ANALISIS DE RIESGOS

El anlisis de riesgos es parte de la planeacin de auditora y ayuda a identificar los riesgos y las
vulnerabilidades para que el auditor pueda determinar los controles necesarios para mitigarlos.
Entender la relacin entre riesgo y control es importante para los profesionales de auditora de SI y de
control, al evaluar los procesos de negocio relacionados con TI utilizados por una organizacin.
Adems de un entendimiento de los riesgos y los controles de negocio, los auditores de SI deben entender
que existe riesgo dentro del proceso de auditora como tal.
Existen muchas definiciones de riesgo, lo que quiere decir que riesgo significa cosas distintas para
diferentes personas. En general, un riesgo es cualquier evento que puede afectar de manera negativa el
logro de los objetivos de un negocio. Tal vez una de las definiciones de riesgo ms comunes en el negocio
de seguridad de informacin es la provista por las Directrices para la Administracin de Seguridad de TI
publicada por la ISO:
El potencial de que una amenaza potencial explote las vulnerabilidades de un activo o grupo de activos
ocasionando perdida o dao de los activos. El impacto o relativa severidad del riesgo es proporcional al
valor para el negocio de la prdida o dao y a la frecuencia estimada de la amenaza
Esta definicin es usada por la industria de TI ya que coloca al riesgo en un contexto organizacional
usando los conceptos de activos y prdida de valor trminos que los directivos del negocio comprenden
fcilmente.
En este contexto entonces, el riesgo tiene los elementos siguientes:
1. Amenazas a, y vulnerabilidades de los procesos y/o activos (incluyendo fsicos como de informacin)
2. Impacto sobre los activos en base a amenazas y vulnerabilidades
3. Probabilidad de amenazas (combinacin de la probabilidad y la frecuencia de ocurrencia)
Los riesgos del negocio son aquellas amenazas que pueden tener un impacto negativo sobre los activos,
procesos u objetivos de un negocio u organizacin especfica. La naturaleza de estas amenazas puede ser
financiera, regulatoria u operacional, y puede surgir como resultado de la interaccin del negocio con su
medio, o como resultado de las estrategias, sistemas, as como la tecnologa, procesos, procedimientos e
informacin particulares usados por el negocio. El auditor de SI est a menudo enfocado en asuntos de
alto riesgo asociados con la confidencialidad, disponibilidad o integridad de informacin sensitiva y
crtica, y con los sistemas y procesos subyacentes de informacin que generan, almacena y manipulan
dicha informacin.
CONTROLES INTERNOS
Las polticas, procedimientos, prcticas y estructuras organizacionales implementadas para reducir riesgos
tambin son conocidas como controles internos.
Los controles internos son desarrollados para proveer una certeza razonable de que se alcanzarn los
objetivos de negocio de una organizacin y que los eventos de riesgo no deseados sern evitados o
detectados y corregidos, ya sea por cumplimiento o por una iniciativa de la direccin. El control es el
medio por el cual se alcanzan los objetivos de control.
Existen dos aspectos claves que el control debe atender que debera lograrse y que debera evitarse- Los
controles internos no solo encaran los objetivos de negocio/operativos sino que deberan estar preparados
para los eventos no deseados a travs de la prevencin, deteccin y correccin de los mismos. Estn
clasificados como preventivos, detectivos o correctivos d acuerdo con su naturaleza:

Preventivos
Detectar problemas antes de que surjan
Monitorear las operaciones como el ingreso de datos
Tratar de predecir problemas potenciales y hacer ajustes
Impedir que ocurra un error, una omisin o un acto malicioso
Emplear solo personal calificado
Segregar funciones
Controlar acceso fsico
Establecer procedimientos adecuados para automatizar transacciones
Completar las validaciones de edicin programadas

Detectivos Usar controles que detecten y reporten que ha ocurrido un error, una misin o un acto
malicioso
Puntos de verificacin en los trabajos de produccin
Controles de eco en las telecomunicaciones
Doble verificacin de clculos
Reportes de variaciones
Reportes de cuentas vencidas
Funciones de auditora interna

Correctivos Minimizar el impacto de una amenaza. Remediar problemas descubiertos por controles
detectivos. Identificar la causa de un problema. Corregir los errores resultantes de un problema
Planeacin de contingencias
Procedimientos de respaldo
Procedimientos para segunda ejecucin de programas

OBJETIVOS DEL CONTROL INTERNO

Los objetivos de control interno son declaraciones del resultado deseado o del propsito a ser alcanzado
con la implementacin de procedimientos de control en una actividad particular. En otras palabras, control
es el medio por el cual se alcanzan los objetivos de control. Estos generalmente incluyen los siguientes:
Controles internos contables: Principalmente dirigidos a las operaciones contables tales como la
salvaguarda de activos y la confiabilidad de los registros financieros.
Controles operativos: Dirigidos a las operaciones, funciones y actividades cotidianas para asegurar que la
operacin est alcanzando los objetivos de negocio.
Controles Administrativos: Se ocupan de la eficiencia operativa de un rea funcional y la adherencia a
las polticas de la direccin incluyendo controles operativos.
Estos tipos de control incluyen aquellos controles relacionados con el entorno tecnolgico. Los objetivos
de control incluyen:
Salvaguarda de los activos de tecnologa de informacin
Cumplimiento con las polticas corporativas o requerimientos legales
Autorizacin/introduccin de informacin
Exactitud e integridad del procesamiento de transacciones
Salida de informacin
Confiabilidad de los procesos
Respaldo y recuperacin
Eficiencia y economa de las operaciones

