Auditoras Integradas-Modelo Prctico

Una auditora integrada es el proceso en el cual se combinan las disciplinas de auditora

(operaciones, financieras, legal, TI, otros) para evaluar los riesgos y controles claves de proceso de
negocio, producto o servicio organizacional. Se enfoca en los riesgos operacionales, tecnolgicos,
financieros, regulatorios, cumplimiento, cumplimiento, de imagen/reputacin, fraude y entre
otros. Est basado en las normas ISO 27005:2008 y COSO.

FASE DE ANALISIS( Se analiza el entorno de la organizacin y se enfoca conocer estrategias,

contexto y proceso del servicio, producto o negocio)

Estrategias: Los auditores necesitan conocer las estrategias del negocio y como se aplican para
verificar si los procesos estn alineados a las estrategias.

Contexto: Los auditores deben investigar todas las caractersticas del proceso, servicio o producto
como su diseo y operacin, rea responsable, importancia, canales que se utilizan para ofrecer
los servicios o productos. Por ejm: Banca electrnica se ofrece en los cajeros automticos, rea de
finanzas y tecnologa. Se deben documentar los eventos de riesgo con una descripcin breve, la
cantidad ocurrida, su causa y el impacto que origin. Debe ver si las acciones realizadas por la
administracin lo mitigado o administrado.

Debe estudiar el organigrama para los actores claves y sus estrategias, evalua el rendimiento de
las acciones estratgicas si van de acorde a las estrategias. METER EJEMPLO DE REDUCCION DE
COSTOS.
Debe conocer las restricciones que limitan la operacin del proceso, pueden ser de tipo poltica
interna, ley, norma regulatoria para ver a qu tipo de sancin estara y cul sera el impacto en su
incumplimiento.

Diagrama de Proceso

Sirve para documentar las actividades del proceso sujeto a evaluacin.

En el beneficios encontramos:

Reconocer actores claves e identificar funciones y riesgos.

Identificar las dependencias de la tecnologa.
Conocer los controles de riesgos.
Conocer el flujo que siguen los datos y/o activos tecnolgicos.

Los entregables de la fase de anlisis contrbuyen a las metas estratgicas, para saber las
limitaciones de los procesos, riesgos, activos tecnolgicos que soportan a los procesos y los
#riesgos y controles que el equipo de audirotes detecta.

FASE DE EVALUACIN (Se realiza una evaluacin del control interno y gestin de riesgos, activos
tecnolgicos, controles y criterios vs. Riesgos identificados.

Diagnstico de Control Interno y Gestin de Riesgos

El Diagnstico de Control Interno y Gestin de Riesgos se basa en 8 componentes de COSO.

Activos Tecnolgicos

El auditor de TI determina los riesgos de los activos en base a la sensibilidad, vulnerabilidad,

amenazas y probabilidad de ocurrencia de eventos de amenaza.

La evaluacin sensible se lleva a cabo de la siguiente manera:

Valor=1: El riesgo puede resultar en poca o nula prdida o dao.

Valor=2: El riesgo puede resultar en prdida o dao menor.

Valor=3: El riesgo puede resultar en prdida o dao serio y los procesos del negocio pueden
verse afectados negativamente.

Valor=4: El riesgo puede resultar en una prdida o dao serio y los procesos de negocio pueden
fallar o interrumpirse.

Valor=5: El riesgo puede resultar en altas perdidas de dinero o en un dao critico a un individuo
o el bienestar, reputacin, privacidad y o competitividad de la empresa. Los procesos del negocio
fallaran.

La vulnerabilidad se evala en base a su severidad y exposicin, podra valorarse as:

Severidad Menor, Valor=1: Se requiere una cantidad significativa de recursos para explotar la
vulnerabilidad tiene poco potencial de prdida o dao en el activo.

Severidad Moderada, Valor=2: Se requiere una cantidad significativa de recursos para explotar la
vulnerabilidad y tiene un potencial significativo de prdida o dao en el activo, o se requiere pocos
recursos para explotar la vulnerabilidad y tiene un potencial moderado de prdida o dao en el
activo.

Severidad Alta, Valor=3: Se requiere pocos recursos para explotar la vulnerabilidad y tiene un
potencial significativo de prdida o dao en el activo.

Exposicin Menor, Valor=1: Los efectos de la vulnerabilidad son mnimos. No incrementa la

probabilidad de que vulnerabilidades adicionales sean explotadas.

Exposicin Moderada, Valor=2: La vulnerabilidad puede afectar a ms que un elemento o

componente del sistema. La explotacin de la vulnerabilidad aumenta la probabilidad de explotar
vulnerabilidades adicionales.
 Exposicin Alta, Valor=3: La vulnerabilidad afecta a la mayora de los componentes del sistema.
La explotacin de la vulnerabilidad aumenta significativamente la probabilidad de explotar
vulnerabilidades adicionales.

La capacidad y motivacin en la amenaza puede valorarse de la siguiente manera:

Capacidad Menor, Valor=1: Poca o nula de realizar el ataque.

Capacidad moderada, Valor=2: Se tiene el conocimiento y habilidades para realizar el ataque,

pero pocos recursos o tiene suficientes recursos pero conocimiento y habilidades limitadas.

Capacidad Alta, Valor=3: Se tiene los conocimientos, habilidades y recursos necesarios para
realizar el ataque.

Motivacin Menor, Valor=1: Poca o nula motivacin. No se est inclinando a actuar.

Motivacin Moderada, Valor=2: Se actuar si se le pide o provoca.

Motivacin Alta, Valor=3: Casi seguro que intentar el ataque.

La evaluacin de la probabilidad puede ser:

Baja, Valor=1: No hay historial y es raro que el escenario de amenaza ocurra.

Media, Valor=2: Se han presentado casos y puede ocurrir el escenario de amenaza.

Alta, Valor=3: Se han presentado suficientes casos y el escenario de amenaza seguramente

ocurrir. Cada unidad de auditora establece los criterios necesarios para decidir cules de los
riesgos presentes en los activos tecnolgicos requieren ser evaluados.