Вы находитесь на странице: 1из 80

DIRECTRICES DE AUDITORIA

Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de la Tecnologa de Informacin (TI) Relacionada. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticidad emerge de:
La creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de informacin La escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin; y El potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos

Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos mas valiosos de la empresa. Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la Gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Por lo tanto, la Administracin requiere niveles de servicio que presenten incrementos
en calidad, en funcionalidad y en facilidad de uso, as como un mejoramiento continuo y una disminucin de los tiempos de entrega; al tiempo que demanda que esto se realice a un costo ms bajo.

Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones exitosas, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nuevas tecnologas.

Hay numerosos cambios en TI y en su ambiente de operacin que enfatiza la necesidad de un mejor manejo relacionado con los riesgos de TI. La dependencia en la informacin electrnica y en los sistemas de TI son esenciales para soportar los procesos crticos del negocio. Adicionalmente, el ambiente regulatorio demanda control estricto sobre la informacin. Esto a su vez conduce a un incremento de los desastres en los sistemas de informacin y al incremento del fraude electrnico. La Administracin de los riesgos relacionados con TI est siendo entendido como un aspecto clave en el gobierno o direccin empresarial.

Dentro del Gobierno Empresarial, el Gobierno / Gobernabilidad de TI se est volviendo mas y mas importante y est definido como una estructura de relaciones y procesos para dirigir y controlar a la empresa con el fin que sta pueda cumplir sus metas dando valor agregado mientras balancea sus riesgos versus el retorno sobre TI y sus procesos. El Gobierno de TI es parte integral del xito de la Gerencia de la Empresa al asegurar mejoras medibles, eficientes y efectivas de los procesos relacionados de la empresa.

El Gobierno de TI provee las estructuras que unen:


los procesos de TI, los recursos de TI y La informacin con las estrategias y los objetivos de la empresa.

Adems, el Gobierno de TI integra e institucionaliza buenas (o mejores) prcticas de:


planeacin y organizacin, adquisicin e implementacin, entrega de servicios y soporte y monitorea el desempeo de TI

para asegurar que la informacin de la empresa y las tecnologas relacionadas soportan sus objetivos del negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su informacin logrando con esto maximizar sus beneficios, capitalizar sus oportunidades y obtener ventaja competitiva.

Las organizaciones deben cumplir con requerimientos de


calidad, fiduciarios y de seguridad,

tanto para su informacin, como para sus activos. La Administracin deber adems optimizar el empleo de sus recursos disponibles, los cuales incluyen:
Aplicaciones Informacin, Infraestructura, y Personas.

Para cumplir con esta responsabilidad, as como para alcanzar sus objetivos, la Administracin debe
entender el estado de sus propios sistemas de TI y decidir el nivel de seguridad y control que deben proveer estos sistemas.

Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT), ahora en esta tercera edicin, ayuda a satisfacer las mltiples necesidades de la Administracin estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos tcnicos. Provee buenas prcticas a travs de un dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable y lgica. Las Buenas prcticas de COBIT rene el consenso de expertos - quienes ayudarn a optimizar la inversin de la informacin y proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades van por el camino equivocado.

LA NECESIDAD DE CONTROL EN TECNOLOGIA DE INFORMACION


En los ltimos aos , ha sido cada vez ms evidente la necesidad de un Marco Referencial para la seguridad y el control de tecnologa de informacin (TI). Las organizaciones exitosas requieren una apreciacin y un entendimiento bsico de los riesgos y limitaciones de TI a todos los niveles dentro de la empresa con el fin de obtener un efectiva direccin y controles adecuados.

LA ADMINISTRACION (MANAGEMENT)
Debe decidir cual es la inversin razonable en seguridad y en control en TI y cmo lograr un balance entre riesgos e inversiones en control en un ambiente de TI frecuentemente impredecible. Mientras la seguridad y los controles en los sistemas de informacin ayudan a administrar los riesgos, no los eliminan. Adicionalmente, el exacto nivel de riesgo nunca puede ser conocido ya que siempre existe un grado de incertidumbre.

Finalmente, la Administracin debe decidir el nivel de riesgo que est dispuesta a aceptar. Juzgar cual puede ser el nivel tolerable, particularmente cuando se tiene en cuenta contra el costo, puede ser una decisin difcil para la Administracin. Por esta razn, la Administracin necesita un marco de referencia de las prcticas generalmente aceptadas de control y seguridad de TI para compararlos contra el ambiente de TI existente y planeado.