OBJETIVOS DE CONTROL DE LOS SISTEMAS DE INFORMACION

Los objetivos de control interno se aplican a todas las reas, ya sean manuales o automatizadas. Por lo
tanto, los objetivos de control interno deben ser encarados en una forma especfica para los procesos con
SI.
Los objetivos de control de SI incluyen:
Salvaguarda de Activos: La informacin en los sistemas automatizados est protegida contra accesos
inadecuados y se la mantiene actualizada.
Asegurar la integridad de los ambientes de sistemas operativos en general:
incluyendo la administracin y operaciones de la red.
Asegurar la integridad de los ambientes de sistemas de aplicacin sensitivos y crticos, incluyendo
informacin contable/financiera y gerencial a travs de:
Autorizacin para el ingreso de datos
Exactitud e integridad del procesamiento de transacciones
Confiabilidad de las actividades de procesamiento
Exactitud, integridad y seguridad de la informacin de salida
Integridad de la base de datos

Mejores prcticas de la auditora en informtica

Las mejores prcticas son directrices que permiten a las empresas modelar sus procesos para que se
ajusten a sus propias necesidades, proporcionan a las empresas y/o organizaciones mtodos utilizados
para estandarizar procesos y administrar de una mejor manera los entornos de TI.
Las empresas que deseen utilizar un enfoque basado en mejores prcticas para la estandarizacin de
estas directrices, tienen como opcin varias metodologas que sern descritas a lo largo de este
captulo.
A continuacin se presenta un marco en el que se pueden encerrar las mejores prcticas de la
auditora, dado que todas responden al siguiente esquema:
Identificacin
Buscan definir las necesidades de la organizacin que deben ser identificadas respecto de la
auditora, as como las debilidades propias, a fin de determinar el objetivo a seguir.
Administracin de calidad total
Incorporan conceptos de calidad total aplicada a la auditora sobre la base de la mejora
continua, con el pertinente concepto de medicin y evaluacin de resultados.
Comunicacin
Buscan establecer un proceso de comunicacin interna que propenda a informar lo actuado,
lo planeado y las mejoras obtenidas.
Tecnologa
Recomiendan emplear recursos de tecnologa informtica al proceso de auditoras
privilegiando la eficacia, eficiencia y oportunidad en los resultados de las revisiones.
Interrelacin externa
Proponen mantener estrechas relaciones profesionales con otras gerencias de auditora a fin
de intercambiar estrategias, criterios y resultados.
Agente de cambio
Proporcionan las bases para posicionar a la Auditora como un agente de cambio en la
organizacin a fin de implementar la auto evaluacin del control.
Reingeniera de auditora
Proponen el cambio funcional proyectando a los auditores como facilitadores de la auto
evaluacin del control.
Aseguramiento de la informacin
El aseguramiento de la informacin es la base sobre la que se construye la toma de decisiones de una
organizacin. Sin aseguramiento, las empresas no tienen certidumbre de que la informacin sobre la
que sustentan sus decisiones es confiable, segura y est disponible cuando se le necesita.
Definimos Aseguramiento de la Informacin como la utilizacin de informacin y de diferentes
actividades operativas, con el fin de proteger la informacin, los sistemas de informacin y las redes
de forma que se preserve la disponibilidad, integridad, confidencialidad, autenticacin y el no
repudio, ante el riesgo de impacto de amenazas locales, o remotas a travs de comunicaciones e
Internet.
Una tarea de aseguramiento puede darse a cualquier nivel, por lo que a continuacin se describe
brevemente las ms importantes.
Aseguramiento de los Datos
Referente la informacin histrica o prospectiva, probabilstica e indicadores de desempeo.

Aseguramiento de los Procesos

Basado principalmente en controles internos y procedimientos establecidos para la
proteccin de intereses.
Aseguramiento del Comportamiento
Conformidad con normas, regulaciones o mejores prcticas.
Aseguramiento del Sistema de Gestin
En la que los objetivos del negocio son establecidos para proteger a todos los involucrados:
directivos y empleados.
Aseguramiento de la calidad de la informacin
La administracin del aseguramiento de la calidad valida que los sistemas de informacin producidos
por la funcin de sistemas de informacin logren las metas de calidad y que el desarrollo,
implementacin, operacin, y mantenimiento de los sistemas de informacin, cumplan con un
conjunto de normas de calidad.
En la actualidad es ms comn ver que los usuarios se estn haciendo ms exigentes en trminos de
la calidad del software que emplean para realizar su trabajo, por ello actualmente el aseguramiento de
la calidad ha tomado mayor importancia en muchas organizaciones.
Las organizaciones se estn comprometiendo en proyectos de sistemas de informacin que tienen
requerimientos de calidad ms estrictos y se preocupan cada vez ms sobre sus responsabilidades
legales al producir y vender software defectuoso.
Debido a esto, mejorar la calidad del software es parte de una tendencia universal entre las
organizaciones proveedoras para mejorar la calidad de los productos y los servicios que ofrecen,
agregando valor a los controles de produccin, implementacin, operacin y mantenimiento del
software.