO

Curso: Control y evaluación del riesgo

Catedrático: Ing. René Contreras. CISSP, CISA, CISM PMP, Auditor Líder
ISO 9001, 22301, 27001.
e – Mail Catedrático: rene.contreras@galileo.edu
Asistente de cátedra: Lic. Alvaro Martínez. Master en Dirección de Proyectos,
CAMP, CSM, CSPO.
e – Mail Asistente: amartinezc@galileo.edu
Ciclo: Primero 2021 Jornada: Nocturna
Horas por semana Horas Laboratorio Número total de horas
03 Horas N/A 30
I. DESCRIPTOR

Determinación del riesgo y sus tipos. Definición del control interno y la detección del
riesgo, así como, el establecimiento de criterios de calificación del factor de
evaluación basados en COSO, COCO, KING, Ley Sarbanes-Oxley del 2002, se
establece el mapa y matriz de riesgos, los manuales e informes de riesgos y las
estrategias para la toma de decisiones.
Clasificación de controles (preventivo, detección y compensatorio / correctivo),
controles generales de la organización, de la seguridad, de funcionamiento general
y de recuperación ante desastres, desarrollo y documentación.
Proporcionar al participante las herramientas metodológicas y los aspectos
conceptuales inherentes al proceso de determinación del riesgo de auditoría, como
elemento integrante de la fase de planificación o planeación en cualquier
auditoría de sistemas de información.

II. COMPETENCIAS

a. Genéricas
• Conceptualiza y comprende amenazas, vulnerabilidades y riesgos.
• Identifica la estrategia de gestión de riesgo de una organización.
• Define y ejecuta evaluaciones de riesgo.
 POSTGRADO EN AUDITORIA DE SISTEMAS
FACULTAD DE INGENIERÍA DE SISTEMAS INFORMÁTICOS Y CIENCIAS DE LA COMPUTACIÓN
PROGRAMA DEL CURSO

• Identifica estrategias que ayuden a analizar y mitigar riesgos en la

auditoría de sistemas de información.

b. Específicas
• Comprende el proceso de identificación de riesgos, amenazas y
controles.
• Ejecuta el desarrollo de un análisis de riesgo, enfocado en activos de
información.
• Comprende la ejecución del proceso de comunicación y consulta de
riesgos.
• Planifica y evalúa la gestión del riesgo dentro del proceso de auditoría de
sistemas de información.

III. PROGRAMACIÓN DE CONTENIDOS

CONCEPTUALES PROCEDIMENTALES ACTITUDINALES

Determina la • Analiza la arquitectura • Respeta la estrategia y el

estrategia de empresarial de la apetito de riesgo que la
riesgos de la organización y su apetito organización ha definido.
organización a de riesgo.
auditar.

Gestiona riesgos. • Desarrolla gestión de • Atiende los riesgos de

riesgos, de acuerdo con forma costo efectiva para la
la estrategia de la organización.
organización.
Monitorea y • Desarrolla mediciones a • Comunica para la toma de
comunica el riesgo través de indicadores de decisión.
riesgos y desempeño de
controles.
• Comunica a los
interesados y a los
dueños del riesgo los
resultados de las
mediciones.
 POSTGRADO EN AUDITORIA DE SISTEMAS
FACULTAD DE INGENIERÍA DE SISTEMAS INFORMÁTICOS Y CIENCIAS DE LA COMPUTACIÓN
PROGRAMA DEL CURSO

CONCEPTUALES PROCEDIMENTALES ACTITUDINALES

Gestiona los • Aplica habilidades y • Atiende los riesgos en la

riesgos en auditoría técnicas para atender los auditoría de sistemas.
de sistemas de riesgos en el proceso de
información. auditoría.

IV. DOSIFICACIÓN DE CONTENIDOS

Semana Actividades del alumno Actividades del profesor

S1 • Presentación de Exposición participativa sobre los

- participantes. temas:
25/ENE • Actividad en clase: • Introducción al curso.
¿Dónde hay riesgos? o Actividades del curso.
o Reglas del curso.
o Bibliografía del curso.
o Proyecto integrador.
• Gestión de Riesgo:
o ¿Qué es riesgo?
o Contexto de riesgo.
o Estrategia de atención al
riesgo.