Existe una creciente necesidad entre los USUARIOS de los servicios de TI, de estar protegidos a travs de la acreditacin y la auditora de servicios de TI proporcionados internamente o por terceras partes, que aseguren la existencia de controles y seguridades adecuadas. Actualmente, sin embargo, es confusa la implementacin de buenos controles de TI en sistemas de negocios por parte de entidades comerciales, entidades sin fines de lucro o entidades gubernamentales. Esta confusin proviene de los diferentes mtodos de evaluacin, tales como ITSEC, TCSEC, evaluaciones ISO 9000, nuevas evaluaciones de control interno COSO, etc. Como resultado, los usuarios necesitan que se establezca una base general como un primer paso.

Frecuentemente, los AUDITORES han tomado el liderazgo en estos esfuerzos internacionales de estandarizacin, debido a que ellos enfrentan continuamente la necesidad de sustentar y apoyar su opinin acerca de los controles internos frente a la Gerencia. Sin contar con un marco referencial, sta se convierte en una tarea demasiado complicada. Incluso, la administracin consulta cada vez ms a los auditores para que la asesoren en forma proactiva en lo referente a asuntos de seguridad y control de TI.

COBIT Y LAS DIRECTRICES DE AUDITORA


Las Directrices de Auditora ofrecen una herramienta complementaria para la fcil aplicacin del Marco Referencial y los Objetivos de Control COBIT dentro de las actividades de auditora y evaluacin. El propsito de las Directrices de Auditora es contar con una estructura sencilla para auditar y evaluar controles, con base en prcticas de auditora generalmente aceptadas y compatibles con el esquema global COBIT.

Los objetivos y prcticas individuales varan considerablemente de organizacin a organizacin y existen muchos tipos de practicantes dedicados a actividades relacionadas con la auditora; por ejemplo:
auditores externos, auditores internos, evaluadores, revisores de calidad, y asesores tcnicos.

Por estas razones, las Directrices de Auditora tienen una estructura genrica y de alto nivel.

Los auditores deben cumplir con algunos requerimientos generales para proporcionar a los directivos y a los propietarios o dueos de los procesos de negocios, seguridad y asesora respecto a los controles en una organizacin:
ofrecer una seguridad razonable de que se est cumpliendo con los objetivos de control correspondientes; identificar dnde se encuentran las debilidades significativas en dichos controles; justificar los riesgos que pueden estar asociados con tales debilidades, y finalmente, aconsejar a estos ejecutivos sobre las medidas correctivas que deben adoptarse.

COBIT ofrece polticas claras y prcticas eficaces en materia de seguridad y para los controles de informacin y la tecnologa asociada. Por tanto, las Directrices de Auditora firmemente basados en los Objetivos de Control, toman la opinin del auditor a partir de la conclusin de auditora, remplazndola con criterios normativos (41 estndares y mejores prcticas tomadas de normas privadas y pblicas aceptadas a nivel mundial).

Estas Directrices de Auditora proporcionan guas para preparar planes de auditora que se integran al Marco Referencial de COBIT y a los Objetivos de Control detallados. Deben ser usados conjuntamente con estos dos ltimos, y a partir de ah pueden desarrollarse programas especficos de auditora. Sin embargo, las Directrices no son exhaustivas ni definitivas. No pueden incluir todo ni ser aplicables a todo, as que debern ajustarse a condiciones especficas.

No obstante, hay cuatro cosas que las Directrices no son:


1. Las Directrices de Auditora no pretenden ser una herramienta para crear el plan global de auditora que considera
una amplia gama de factores, incluyendo debilidades anteriores, riesgo de la organizacin, incidentes conocidos, nuevos acontecimientos, y seleccin de estrategias.

No obstante, hay cuatro cosas que las Directrices no son:


Aun cuando el Marco Referencial y los Objetivos de Control ofrecen algunas orientaciones, los alcances de las Directrices no incluyen una gua precisa para actividades especficas. 2. Las Directrices de Auditora no estn diseados como instrumento para ensear las bases de la auditora, aun cuando incorporen los elementos normalmente aceptados de la auditora general y de TI.

