Universidad Cientfica del Per

Auditora de Sistemas

Facultad de Ciencias e Ingeniera

CAPTULO II: EL ANLISIS DE RIESGO

2.- ANALISIS DE RIESGO
Es la base de la planificacin de los procesos de auditora para determinar las vulnerabilidades
de los activos de informacin de las empresas y as, clasificarlos por su criticidad. Tambin
facilita implantar los controles necesarios para tratar dichos riesgos asociados a los activos.
2.1.- RIESGO
Potencial de que una amenaza (externa o interna) explote una vulnerabilidad de uno o varios
activos ocasionando dao a la organizacin. Su naturaleza puede depender de aspectos
operativos, financieros, regulatorios (legales) y administrativos.
2.2.- EVALUACIN DEL RIESGO
El proceso de identificacin y evaluacin de riesgos y el de la clasificacin de activos, permiten
determinar qu tan expuestos se encuentran los activos de informacin a ataques por la
presencia de vulnerabilidades propias o inherentes a la actividad de la organizacin.
El proceso sigue un ciclo de vida el cual es expuesto:
1. Identificacin de los objetivos de negocio o su revisin en caso ya estn
convenientemente documentados. Incluye la revisin de los objetivos y metas propias
del rea auditada.
2. Identificar activos de informacin involucrados en los procesos / actividades que sern
auditados: aqu tambin se puede referir directamente a los inventarios de activos,
caso existan.
3. Infraestructura involucrada en esos procesos, en lnea con el paso anterior.
4. Identificacin de riesgos: incluye la identificacin de las amenazas, la determinacin de
la probabilidad de ocurrencia y del impacto econmico para el negocio as como las
medidas de control para evitar dicho impacto.
5. Seleccin de los mecanismos ms adecuados para el tratamiento del riesgo: entre las
opciones de eliminar, mitigar o reducir, transferir o aceptar.
6. Establecer el riesgo residual terico.
7. Implementacin de los controles: implica el anlisis costo beneficio de tratar el
riesgo por medio del control definido o convivir el riesgo (niveles de tolerancia).
8. Monitoreo y reevaluacin de los controles definidos, como parte de un proceso mayor
de gestin de la calidad de los procesos que estn siendo controlados.
2.3.- TIPOS DE RIESGO
Existen muchas clasificaciones para tipificar los riesgos y dependen fuertemente del tipo de
auditora por realizar. Una de ellas aparece en ISACA (2011) y presenta los siguientes tipos:
1. Riesgo Inherente: Existencia de un error material o significativo sin un control
compensatorio.
Ejemplo: errores en clculos matemticos (IGV, impuestos, deducciones)
2. Riesgos de Control: Existencia de un error que no pueda ser detectado por el mismo
sistema de control establecido.
Ejemplo: errores que puedan encontrarse en archivos log.
Ing. Jorge Danilo Jara Vela

Pgina 1

Universidad Cientfica del Per

Auditora de Sistemas

Facultad de Ciencias e Ingeniera

3. Riesgos de Deteccin: mal usode procedimientos de deteccin de errores por parte de

un auditor, que lleven a indicar que no existen errores donde si loshay.
4. Riesgos de Negocio
5. Otros riesgos generales propios de la naturaleza de la auditora.

2.4.- TRATAMIENTO DEL RIESGO

Muchos enfoques se tornan y presentan al riesgo como algo negativo para las empresas. En
efecto, puede tener efectos desastrosos en las organizaciones cuando se explotan, por
ejemplo:
-

Vulnerabilidades de seguridad de informacin al enviar y recibir correos electrnicos

Manejar informacin confidencial.

