UNIDAD III: PROCESOS DE AUDITORIA

UNIDAD III

PROCESO DE AUDITORIA

Los riesgos informáticos

Se refieren a la incertidumbre existente por la posible realización de un suceso relacionado con la amenazas de daños con respecto a los bienes o servicios informáticos como lo son los equipos periféricos, instalaciones de programas, archivos de información, datos confidenciales, entre otros. 

Clasificación de los riesgos informáticos

Los servicios de Auditoría comprenden la evaluación objetiva de las evidencias, efectuada por los auditores, para proporcionar una conclusión independiente que permita calificar el cumplimiento de las políticas, reglamentaciones, normas, disposiciones jurídicas u otros requerimientos legales; respecto a un sistema, proceso, subproceso, actividad, tarea u otro asunto de la organización a la cual pertenecen. 

El riesgo siempre implica:

Incertidumbre: el acontecimiento que caracteriza al riesgo puede o no puede ocurrir.

Pérdida potencial: si el riesgo se convierte en una realidad, ocurrirán consecuencias no deseadas o pérdidas. Para cuantificar el nivel de incertidumbre y el grado de pérdidas asociado con cada riesgo se consideran diferentes categorías de riesgos:

Riesgos del proyecto: Afectan a la planificación temporal, al coste y calidad del proyecto. Identifican problemas potenciales de presupuesto, calendario, personal, recursos, cliente, etc.

Riesgos técnicos: Amenazan la calidad y la planificación temporal del software (producto) que hay que producir.  Identifican posibles problemas de incertidumbre técnica, ambigüedad en la especificación, diseño, implementación, obsolescencia técnica o tecnología puntera, interfaz, verificación y mantenimiento.

Riesgos del negocio: Amenazan la viabilidad del software.

Los principales riesgos de negocio son:

.-  Riesgo de mercado: producto demasiado bueno.

.-  Riesgo estratégico: producto que no encaja

.-  Riesgo de ventas: producto poco vendible

.-  Riesgo de presupuesto: producto fuera de presupuesto

Se puede hacer otra categorización de los riesgos en función de su facilidad detección:

.- Riesgos conocidos: son aquellos que se pueden predecir después de una evaluación del plan del proyecto, del entorno técnico y otras fuentes de información fiables.

.- Riesgos predecibles: se extrapolan de la experiencia de proyectos anteriores.

.- Riesgos impredecibles: pueden ocurrir, pero es extremadamente difícil identificarlos por adelantado.

Matriz de riesgos informáticos y métricas utilizadas:

Todo el proceso está apoyado en una aplicación informática que se alimenta de la información que remiten las entidades y la que introducen los inspectores derivadas de sus trabajos de supervisión.

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados.

Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras.

Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:

.- Controlar el riesgo: Fortalecer los controles existentes y/o agregar nuevos controles.

.- Eliminar el riesgo: Eliminar el activo relacionado y con ello se elimina el riesgo.

.- Compartir el riesgo: Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.

.- Aceptar el riesgo: Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.

Los riesgos informáticos “más significativos’” dado su impacto negativo en la operación y la productividad de la empresa son:

.- Riesgo de acceso o seguridad

.- Riesgo de disponibilidad

.- Riesgo de infraestructura

.- Riesgo de integridad

.- Riesgo de proyectos de TI

.- Riesgo de inversión o costo

Así mimos dicho impacto se evidencia principalmente en:

.- Pérdida de rentabilidad del negocio 

.- Pérdidas financieras 

.- Falta de capacidad para alcanzar los objetivos de negocio 

.- Pérdida de reputación 

.- Desventaja competitiva 

.- Problemas con los reguladores 

Que es un plan de contingencia

Se entiende por plan de contingencia los procedimientos alternativos al orden normal de una empresa, cuyo fin es permitir el normal funcionamiento de esta, aún cuando alguna de sus funciones se viese dañada por un accidente interno o externo.

Un plan de contingencia es un tipo de plan preventivo, predictivo y reactivo. 

Presenta una estructura estratégica y operativa que ayudara a controlar una situación de emergencia y a minimizar sus consecuencias negativas

Un plan de contingencia incluye cuatro etapas básica que son:

1. Evaluación.

2. Planificación.

3. Pruebas de viabilidad.

4. Ejecución.

Las tres primeras hacen referencia al componente preventivo y la última a la ejecución del plan una vez ocurrido el siniestro. 