No obstante, hay cuatro cosas que las Directrices no son:


3. Las Directrices de Auditora no pretenden explicar en detalle la forma en que pueden utilizarse las herramientas computarizadas para apoyar y automatizar los procesos de auditora a TI, en materia de planeacin, evaluacin, anlisis y documentacin (que estn incluidas, pero no se limitan a ellas, en las Tcnicas de Auditora Asistidas por Computador).

No obstante, hay cuatro cosas que las Directrices no son:


Existe un enorme potencial para usar la tecnologa de informacin dirigida a aumentar la eficiencia y efectividad de las auditoras, pero una orientacin en este sentido, tampoco est dentro de los alcances de las Directrices. 4. Las Directrices de Auditora no son exhaustivas ni definitivas, pero se desarrollarn conjuntamente con COBIT y sus Objetivos de Control detallados.

Las Directrices de Auditora de COBIT permiten al auditor


comparar los procesos especficos de TI con los Objetivos de Control de COBIT recomendados
Para ayudar a los directivos a identificar en qu casos los controles son suficientes, o para asesorarlos respecto a los procesos que requieren ser mejorados.

Desde el punto de vista de los directivos, los propietarios de los procesos harn las preguntas:
Estoy haciendo lo correcto?, y si no es as: Qu puedo hacer para corregirlo?

El Marco Referencial y las Directrices de Auditora COBIT ayudarn a responder a estas preguntas. El enfoque ofrece una perspectiva reactiva, mientras que los auditores necesitan tambin apoyar a la directiva de una manera proactiva. El Marco Referencial y las Directrices de Auditora pueden aplicarse igualmente en forma proactiva en las primeras etapas de los procesos y el desarrollo de proyectos, al responder a la pregunta:
Qu es lo que necesito hacer ahora para no tener que ajustarlo o corregirlo despus?

ESTRUCTURA GENERAL DE LAS DIRECTRICES DE AUDITORA


El modelo ms comn para evaluar el control es el modelo de auditora. Otro enfoque que se est adoptando cada vez ms es el modelo de anlisis de riesgos. Todos aquellos involucrados en la evaluacin del control pueden inclinarse por cualquiera de los dos modelos.

Los objetivos de la auditora son para:


Proporcionar administracin con aseguramiento razonable de que se estn cubriendo los objetivos de control, En donde existan debilidades de control significativas, justificar los riesgos resultantes, y Aconsejar a la administracin sobre acciones correctivas.

La estructura generalmente aceptada del proceso de auditora es:


Identificacin y documentacin Evaluacin Pruebas de cumplimiento Pruebas sustantivas

El proceso de TI, por lo tanto, se audita mediante:


La obtencin de un entendimiento de los riesgos relacionados con los requerimientos del negocio y de las medidas relevantes de control La evaluacin de la conveniencia de los controles establecidos La valoracin del cumplimiento probando si los controles establecidos estn funcionando como se espera, de manera consistente y continua La comprobacin que existe el riesgo de que los objetivos de control no se estn cumpliendo mediante el uso de tcnicas analticas y/o consultando fuentes alternativas.

Con el objetivo de brindar asistencia a la administracin en la forma de asesora de aseguramiento, hemos desarrollado esta estructura dentro de un marco referencial fundamentado en los requerimientos del COBIT:
Presentacin en un enfoque de niveles Orientacin hacia los objetivos del negocio Orientado en funcin del proceso Enfocado sobre
Los recursos que necesitan administrarse Los criterios de informacin que se requieren

En el nivel ms alto, este enfoque general de auditora est apoyado por:


El Marco Referencial de COBIT, particularmente el resumen con la clasificacin de los procesos de TI, los criterios de informacin aplicables y los recursos de TI. Los requerimientos para el proceso de auditora mismo. Los requerimientos genricos para la auditora de procesos de TI. Los principios generales de control.

El segundo nivel est compuesto por las Directrices detalladas de auditora para cada uno de los procesos de TI como se muestra en la seccin principal del manual pertinente. Las Directrices han sido presentadas en una plantilla estndar que sigue la estructura general de:
Obtencin, Evaluacin, Valoracin y Comprobacin.

Esta plantilla ha sido aplicada a las Directrices de Auditora Genricas de TI, as como tambin a las Directrices de Auditora Detalladas.