Visiones ms modernas indican que la presencia y deteccin del riesgo presentan una
oportunidad pues permiten autoanalizar los procesosoperativos de las empresas,
monitorearlos, actualizarlos cuando fuese necesario, evaluar el soporte de TI que reciben,
entre otras actividades.
En consecuencia, el riesgo brinda una posibilidad de introducir en la cultura organizacional
un proceso de calidad permanente.
Identificar riesgos significa analizar sus causas de aparicin, sus consecuencias, su magnitud
e impacto, significa realizar un proceso de cuantificacin y categorizacin as como establecer
criterios de aceptacin del riesgo y la implantacin de los controles respectivos.
As mismo implica modificacin de procesos / funciones ineficientes y definicin de
mecanismos de transferencia de riesgos a terceros (proveedores, aseguradoras) por medios
de plizas de seguros.
2.5.- LOS MARCOS DE CONTROL (FRAMEWORKS)
Muchas veces realizamos esta pregunta QU ES CONTROLAR?, el diccionario lo define como
dirigir o dominar a una persona o una cosa. Examinar con atencin algo para hacer una
determinada comprobacin.
Si llevamos esto al contexto empresarial, el control consistir en la verificacin y anlisis de
procesos o servicios para comprobar su funcionamiento dentro de los parmetros que se le
han impuesto. Se hace necesario conocer lo que la empresa hace, como lo hace y bajo qu
condiciones lo hace.
Los denominados Marcos de Control o Frameworks, son un conjunto de buenas prcticas
internacionalmente reconocidas que permiten organizar estos procedimientos de
verificacin, anlisis e incluso correccin de determinados procesos organizacionales,
dependiendo muchas veces del tipo de empresa que ejecuta dichos procesos.
Los Marcos de Control tiene como finalidad, facilitar la labor de monitoreo, evaluacin e
integracin de los esfuerzos de varias gerencias en reas especficas, en pos de controlar
determinados procesos de negocios, incluyendo a los procesos de TI.
Aqu podemos notar el beneficio de relacionar estos conceptos con los de auditora por se muy
cercanos.
Ing. Jorge Danilo Jara Vela

Pgina 2

Universidad Cientfica del Per

Auditora de Sistemas

Facultad de Ciencias e Ingeniera

2.6.- CONTROLES
Son las polticas, procedimientos, prcticas y estructuras organizacionales para reducir riesgo y
que adems proveen cierto grado de certeza de que se alcanzarn los objetivos de negocio.
Algunas caractersticas generales de los controles (a alto nivel, no tcnicos) son:
-

Son definidos por la Alta Gerencia

Deben formar parte de una cultura organizacional del control, lo que entraa
permanentes procesos de capacitacin.
Debe determinarse sus objetivos (Qu pretende lograse con ellos?) de manera clara y
precisa.

2.7.- TIPOS DE CONTROLES

De manera similar a la clasificacin de los riesgos, existen varias formas de establecer
controles sobre riesgos organizacionales.
La siguiente divisin es la ms comn y es presentada en ISACA (2011):
1. DISUASIVOS: su presencia disuade de la comisin de acciones en contra de alguna
poltica o procedimiento establecido y considerado correcto. Ejemplo: cmaras de
vigilancia, sealtica.
2. PREVENTIVOS: detectan problemas antes que ocurran por medio de monitoreo
constante. Por ejemplo: polticas de contratacin y segregacin de funciones.
3. DETECTIVOS: detectan y reportan problemas suscitados por errores u omisiones, en el
momento en que stos ocurren. Por ejemplo: doble verificacin de clculos, uso de
antivirus.
4. CORRECTIVOS: minimizan el impacto de una amenaza ya consumada. Por ejemplo:
planes de contingencia y restauracin.
5. Propios de cada rea administrativa y operativa de las organizaciones: financieros,
contables, de SI, de seguridad e higiene laboral, ambientales, entre otros.

