Universidad Cientfica del Per Auditora de Sistemas CAPTULO II: EL ANLISIS DE RIESGO 2.

- ANALISIS DE RIESGO

Facultad de Ciencias e Ingeniera

Es la base de la planificacin de los procesos de auditora para determinar las vulnerabilidades de los activos de informacin de las empresas y as, clasificarlos por su criticidad. Tambin facilita implantar los controles necesarios para tratar dichos riesgos asociados a los activos. 2.1.- RIESGO Potencial de que una amenaza (externa o interna) explote una vulnerabilidad de uno o varios activos ocasionando dao a la organizacin. Su naturaleza puede depender de aspectos operativos, financieros, regulatorios (legales) y administrativos. 2.2.- EVALUACIN DEL RIESGO El proceso de identificacin y evaluacin de riesgos y el de la clasificacin de activos, permiten determinar qu tan expuestos se encuentran los activos de informacin a ataques por la presencia de vulnerabilidades propias o inherentes a la actividad de la organizacin. El proceso sigue un ciclo de vida el cual es expuesto: 1. Identificacin de los objetivos de negocio o su revisin en caso ya estn convenientemente documentados. Incluye la revisin de los objetivos y metas propias del rea auditada. 2. Identificar activos de informacin involucrados en los procesos / actividades que sern auditados: aqu tambin se puede referir directamente a los inventarios de activos, caso existan. 3. Infraestructura involucrada en esos procesos, en lnea con el paso anterior. 4. Identificacin de riesgos: incluye la identificacin de las amenazas, la determinacin de la probabilidad de ocurrencia y del impacto econmico para el negocio as como las medidas de control para evitar dicho impacto. 5. Seleccin de los mecanismos ms adecuados para el tratamiento del riesgo: entre las opciones de eliminar, mitigar o reducir, transferir o aceptar. 6. Establecer el riesgo residual terico. 7. Implementacin de los controles: implica el anlisis costo beneficio de tratar el riesgo por medio del control definido o convivir el riesgo (niveles de tolerancia). 8. Monitoreo y reevaluacin de los controles definidos, como parte de un proceso mayor de gestin de la calidad de los procesos que estn siendo controlados. 2.3.- TIPOS DE RIESGO Existen muchas clasificaciones para tipificar los riesgos y dependen fuertemente del tipo de auditora por realizar. Una de ellas aparece en ISACA (2011) y presenta los siguientes tipos: 1. Riesgo Inherente: Existencia de un error material o significativo sin un control compensatorio. Ejemplo: errores en clculos matemticos (IGV, impuestos, deducciones) 2. Riesgos de Control: Existencia de un error que no pueda ser detectado por el mismo sistema de control establecido. Ejemplo: errores que puedan encontrarse en archivos log. Ing. Jorge Danilo Jara Vela Pgina 1

Universidad Cientfica del Per Auditora de Sistemas

Facultad de Ciencias e Ingeniera

3. Riesgos de Deteccin: mal usode procedimientos de deteccin de errores por parte de un auditor, que lleven a indicar que no existen errores donde si loshay. 4. Riesgos de Negocio 5. Otros riesgos generales propios de la naturaleza de la auditora.

2.4.- TRATAMIENTO DEL RIESGO Muchos enfoques se tornan y presentan al riesgo como algo negativo para las empresas. En efecto, puede tener efectos desastrosos en las organizaciones cuando se explotan, por ejemplo: Vulnerabilidades de seguridad de informacin al enviar y recibir correos electrnicos Manejar informacin confidencial.

Visiones ms modernas indican que la presencia y deteccin del riesgo presentan una oportunidad pues permiten autoanalizar los procesosoperativos de las empresas, monitorearlos, actualizarlos cuando fuese necesario, evaluar el soporte de TI que reciben, entre otras actividades. En consecuencia, el riesgo brinda una posibilidad de introducir en la cultura organizacional un proceso de calidad permanente. Identificar riesgos significa analizar sus causas de aparicin, sus consecuencias, su magnitud e impacto, significa realizar un proceso de cuantificacin y categorizacin as como establecer criterios de aceptacin del riesgo y la implantacin de los controles respectivos. As mismo implica modificacin de procesos / funciones ineficientes y definicin de mecanismos de transferencia de riesgos a terceros (proveedores, aseguradoras) por medios de plizas de seguros. 2.5.- LOS MARCOS DE CONTROL (FRAMEWORKS) Muchas veces realizamos esta pregunta QU ES CONTROLAR?, el diccionario lo define como dirigir o dominar a una persona o una cosa. Examinar con atencin algo para hacer una determinada comprobacin. Si llevamos esto al contexto empresarial, el control consistir en la verificacin y anlisis de procesos o servicios para comprobar su funcionamiento dentro de los parmetros que se le han impuesto. Se hace necesario conocer lo que la empresa hace, como lo hace y bajo qu condiciones lo hace. Los denominados Marcos de Control o Frameworks, son un conjunto de buenas prcticas internacionalmente reconocidas que permiten organizar estos procedimientos de verificacin, anlisis e incluso correccin de determinados procesos organizacionales, dependiendo muchas veces del tipo de empresa que ejecuta dichos procesos. Los Marcos de Control tiene como finalidad, facilitar la labor de monitoreo, evaluacin e integracin de los esfuerzos de varias gerencias en reas especficas, en pos de controlar determinados procesos de negocios, incluyendo a los procesos de TI. Aqu podemos notar el beneficio de relacionar estos conceptos con los de auditora por se muy cercanos. Ing. Jorge Danilo Jara Vela Pgina 2