En el tercer y ltimo nivel, el auditor puede complementar las Directrices de Auditora para cubrir las condiciones locales, conduciendo la fase de planeacin de auditora con puntos de atencin de auditora que influyen sobre los objetivos detallados de control mediante:
Criterios especficos del sector Estndares de la industria Elementos especficos de la plataforma Tcnicas detalladas de control empleadas

Importante para este nivel es el hecho de que los objetivos de control no son necesariamente aplicables en todos los casos y en cualquier lugar. Por lo tanto se sugiere que se realice una evaluacin de riesgos de alto nivel para determinar sobre qu objetivos se necesita enfocarse especficamente y cules pueden ignorarse.

Todos estos elementos se ofrecen para apoyar la planeacin y la realizacin de las auditoras de TI, y para una mejor aplicacin integrada de las directrices / lineamientos detallados de auditora. Las directrices no son exhaustivas y apoyo (guas genricas, requerimientos del proceso de auditora y observaciones de control) ayudar a los auditores a desarrollar el programa de auditora que necesitan.

REQUERIMIENTOS DEL PROCESO DE AUDITORA


Una vez definido qu vamos a auditar y sobre qu vamos a proporcionar aseguramiento, tenemos que determinar el enfoque o estrategia ms apropiada para llevar a cabo el trabajo de auditora. Primero tenemos que determinar el alcance correcto de nuestra auditora. Para lograrlo, necesitamos investigar, analizar y definir:
Los procesos del negocio involucrados; Las plataformas y los sistemas de informacin que estn apoyando el proceso del negocio, as como la interconectividad con otras plataformas o sistemas; Los roles y responsabilidades de TI definidas, incluyendo las correspondientes al outsourcing interno y/o externo; y Los riesgos del negocio y las decisiones estratgicas asociadas.

El siguiente paso es identificar los requerimientos de informacin que tienen una relevancia particular con respecto a los procesos del negocio. Luego necesitaremos identificar los riesgos inherentes de TI, as como el nivel general de control que puede asociarse con el proceso del negocio. Para lograrlo, identificamos:
Los cambios recientes en el ambiente del negocio que tienen impacto sobre TI; Los cambios recientes al ambiente de TI, nuevos desarrollos, etc.; Los incidentes recientes relevantes para los controles y el ambiente del negocio; Los controles de monitoreo de TI aplicados por la administracin; Los reportes recientes de auditora y/o certificacin; y Los resultados recientes de auto evaluaciones.

Basndonos en la informacin obtenida, ahora podemos seleccionar los procesos relevantes de COBIT, as como tambin los recursos que aplican a los mismos. Esto pudiera requerir que ciertos procesos de COBIT necesiten auditarse varias veces, cada vez para una plataforma o sistema distinto. El auditor deber determinar una estrategia de auditora basndose en el plan detallado de auditora que debe elaborarse con ms profundidad, por ejemplo, si uno busca un enfoque basado en controles o un enfoque sustantivo. Finalmente, necesitan considerarse todos los pasos, tareas y puntos de decisin para llevar a cabo la auditora.

DIRECTRIZ GENERAL DE AUDITORA DE TI


La plantilla siguiente presenta los requerimientos genricos para auditar procesos de TI para brindar el primer nivel de las directrices de auditora, generalmente aplicables a todos los procesos. Est primordialmente orientado hacia la comprensin del proceso y la determinacin de la propiedad y deber ser el fundamento y el marco referencial para todos las directrices detalladas de auditora.

Esta misma plantilla se aplica luego a todos los procesos que se identifican en el Marco Referencial de COBIT.

OBSERVACIONES DEL PROCESO DE CONTROL

Los principios generales de control tambin pueden proporcionar una gua adicional sobre cmo complementar las Directrices de Auditora. Estos principios estn primordialmente enfocados sobre el proceso y las responsabilidades del control, los estndares de control y los flujos de la informacin de control. El control, desde el punto de vista de la administracin, se define como el determinar qu se est logrando; esto es, evaluar el desempeo y si es necesario aplicar medidas correctivas para que el desempeo est de acuerdo con lo planeado.

El proceso de control consiste de cuatro pasos.