AMENAZA
Control
Disuasivo

Control
Compensatorio

Crea

Reduce la
probabilidad de

Reduce la
probabilidad de

Control
Detectivo

ATAQUE

Explota

VULNERABILIDAD

Descubre

Control
Preventivo
Reduce

Ing. Jorge Danilo Jara Vela

Protege a

Genera

IMPACTO

Reduce

Control
Correctivo

Pgina 3

Universidad Cientfica del Per

Auditora de Sistemas

Facultad de Ciencias e Ingeniera

2.8.- OBJETIVOS PERSGUIDOS POR LOS CONTROLES

-

Del Control Interno: garantizar que los mecanismos de controles establecidos y

vigentes, permitirn el logro de las metas de la organizacin.

Del Control de SI:salvaguardar los activos de informacin de accesos y usos

inadecuados; integridad de las arquitecturas; integridad de los ambientes fsicos, etc.

2.9.- CONTROLES GENERALES Y CONTROLES DE SISTEMAS DE INFORMACIN

Los controles generales son polticas, procedimientos y prcticas establecidos por la Alta
Direccin empresarial con el fin de proporcionar la garanta necesaria de que se alcanzarn los
objetivos estratgicos del negocio.

Se pueden reconocer controles generales para:

-

Contabilidad
Controles administrativos organizacionales y funcionales
Entre otros

De otro lado, un SI debe contar con controles propios para sus funciones crticas incluyendo los
controles tanto para el software mismo como para el hardware utilizado para su operacin
bsica.

2.10.- EL CONTROL INTERNO Y EL CONTROL INTERNO INFORMATICO

Los nuevos escenarios econmicos mundiales trajeron consigo dificultades y mltiples de
diversas ndoles a las organizaciones y a sus miembros. Muchos escndalos financieros
sacudieron los grandes mercados mundiales a fines de la dcada de los 90 del siglo XX y a
inicios del siglo XXI, precisamente por la falta de probidad en los componentes del
denominado Gobiero Corporativo.
Cualquier accin de la Alta Direccin tomada para mejorar la probabilidad de alcanzar los
objetivos del negocio se puede considerar como control. Los sistemas de control integran los
elementos y actividades que permiten a la Alta Direccin alcanzar sus objetivos primarios u
operacionales.
2.11.- OBJETIVOS DEL CONTROL INTERNO
Los controles son desarrollados con el fin de proveer una razonable certeza de que los
objetivos de negocio van a ser alcanzados, previendo los eventos de riesgo que podran afectar
su consecucin, siguiendo una lgica doble: Qu debera lograrse y que debera evitarse?

Ing. Jorge Danilo Jara Vela

Pgina 4

Universidad Cientfica del Per

Auditora de Sistemas

Facultad de Ciencias e Ingeniera

2.12.- IMPLEMENTACIN DEL CONTROL INTERNO

SU implementacin implica que cada uno de sus componentes est aplicado o dirigido a
categoras esenciales de la empresa convirtindose en un proceso integrador y dinmico que
conduce el desarrollo organizacional y el cumplimiento de las metas corporativas.
Ningn tipo de control es infalible por lo que se tendr que basar normalmente en un estudio
adecuado de los riesgos internos y externos, con el fin de que provea una seguridad razonable
para la categora a la cual fue diseado.
Como beneficios de su implementacin se encuentran:
-

Favorecen la labor de la gerencia en el logro de metas y objetivos

Integra al personal con los objetivos colaborando en su desempeo.
Persuade la comisin de fraudes.
Facilita a los directores en su tarea de demostrar la adecuada gestin de los recursos y
el logro de los objetivos que les competan.

2.13.- EL CONTROL INTERNO INFORMTICO

Dado que se han indicado que el carcter de la auditora es ms evaluativo que fiscalizador,
es adecuado hacer referencia al control interno informtico: actividad llevada a cabo por la
Gerencia de Sistemas o TI, es la que verifica si el funcionamiento de los sistemas de
informacin cumplan los objetivos para los que fueron desarrollados de los sistemas y si
ejecutan adecuadamente el soporte a los procedimientos de negocios definidos antes de su
implementacin.
As mismo se verifica el cumplimiento y/o seguimiento de estndares, normas legales y de
cumplimiento regulatorio, entre otros.

