Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
El anlisis de riesgos es parte de la planeacin de auditora y ayuda a identificar los riesgos y las
vulnerabilidades para que el auditor pueda determinar los controles necesarios para mitigarlos.
Entender la relacin entre riesgo y control es importante para los profesionales de auditora de SI y de
control, al evaluar los procesos de negocio relacionados con TI utilizados por una organizacin.
Adems de un entendimiento de los riesgos y los controles de negocio, los auditores de SI deben entender
que existe riesgo dentro del proceso de auditora como tal.
Existen muchas definiciones de riesgo, lo que quiere decir que riesgo significa cosas distintas para
diferentes personas. En general, un riesgo es cualquier evento que puede afectar de manera negativa el
logro de los objetivos de un negocio. Tal vez una de las definiciones de riesgo ms comunes en el negocio
de seguridad de informacin es la provista por las Directrices para la Administracin de Seguridad de TI
publicada por la ISO:
El potencial de que una amenaza potencial explote las vulnerabilidades de un activo o grupo de activos
ocasionando perdida o dao de los activos. El impacto o relativa severidad del riesgo es proporcional al
valor para el negocio de la prdida o dao y a la frecuencia estimada de la amenaza
Esta definicin es usada por la industria de TI ya que coloca al riesgo en un contexto organizacional
usando los conceptos de activos y prdida de valor trminos que los directivos del negocio comprenden
fcilmente.
En este contexto entonces, el riesgo tiene los elementos siguientes:
1. Amenazas a, y vulnerabilidades de los procesos y/o activos (incluyendo fsicos como de informacin)
2. Impacto sobre los activos en base a amenazas y vulnerabilidades
3. Probabilidad de amenazas (combinacin de la probabilidad y la frecuencia de ocurrencia)
Los riesgos del negocio son aquellas amenazas que pueden tener un impacto negativo sobre los activos,
procesos u objetivos de un negocio u organizacin especfica. La naturaleza de estas amenazas puede ser
financiera, regulatoria u operacional, y puede surgir como resultado de la interaccin del negocio con su
medio, o como resultado de las estrategias, sistemas, as como la tecnologa, procesos, procedimientos e
informacin particulares usados por el negocio. El auditor de SI est a menudo enfocado en asuntos de
alto riesgo asociados con la confidencialidad, disponibilidad o integridad de informacin sensitiva y
crtica, y con los sistemas y procesos subyacentes de informacin que generan, almacena y manipulan
dicha informacin.
CONTROLES INTERNOS
Las polticas, procedimientos, prcticas y estructuras organizacionales implementadas para reducir riesgos
tambin son conocidas como controles internos.
Los controles internos son desarrollados para proveer una certeza razonable de que se alcanzarn los
objetivos de negocio de una organizacin y que los eventos de riesgo no deseados sern evitados o
detectados y corregidos, ya sea por cumplimiento o por una iniciativa de la direccin. El control es el
medio por el cual se alcanzan los objetivos de control.
Existen dos aspectos claves que el control debe atender que debera lograrse y que debera evitarse- Los
controles internos no solo encaran los objetivos de negocio/operativos sino que deberan estar preparados
para los eventos no deseados a travs de la prevencin, deteccin y correccin de los mismos. Estn
clasificados como preventivos, detectivos o correctivos d acuerdo con su naturaleza:
Preventivos
Detectar problemas antes de que surjan
Monitorear las operaciones como el ingreso de datos
Tratar de predecir problemas potenciales y hacer ajustes
Impedir que ocurra un error, una omisin o un acto malicioso
Emplear solo personal calificado
Segregar funciones
Controlar acceso fsico
Establecer procedimientos adecuados para automatizar transacciones
Completar las validaciones de edicin programadas
Detectivos Usar controles que detecten y reporten que ha ocurrido un error, una misin o un acto
malicioso
Puntos de verificacin en los trabajos de produccin
Controles de eco en las telecomunicaciones
Doble verificacin de clculos
Reportes de variaciones
Reportes de cuentas vencidas
Funciones de auditora interna
Correctivos Minimizar el impacto de una amenaza. Remediar problemas descubiertos por controles
detectivos. Identificar la causa de un problema. Corregir los errores resultantes de un problema
Planeacin de contingencias
Procedimientos de respaldo
Procedimientos para segunda ejecucin de programas