Escolar Documentos
Profissional Documentos
Cultura Documentos
AUDITORIA
El Análisis de Riesgos constituye una herramienta muy importante para el trabajo del auditor y la calidad del
servicio, por cuanto implica el diagnóstico de los mismos para velar por su posible administración.
1
Riesgo
El riesgo es la combinación de la probabilidad de un
evento y sus consecuencias
Para el negocio el riesgo es la preocupación de los
probables daños de un evento incierto sobre el logro de
los objetivos establecidos.
2
Riesgo
El auditor, debe estar preparado para identificar, manejar y minimizar
los riesgos de auditoria; es decir, que no sea de gran magnitud que
afecten su profesionalismo.
3
Existen varios tipos de riesgos relacionados a la
auditoria los cuales son :
Riesgo de
Satisfacción al
cliente
Riesgo
Profesional
Clases de
Riesgos Riesgo
Inherente
Riesgo de Riesgo de
Auditoria Control
Riesgo de no
Detección
4
CONTROL Y GESTION DEL RIESGO
El propósito del control y gestión del riesgo es analizar el funcionamiento, la efectividad
y el cumplimiento de las medidas de protección, para determinar y ajustar sus
deficiencias.
Identificar , analizar y planificar
nuevos riesgos
Seguimiento y Control
de Riesgos Seguimiento de condiciones que
disparan planes de contingencia
6
Riesgo de Satisfacción al cliente
Posibilidad que el auditor no satisfaga las expectativas del cliente.
El auditor para eliminar este riesgo debe ser contundente, con los requerimientos
técnicos de su cliente, para ello examinará bien su trabajo, a fin de determinar las
expectativas del cliente, y brindar un asesoramiento adecuado en el desarrollo de la
información, en la evaluación de los procesos de la entidad, en la revisión de una
cuenta o un componente, etc.
7
Riesgo de Auditoria
Posibilidad que el informe del auditor, contenga errores importantes; por ello, se debe evaluar
bien antes de presentar cualquier información relativa a la auditoria, con el fin de implementar
un adecuado enfoque de auditoría en la selección de los procedimientos a aplicarse en el
desarrollo del trabajo de campo de la auditoria.
Es el riesgo total la combinación de las categorías individuales de riesgos de auditoria
determinados para cada objetivo de control.
Se usa para describir el nivel de riesgo que un auditor de SI esta preparado para aceptar
durante una asignación de auditoria. Posibilidad de emitir un informe de auditoría incorrecto por
no haber detectado errores o fraudes significativos que modificarían el sentido de la opinión
vertida en el informe.
El riesgo de auditoría tiene tres componentes:
Riesgo Inherente.
Riesgo de Control.
Riesgo de no Detección.
8
Este riesgo lo determinaran factores como la naturaleza del negocio o
entidad, la situación económica y financiera y la organización
gerencial.
Se entienda como la posibilidad de error o irregularidad producto de
una situación que la entidad a auditar no puede controlar, es un riesgo
de negocios.
9
Niveles del Riesgo de Control:
Riesgo Bajo:
El auditor considera que los controles detectarán cualquier aseveración
errónea que pudiera ocurrir en exceso de la materialidad diseñada.
Riesgo Medio:
Riesgo Alto:
10
Este tipo de riesgo está directamente relacionado con los
procedimientos de auditoría por lo que se trata de la no detección de la
existencia de erros en el proceso realizado.
11
Evaluación del riesgo de
auditoria
Por lo tanto debe ser un proceso cuidadoso y realizado por quienes posean la mayor capacidad
y experiencia en un equipo de trabajo.
12
Evaluación del riesgo de auditoria
El Análisis de riesgo es parte de la planificación de la auditoria y ayuda a identificar los
riesgos y vulnerabilidades para que el auditor de sistemas pueda determinar los controles
necesarios para mitigar dichos riesgos.
Al analizar los riesgos del negocio es importante que el auditor de sistemas tenga una
comprensión clara de lo siguiente:
Luego de entender estos puntos
entonces se debe:
Identificar el objetivo del negocio
Propósito, la naturaleza del negocio Identificar los activos de la información
y el entorno en que opera.