Primero, se especifica un estndar de desempeo deseado para un proceso. Segundo, existe un medio de saber qu esta sucediendo en el proceso, por ejemplo, el proceso proporciona informacin de control a una unidad de control. Tercero, la unidad de control compara la informacin con el estndar. Cuarto, si lo que realmente est sucediendo no cumple con el estndar, la unidad de control dirige aquella accin correctiva a tomar, en forma de informacin para el proceso.

A partir de este modelo, las siguientes observaciones de control pueden resultar relevantes para la auditora:
1. Para que este modelo funcione, la responsabilidad por el proceso del negocio (o en este caso, de TI) debe ser claro y la responsabilidad no debe ser ambigua. Si no es as, la informacin de control no fluir y no podr tomarse accin correctiva. 2. Los estndares pueden ser de una amplia variedad, desde planes y estrategias de alto nivel hasta indicadores clave de desempeo (KPI Key Performance Indicators) y factores crticos de xito (CSF Critical Success Factors). Los estndares claramente documentados, mantenidos y comunicados son necesarios para un buen proceso de control. La responsabilidad clara por la custodia de dichos estndares tambin es un requerimiento para un buen control. 3. El proceso de control tiene los mismos requerimientos: bien documentado en cuanto a cmo funciona y con responsabilidades claras. Un aspecto importante es la clara definicin de lo que constituye una desviacin, esto es, cules son los lmites de desviacin.

4. La oportunidad, integridad y conveniencia de la informacin de control, as como tambin otra informacin, son bsicas para el buen funcionamiento de un sistema de control y es algo que el auditor debe tratar. 5. Tanto la informacin de control como la informacin de accin correctiva tendrn que cumplir los requerimientos de evidencia, con el fin de establecer la responsabilidad despus del evento.

Los controles tambin operan en diferentes niveles dentro del ciclo tradicional de PlanearHacer-Verificar-Corregir con el que la administracin se siente cmoda. Este modelo ilustra:
La secuencia lgica de planear-hacer-verificar y corregir el plan si es necesario: Cmo sucede esto a nivel estratgico, tctico y administrativo; Las diversas relaciones laterales y horizontales
El hacer estratgico da como resultado planeacin tctica; el hacer tctico da como resultado planeacin administrativa; Las actividades de verificar y hacer cooperan e influyen continuamente una con otra; y La actividad administrativa de verificar reporta a verificar tctico, quien a su vez reporta a verificar estratgico.

Cuando se evalan mecanismos de control, los revisores debern estar conscientes de que estos controles operan en estos diferentes niveles y de que tienen relaciones intrnsecas. La orientacin hacia el proceso de COBIT proporciona algunas indicaciones acerca de los diferentes:
procesos de control, niveles e interrelaciones,

pero la implementacin o valoracin real de los sistemas de control requiere tomar en cuenta esta compleja dimensin adicional.

COLOCNDOLAS TODAS JUNTAS


En resumen, las Directrices de Auditora detalladas siempre pueden complementarse tomando en cuenta el Lineamiento Genrico y el proceso bajo revisin, y obteniendo tareas de auditora adicionales para lograr el objetivo de auditora. El desarrollo del programa de auditora en s puede beneficiarse de tomar en consideracin los requerimientos del proceso de auditora de TI, el Marco Referencial de COBIT y los Objetivos de Control de Alto Nivel, y las Consideraciones de Control que se muestran aqu.

RELACIN ENTRE LOS OBJETIVOS DE CONTROL Y LAS DIRECTRICES DE AUDITORA


Los objetivos han sido desarrollados a partir de una orientacin al proceso porque la administracin est buscando asesora proactiva sobre cmo tratar el problema de mantener TI bajo control. Los Objetivos de Control ayudan a la administracin a establecer el control sobre el proceso, las Directrices de Auditora ayudan al auditor o asesor a asegurar que el proceso est realmente bajo control, de tal manera que los requerimientos de informacin necesarios para lograr los objetivos del negocio sern satisfechos. La relacin entre estos dos conceptos es el proceso, por lo que las Directrices de Auditora han sido desarrolladas para cada uno de los procesos, en oposicin a cada uno de los objetivos de control.