Ejemplo de un plan de contingencia

El borrado accidental o a propósito de archivos de datos o programas de explotación es un problema que todas las instalaciones informáticas han tenido más de una vez, y es siempre costoso el recuperar datos de respaldos o re ingresar aquellas transacciones o datos que no se alcanzaron a respaldar.

Las soluciones preventivas más comunes son las siguientes:

·       Separación lógica y física, si es posible, de los datos y programas de explotación de aquellos datos y programas usados en desarrollo y mantención de sistemas.

·       Sistema de protección de los datos y programas de explotación de manera que nadie pueda dañarlos, los sistemas operativos profesionales más comunes tienen formas de proteger directorios de datos y programas de manera tal que su borrado accidental o a propósito sea casi imposible.

Actividades de mitigación

Las actividades de mitigación apuntan siempre hacia que la contingencia una vez ocurrida, produzca el menor daño posible en las actividades informáticas de la empresa o que le daño producido por la ocurrencia de la contingencia tenga un impacto mínimo. Como las actividades de prevención, estas actividades son de suma importancia pero de mayor costo que las ya nombradas.

PLANIFICACIÓN DE LA AUDITORIA

Una planificación adecuada es el primer paso necesario para realizar auditorias de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoria así como los riesgos del negocio y control asociado.

COMPRENSIÓN DEL NEGOCIO Y DE SU AMBIENTE.

Al planificar una auditoria, el auditor de sistemas debe tener una comprensión de suficiente del ambiente total que se revisa. Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoria, así como los tipos de sistemas que se utilizan.

RIESGO Y MATERIALIDAD DE AUDITORIA.

Se puede definir los riesgos de auditoria como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. 

Los riesgos en auditoria pueden clasificarse de la siguiente manera: 

Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. 

Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. 

Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. 

En una auditoria de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores. 

El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoria al planificar. 

Una auditoria tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamaño de la muestra es lo suficientemente grande, o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección.

TÉCNICAS DE EVALUACIÓN DE RIESGOS.

     Existen cuatro motivos por los que se utiliza la evaluación 

de riesgos, estos son: 

Permitir que la gerencia asigne recursos necesarios para la auditoria. 

Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que las actividades de la función de auditoria se dirigen correctamente a las áreas de alto riesgo y constituyen un valor agregado para la gerencia. 

Constituir la base para la organización de la auditoria a fin de administrar eficazmente el departamento. 

Proveer un resumen que describa como el tema individual de auditoria se relaciona con la organización global de la empresa así como los planes del negocio.

OBJETIVOS DE CONTROLES Y OBJETIVOS DE AUDITORIA.

     El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoria es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando las políticas de la empresa y los objetivos de la empresa. 

PROCEDIMIENTOS DE AUDITORIA.

     Algunos ejemplos de procedimientos de auditoria son: 

     Revisión de la documentación de sistemas e identificación de los controles existentes. 

     Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados. 

     Utilización de software de manejo de base de datos para examinar el contenido de los archivos de datos. 

     Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.

Evaluación de fortalezas y debilidades de auditoria.

     Luego de desarrollar el programa de auditoria y recopilar evidencia de auditoria, el siguiente paso es evaluar la información recopilada con la finalidad de desarrollar una opinión. Para esto generalmente se utiliza una matriz de control con la que se evaluará el nivel de los controles identificados,.

     La Matriz muestra las áreas en que los controles no existen o son débiles, obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay si es necesario el control. 

En esta parte de evaluación de debilidades y fortalezas también se debe elegir o determinar la materialidad de las observaciones o hallazgos de auditoria. El auditor de sistemas debe juzgar cuales observaciones son materiales a diversos niveles de la gerencia y se debe informar de acuerdo a ello.

SEGUIMIENTO DE LAS OBSERVACIONES DE AUDITORIA.

     El trabajo de auditoria es un proceso continuo, se debe entender que no serviría de nada el trabajo de auditoria si no se comprueba que las acciones correctivas tomadas por la gerencia, se están realizando, para esto se debe tener un programa de seguimiento, la oportunidad de seguimiento dependerá del carácter crítico de las observaciones de auditoria. 

     El nivel de revisión de seguimiento del auditor de sistemas dependerá de diversos factores, en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la situación actual, en otros casos tendrá que hacer una revisión más técnica del sistema.