Universidad Cientfica del Per Auditora de Sistemas

Facultad de Ciencias e Ingeniera

2.6.- CONTROLES Son las polticas, procedimientos, prcticas y estructuras organizacionales para reducir riesgo y que adems proveen cierto grado de certeza de que se alcanzarn los objetivos de negocio. Algunas caractersticas generales de los controles (a alto nivel, no tcnicos) son: Son definidos por la Alta Gerencia Deben formar parte de una cultura organizacional del control, lo que entraa permanentes procesos de capacitacin. Debe determinarse sus objetivos (Qu pretende lograse con ellos?) de manera clara y precisa.

2.7.- TIPOS DE CONTROLES De manera similar a la clasificacin de los riesgos, existen varias formas de establecer controles sobre riesgos organizacionales. La siguiente divisin es la ms comn y es presentada en ISACA (2011): 1. DISUASIVOS: su presencia disuade de la comisin de acciones en contra de alguna poltica o procedimiento establecido y considerado correcto. Ejemplo: cmaras de vigilancia, sealtica. 2. PREVENTIVOS: detectan problemas antes que ocurran por medio de monitoreo constante. Por ejemplo: polticas de contratacin y segregacin de funciones. 3. DETECTIVOS: detectan y reportan problemas suscitados por errores u omisiones, en el momento en que stos ocurren. Por ejemplo: doble verificacin de clculos, uso de antivirus. 4. CORRECTIVOS: minimizan el impacto de una amenaza ya consumada. Por ejemplo: planes de contingencia y restauracin. 5. Propios de cada rea administrativa y operativa de las organizaciones: financieros, contables, de SI, de seguridad e higiene laboral, ambientales, entre otros.

AMENAZA
Control Disuasivo
Reduce la probabilidad de

Crea

Control Compensatorio
Reduce la probabilidad de

Control Detectivo
Descubre

ATAQUE
Protege a

Explota

VULNERABILIDAD

Genera

Control Preventivo
Reduce

IMPACTO

Reduce

Control Correctivo

Ing. Jorge Danilo Jara Vela

Pgina 3

Universidad Cientfica del Per Auditora de Sistemas 2.8.- OBJETIVOS PERSGUIDOS POR LOS CONTROLES -

Facultad de Ciencias e Ingeniera

Del Control Interno: garantizar que los mecanismos de controles establecidos y vigentes, permitirn el logro de las metas de la organizacin. Del Control de SI:salvaguardar los activos de informacin de accesos y usos inadecuados; integridad de las arquitecturas; integridad de los ambientes fsicos, etc.

2.9.- CONTROLES GENERALES Y CONTROLES DE SISTEMAS DE INFORMACIN Los controles generales son polticas, procedimientos y prcticas establecidos por la Alta Direccin empresarial con el fin de proporcionar la garanta necesaria de que se alcanzarn los objetivos estratgicos del negocio.

Se pueden reconocer controles generales para: Contabilidad Controles administrativos organizacionales y funcionales Entre otros

De otro lado, un SI debe contar con controles propios para sus funciones crticas incluyendo los controles tanto para el software mismo como para el hardware utilizado para su operacin bsica.

2.10.- EL CONTROL INTERNO Y EL CONTROL INTERNO INFORMATICO Los nuevos escenarios econmicos mundiales trajeron consigo dificultades y mltiples de diversas ndoles a las organizaciones y a sus miembros. Muchos escndalos financieros sacudieron los grandes mercados mundiales a fines de la dcada de los 90 del siglo XX y a inicios del siglo XXI, precisamente por la falta de probidad en los componentes del denominado Gobiero Corporativo. Cualquier accin de la Alta Direccin tomada para mejorar la probabilidad de alcanzar los objetivos del negocio se puede considerar como control. Los sistemas de control integran los elementos y actividades que permiten a la Alta Direccin alcanzar sus objetivos primarios u operacionales. 2.11.- OBJETIVOS DEL CONTROL INTERNO Los controles son desarrollados con el fin de proveer una razonable certeza de que los objetivos de negocio van a ser alcanzados, previendo los eventos de riesgo que podran afectar su consecucin, siguiendo una lgica doble: Qu debera lograrse y que debera evitarse?