En cuanto al marco referencial de control representado por el modelo de cascada, las Directrices de Auditora pueden verse como los elementos que proporcionan retroalimentacin a partir de los procesos de control para los objetivos del negocio. Los objetivos de control son la gua que baja por la cascada para tener el proceso de TI bajo control. Las Directrices de Auditora son la gua para regresar a la parte superior de la cascada con la pregunta:
Hay seguridad de que se logre el objetivo del negocio?

Algunas veces, las Directrices de Auditora son traducciones literales de los Objetivos de Control; con mayor frecuencia, las Directrices buscan la evidencia de que el proceso est bajo control.

OPORTUNIDADES Y RETOS PARA LAS TAREAS DE EVALUACIN


La utilizacin del Marco Referencial, los Objetivos de Control y las Directrices de Auditora como fundamento para la tarea de auditora/valoracin nos presenta algunas ventajas definitivas:
Permite dar prioridad a las actividades de auditora y reas bajo revisin, utilizando las calificaciones Primaria y Secundaria de los criterios de informacin; Conduce a reas de investigacin que normalmente sin un marco referencial o modelo no seran tratadas; Puede desarrollarse una planeacin y secuencia de entrevistas ms lgica conforme los auditores avanzan en el proceso; Las investigaciones pueden enfocarse utilizando el indicador de qu recurso es ms importante en qu proceso; y Como un estndar para definir las reas de TI auditables para el plan estratgico de auditora, con el fin de asegurar
La cobertura efectiva de la auditora La adquisicin/desarrollo oportuno de las habilidades necesarias para la auditora.

Sin embargo, existen algunos retos en cuanto a la integracin del marco referencial y de los objetivos dentro del trabajo de auditora:
El cambio nunca es fcil (actitud, conjunto de herramientas, conjunto de habilidades, etc.); La naturaleza detallada hace difcil la aplicacin inicial, especialmente cuando se est verificando la completitud y aplicabilidad de los objetivos de control para el rea bajo revisin; Existe un grado necesario de repeticin en las Directrices de Auditora porque rara vez hay una relacin uno-a-uno entre el objetivo de control y los mecanismos de control, un mecanismo contribuye de varias maneras a varios objetivos, un objetivo necesita de varios mecanismos para lograr su cometido; y Refuerza cierto formalismo (por ejemplo, registrar informacin previa) que puede parecer innecesario.

ANLISIS DE RIESGOS COMO UN ENFOQUE ALTERNATIVO DE EVALUACIN


El balance entre costo y riesgo es el siguiente problema a tratar, esto es, tomar una decisin consciente de cmo se va a implementar cada uno de los objetivos de control y si se van a implementar. Los enfoques de anlisis de riesgos tratan esta decisin, a pesar de que permanece el principio proactivo; los objetivos de control debern aplicarse en primera instancia para lograr unos criterios de control de informacin (efectividad, eficiencia, confidencialidad, disponibilidad, integridad, cumplimiento y confiabilidad). Es evidente que la administracin necesita utilizar alguna forma de evaluacin de riesgos del negocio para definir las medidas a implementar. Los auditores tambin llevarn a cabo alguna forma de evaluacin de riesgos cuando elijan los dominios del proceso y los objetivos de control para la revisin.

Un enfoque comnmente aceptado para el anlisis de riesgos en TI es el siguiente:


El modelo comienza a partir de la valoracin de los activos, que dentro del Marco Referencial de COBIT consiste en la informacin que tiene los criterios requeridos para ayudar a lograr los objetivos del negocio (incluyendo todos los recursos necesarios para producir dicha informacin). El siguiente paso es el anlisis de vulnerabilidad que trata de la importancia de los criterios de informacin dentro del proceso bajo revisin, por ejemplo, si un proceso del negocio es vulnerable a la prdida de integridad, entonces se requieren medidas especficas. Luego se tratan las amenazas, esto es, aquello que puede provocar una vulnerabilidad.

La probabilidad de la amenaza, el grado de vulnerabilidad y la severidad del impacto se combinan para concluir acerca de la evaluacin del riesgo.
(El resultado de un anlisis de vulnerabilidad es la identificacin de amenazas relevantes y el resultado de un anlisis de amenazas es la identificacin de vulnerabilidades relevantes.)

Esto es seguido por la seleccin de contramedidas (controles) y una evaluacin de su eficacia, que tambin identifica el riesgo residual. La conclusin es un plan de accin despus del cual el ciclo puede comenzar nuevamente.