S2 • Actividad en clase, Exposición participativa sobre los

- Identificación de riesgo de temas:
1/FEB TI. • Identificación del riesgo de TI.
o Capacidad, apetito y
• Cuestionario sobre el
tolerancia de riesgo.
tema: Identificación del o Elementos de riesgo.
riesgo de TI. o Riesgos de seguridad de la
información.
o Estrategia de riesgos de TI de
la organización.
o Conceptos TI y áreas a tener
en cuenta.
o Métodos de Identificación de
riesgos.
o Escenarios de riesgo.
o Propiedad y responsabilidad.
o Registro del riesgo.
o Concientización del riesgo.
 POSTGRADO EN AUDITORIA DE SISTEMAS
FACULTAD DE INGENIERÍA DE SISTEMAS INFORMÁTICOS Y CIENCIAS DE LA COMPUTACIÓN
PROGRAMA DEL CURSO

Semana Actividades del alumno Actividades del profesor

S3 • Actividad en clase, Exposición participativa sobre los

- Metodología de análisis temas:
8/FEB de riesgos y Controles de • Evaluación del riesgo de TI.
o Técnicas de evaluación de
TI.
riesgo.
• Cuestionario sobre el o Analizando escenarios de
tema: Evaluación del riesgo.
riesgo de TI. o Estado actual de controles.
o Cambio en el ambiente de
riesgo.
o Gestión de proyecto y
programa.
o Riesgo y análisis de
controles.
o Metodologías de análisis de
riesgos.
o Calificación de riesgo
o Documentación de evaluación
de riesgo.

S4 • Actividad en clase, Exposición participativa sobre los

- respuesta y mitigación del temas:
15/FEB riesgo. • Respuesta y mitigación del riesgo
o Alineación de respuesta a
• Cuestionario sobre el
riesgos con objetivos del
tema, Respuesta y
negocio.
mitigación del riesgo.
o Opciones de respuesta del
riesgo.
o Técnicas de análisis.
o Vulnerabilidades asociadas
con nuevos controles.
o Desarrollo de plan de acción
de riesgos.
o Diseño e implementación de
controles.
o Monitoreo y efectividad de
controles.
o Tipos de riesgo.
o Objetivos, actividades y
medición de controles.
o Diseño e implementación de
sistemas de control.
 POSTGRADO EN AUDITORIA DE SISTEMAS
FACULTAD DE INGENIERÍA DE SISTEMAS INFORMÁTICOS Y CIENCIAS DE LA COMPUTACIÓN
PROGRAMA DEL CURSO

Semana Actividades del alumno Actividades del profesor

S5 • Actividad en clase, Exposición participativa sobre los

- Indicadores de riesgos y temas:
22/FEB controles. • Monitoreo e informe de riesgos y
controles.
• Cuestionario sobre el
o Indicadores de riesgo.
tema, Monitoreo e informe o Indicadores de rendimiento.
de riesgos y controles. o Técnicas y herramientas para
extraer y recolectar datos.
o Monitoreo de controles.
o Tipos de evaluación de
controles.
o Cambio en el perfil de riesgo.
S6
- PRIMER PARCIAL
1/MAR
S7 • Actividad en clase sobre Exposición participativa sobre los
- marco de riesgos de TI. temas:
8/MAR • Marco de Riesgos de TI
o Principios de marco de riesgo
o Componentes de marco de
riesgos de TI y alineación con
COBIT.
o Conceptos esenciales de
gobierno de riesgos y gestión.
S8 • Actividad en clase sobre Exposición participativa sobre los temas:
- ejecución de una auditoría • Ejecución de auditoría basada en
15/MAR. basada en riesgos. riesgos
o Información necesaria.
• Entregable 1 Proyecto o Ejecución
Integrador: Metodología o Hallazgos
de evaluación de riesgos. o Mapear la información
recolectada con el universo de
auditoría.
S9 • Caso de estudio de
- Hardvard Business
22/MAR. Review:
Midwest Health System: CASO DE ESTUDIO
Information System Risks and
Controls.
 POSTGRADO EN AUDITORIA DE SISTEMAS
FACULTAD DE INGENIERÍA DE SISTEMAS INFORMÁTICOS Y CIENCIAS DE LA COMPUTACIÓN
PROGRAMA DEL CURSO

Semana Actividades del alumno Actividades del profesor

S10 • Entregable 2 Proyecto

- Integrador: Inventario de
5/ABR. EXAMEN FINAL
activos de información.