2.13.1.- OBJETIVOS DEL CONTROL INTERNO INFORMTICO

Como objetivos se pueden sealar que el control interno informtico incluye:

La proteccin de los activos de informacin (relacionado con el Gobierno de las TI) por
medio de:
o Cumplimiento de las polticas y procedimientos para la creacin de usuarios,
responsables, perfiles.
o Establecimiento de normas de seguridad.
o Control de la informacin clasificada.
o Control de activos de informacin, instalaciones, recuperacin de desastres,
etc.
o Licencias y relaciones contractuales con terceros.
o Capacitar sobre temas de riesgo informtico a la organizacin
La conservacin de la integridad de los ambientes de los sistemas operativos, de los
sistemas de aplicacin sensibles y crticos, de las bases de datos.
El proceso de identificacin y autenticacin de usuarios de los recursos de SI.
La verificacin de la calidad y eficiencia en el servicio y las operaciones informticas.
El aseguramiento de la disponibilidad de los recursos de TI mediante los planes de
continuidad de negocio (BCP) y de recuperacin de desastres (DRP).

Ing. Jorge Danilo Jara Vela

Pgina 5

Universidad Cientfica del Per

Auditora de Sistemas

Facultad de Ciencias e Ingeniera

El cumplimiento con los requisitos de negocio, las polticas y procedimientos

organizacionales u las regulaciones aplicables.

Como cualquier control, los controles incluidos aqu pueden categorizarse de acuerdo a la
clasificacin presentada anteriormente.
Su implementacin es posible a varios niveles; la figura a continuacin ilustra el paralelo
seguido por el cambio con la labor de auditora:

2.13.2.- ACTIVIDADES OPERATIVAS COMO OBJETO DEL CONTROL DE SI

Entre algunas de las actividades operativas incluidas como objeto de control de SI tenemos:

Estrategia y Direccin de sistemas

Organizacin general y gestin
Acceso a los recursos de TI: Datos y programas
Revisin de las metodologas de desarrollo de sistemas y control de cambios
Procedimientos de operaciones
Programacin de sistemas y funciones de soporte tcnico
Procedimientos de aseguramiento de la calidad
Controles de acceso fsico
Uso de las redes de comunicaciones
Aspectos de la seguridad informtica

Ing. Jorge Danilo Jara Vela

Pgina 6

Universidad Cientfica del Per

Auditora de Sistemas

Facultad de Ciencias e Ingeniera

2.14.- NORMAS, ESTNDARES Y PRACTICAS INTERNACIONALES PARA LA AUDITORA DE

SISTEMAS DE INFORMACIN
La naturaleza especializada de la auditora a los SI as como las destrezas necesarias para llevar
acabo tales auditorias, requiere de estndares que se aplican exclusivamente a ella.
Los estndares han sido elaborados por ISACA a los largo de varios aos con el concurso de
especialistas internacionales y su estructura es como sigue:
Los estndares, definen requisitos obligatorios para la auditora y el reporte de SI.
Las Directrices, proporcionan asesoramiento en la aplicacin de los estndares de
auditora de SI. El auditor de SI debe considerarlas al determinar cmo lograr la
ejecucin de los estndares.
Los Procedimientos, proporcionan ejemplos de planes de accin que podra seguir un
auditor de SI en el curso de la ejecucin de una auditora.
Los documentos sobre procedimientos proporcionan informacin sobre como cumplir
con los estndares al realizar trabajos de auditora de SI, pero no establecen los
requisitos correspondientes.

Las herramientas y tcnicas de aseguramiento y auditora de tecnologas de

informacin, proveen ejemplos de procesos que un auditor podra seguir en un
trabajo especfico, dejando en manos de su propio juicio profesional y acadmico la
eleccin de aquellas que considere ms adecuadas al escenario de auditora que se le
presente.

Ing. Jorge Danilo Jara Vela

Pgina 7