Ing. Jorge Danilo Jara Vela

Pgina 4

Universidad Cientfica del Per Auditora de Sistemas 2.12.- IMPLEMENTACIN DEL CONTROL INTERNO

Facultad de Ciencias e Ingeniera

SU implementacin implica que cada uno de sus componentes est aplicado o dirigido a categoras esenciales de la empresa convirtindose en un proceso integrador y dinmico que conduce el desarrollo organizacional y el cumplimiento de las metas corporativas. Ningn tipo de control es infalible por lo que se tendr que basar normalmente en un estudio adecuado de los riesgos internos y externos, con el fin de que provea una seguridad razonable para la categora a la cual fue diseado. Como beneficios de su implementacin se encuentran: Favorecen la labor de la gerencia en el logro de metas y objetivos Integra al personal con los objetivos colaborando en su desempeo. Persuade la comisin de fraudes. Facilita a los directores en su tarea de demostrar la adecuada gestin de los recursos y el logro de los objetivos que les competan.

2.13.- EL CONTROL INTERNO INFORMTICO Dado que se han indicado que el carcter de la auditora es ms evaluativo que fiscalizador, es adecuado hacer referencia al control interno informtico: actividad llevada a cabo por la Gerencia de Sistemas o TI, es la que verifica si el funcionamiento de los sistemas de informacin cumplan los objetivos para los que fueron desarrollados de los sistemas y si ejecutan adecuadamente el soporte a los procedimientos de negocios definidos antes de su implementacin. As mismo se verifica el cumplimiento y/o seguimiento de estndares, normas legales y de cumplimiento regulatorio, entre otros.

2.13.1.- OBJETIVOS DEL CONTROL INTERNO INFORMTICO Como objetivos se pueden sealar que el control interno informtico incluye: La proteccin de los activos de informacin (relacionado con el Gobierno de las TI) por medio de: o Cumplimiento de las polticas y procedimientos para la creacin de usuarios, responsables, perfiles. o Establecimiento de normas de seguridad. o Control de la informacin clasificada. o Control de activos de informacin, instalaciones, recuperacin de desastres, etc. o Licencias y relaciones contractuales con terceros. o Capacitar sobre temas de riesgo informtico a la organizacin La conservacin de la integridad de los ambientes de los sistemas operativos, de los sistemas de aplicacin sensibles y crticos, de las bases de datos. El proceso de identificacin y autenticacin de usuarios de los recursos de SI. La verificacin de la calidad y eficiencia en el servicio y las operaciones informticas. El aseguramiento de la disponibilidad de los recursos de TI mediante los planes de continuidad de negocio (BCP) y de recuperacin de desastres (DRP).

Ing. Jorge Danilo Jara Vela

Pgina 5

Universidad Cientfica del Per Auditora de Sistemas

Facultad de Ciencias e Ingeniera

El cumplimiento con los requisitos de negocio, las polticas y procedimientos organizacionales u las regulaciones aplicables.

Como cualquier control, los controles incluidos aqu pueden categorizarse de acuerdo a la clasificacin presentada anteriormente. Su implementacin es posible a varios niveles; la figura a continuacin ilustra el paralelo seguido por el cambio con la labor de auditora:

2.13.2.- ACTIVIDADES OPERATIVAS COMO OBJETO DEL CONTROL DE SI Entre algunas de las actividades operativas incluidas como objeto de control de SI tenemos: Estrategia y Direccin de sistemas Organizacin general y gestin Acceso a los recursos de TI: Datos y programas Revisin de las metodologas de desarrollo de sistemas y control de cambios Procedimientos de operaciones Programacin de sistemas y funciones de soporte tcnico Procedimientos de aseguramiento de la calidad Controles de acceso fsico Uso de las redes de comunicaciones Aspectos de la seguridad informtica

Ing. Jorge Danilo Jara Vela

Pgina 6

Universidad Cientfica del Per Auditora de Sistemas

Facultad de Ciencias e Ingeniera

2.14.- NORMAS, ESTNDARES Y PRACTICAS INTERNACIONALES PARA LA AUDITORA DE SISTEMAS DE INFORMACIN La naturaleza especializada de la auditora a los SI as como las destrezas necesarias para llevar acabo tales auditorias, requiere de estndares que se aplican exclusivamente a ella. Los estndares han sido elaborados por ISACA a los largo de varios aos con el concurso de especialistas internacionales y su estructura es como sigue: Los estndares, definen requisitos obligatorios para la auditora y el reporte de SI. Las Directrices, proporcionan asesoramiento en la aplicacin de los estndares de auditora de SI. El auditor de SI debe considerarlas al determinar cmo lograr la ejecucin de los estndares. Los Procedimientos, proporcionan ejemplos de planes de accin que podra seguir un auditor de SI en el curso de la ejecucin de una auditora. Los documentos sobre procedimientos proporcionan informacin sobre como cumplir con los estndares al realizar trabajos de auditora de SI, pero no establecen los requisitos correspondientes. Las herramientas y tcnicas de aseguramiento y auditora de tecnologas de informacin, proveen ejemplos de procesos que un auditor podra seguir en un trabajo especfico, dejando en manos de su propio juicio profesional y acadmico la eleccin de aquellas que considere ms adecuadas al escenario de auditora que se le presente.

Ing. Jorge Danilo Jara Vela

Pgina 7