S11
Proyecto integrador
16/ABR

V. METODOLOGÍA

Durante el desarrollo del curso, se utilizará diversidad de recursos didácticos, entre

ellos: exposición oral dinamizada, discusión de situaciones reales, lecturas
complementarias, casos de estudio, documentos y presentaciones.

VI. MEDIOS Y MATERIALES EDUCATIVO

• Herramienta de videoconferencia ZOOM.

• Computadoras.
• Presentaciones y documentos publicados en el GES para uso en las
actividades en clase.
• Ejercicios publicados en el GES.
• Documentos a ser adquiridos por los alumnos.

VII. EVALUACIÓN DE CURSO

Examen Parcial. 20 Puntos

Actividad en clase. 15 Puntos

Caso de Estudio. 10 Puntos

Cuestionarios en clase. 15 Puntos

Proyecto Integrador. 20 Puntos

Zona 80 Puntos

Examen Final 20 Puntos

Nota Final 100 Puntos

 POSTGRADO EN AUDITORIA DE SISTEMAS
FACULTAD DE INGENIERÍA DE SISTEMAS INFORMÁTICOS Y CIENCIAS DE LA COMPUTACIÓN
PROGRAMA DEL CURSO

VIII. BIBLIOGRAFÍA

• ISO27001:2013
https://www.iso.org/standard/54534.html

• ISO 31000:2018
https://www.iso.org/standard/65694.html

• ISO 27005
https://www.iso.org/standard/75281.html

• Manual de Preparación al examen CRISC 6ta Edición.

ISACA.
https://www.isaca.org/bookstore/crisc-exam-resources/crr6ed

• Manual de Preparación para el Examen CISA 27 Edición.

ISACA
https://www.isaca.org/bookstore/cisa-exam-resources/crm27ed

• CASO HBR: Midwest Health System: Information System Risks and Controls
https://store.hbr.org/product/midwest-health-system-information-system-risks-
and-controls/W19719

IX. REGLAMENTO DEL CURSO

Entrega de Investigaciones y Laboratorios:

• No se aceptarán trabajos ni laboratorios fuera del tiempo establecido en el

GES.
• Los trabajos en clase y tareas deberán ser subidas al GES en formato PDF.
• La asistencia mínima para aprobar el curso es del 80%.
• El curso se aprueba con 70 puntos.

Entrega de Proyecto Integrador:

• No se aceptarán proyectos fuera del tiempo establecido en el GES.

• Los proyectos no podrán ser en grupos mayores de 3 personas y la
calificación se realizará en forma individual.
 POSTGRADO EN AUDITORIA DE SISTEMAS
FACULTAD DE INGENIERÍA DE SISTEMAS INFORMÁTICOS Y CIENCIAS DE LA COMPUTACIÓN
PROGRAMA DEL CURSO

Comportamiento en el Salón de Clases:

• Por respeto al docente y a los demás compañeros de clase, apagar los

celulares o colocarlos en vibrador.
• No interrumpir con recurrentes entradas y salidas a la sesión de ZOOM.

Del plagio de información y copia de tareas:

• Una tarea que sea “copy/paste” completo, sin haber utilizado las técnicas
de parafraseo y cita textual de forma correcta, es motivo de anulación.
• También lo es el hecho de copiar la tarea de otro compañero del curso. En
este último caso, la nota se anulará para ambos estudiantes.

Del medio de comunicación oficial:

• Como único medio oficial de comunicación se establece el GES.

• Si el alumno necesita por extrema necesidad puede hacer uso del correo de
la Universidad Galileo.