Riesgos para el negocio que supone Correlacionar los riesgos con los controles implantados
el uso de la tecnología
Visión general de los procesos del Tratar los riesgos Significativos no tratados
negocio
13
Evaluación del riesgo
Tratamiento del riesgo hay 4 posibles opciones de respuesta a los riesgos
que son:
Mitigación:
Consiste en aplicar controles apropiados para
Mitigación reducir el riesgo.
14
Ejemplos de parámetros de riesgo
61 AL 100% ALTO
15
Metodologías de control interno seguridad y auditoria
Informática.
Método : Modo ordenado y sistemático de proceder para llegar a un resultado o fin determinado
Metodología : Conjunto de métodos que se siguen en una disciplina científica o en un estudio que
permiten abordarlo de forma organizada.
16
La informática crea unos riesgos informáticos de los que hay que proteger y preservar a
la entidad con un entramado de contramedidas y la alta calidad y eficiencia de las mismas
es el objetivo a evaluar para poder identificar a sus puntos débiles y mejorarlos.
Por tanto debemos profundizar mas en ese entramado de contramedidas para ver que
papel tienen las metodologías y los auditores en el mismo.
Para explicar este aspecto diremos que cualquier contramedida nade de la composición
de varios factores expresados.
Todos los Factores De la Pirámide Intervienen En la
Composición De Una Contramedida
17
LA NORMATIVA
Debe definir de forma clara y precisa todo lo que debe existir y
ser cumplido , tanto desde el punto de vista conceptual, como
práctico, desde lo general a lo particular.
Debe inspirarse en :
Políticas
Marco jurídico
Políticas y normas de la empresa
Experiencia
Prácticas profesionales
LA ORGANIZACION
La integran las personas con funciones especificas y con actuaciones concretas,
procedimientos definidos metodológicamente y aprobados por la dirección de la
empresa. Sin el nada es posible.
Funciones
Procedimientos
Planes (seguridad, contingencia, auditorías, etc.)
LAS METODOLOGIAS
Son necesarias para desarrollar cualquier proyecto que nos propongamos de manera
ordenada y eficaz.
LOS OBJETIVOS DE CONTROL
Son los objetivos a cumplir en el control de procesos y
solamente de un planteamiento correcto de los mismos saldrán
unos procedimientos eficaces y realistas.
LOS PROCEDIMIENTOS DE
CONTROL
Son los procedimientos operativos de las distintas áreas de la empresa, obtenidos
con una metodología apropiada, para la consecución de uno o varios objetivos de
control, y por lo tanto deben estar documentados y aprobados por la Dirección.
TECNOLOGIA DE SEGURIDAD
Dentro de la tecnología de seguridad están los elementos, ya
sean hardware o software, que ayudaran a controlar un riesgo
informático. (cifra dores, autentificado res, equipos “tolerantes
al fallo” etc.)
LAS HERRAMIENTAS DE CONTROL
Son elementos software que permiten definir uno o varios procedimientos de control para
cumplir una normativa y un objeto de control.
Metodologías de evaluación de sistemas
Son todas la metodologías necesarias para realizar un plan de seguridad y auditoria
Son de 2 tipos :
Auditoria informática
Análisis de riesgos
• Facilitan la evaluación de
Análisis de los riesgos
Riesgos • Recomienda acciones coto
-beneficiosas.
25
Metodologías de evaluación de sistemas
Amenaza: una persona, cosa , vista como posible fuente de peligro o catástrofe.
Ejemplo: Inundación, incendio, tobo de datos etc.
Vulnerabilidad: La situación creada por la falta de uno o varios controles con la que la amenaza
pudiera acaecer y así afectar al entorno informático
Ejemplo: Falta de control de acceso lógico , falta de control de versiones.
26
Todas las metodologías existentes desarrolladas y utilizadas en la auditoria y el control
informático se pueden agrupar en dos grandes familias :
27
Metodologías Comunes
28
Plan de Contingencia
Es una estrategia planificada constituida por un conjunto de recursos de respaldo , una
organización de emergencia y unos procedimientos de actuación, encaminada a conseguir
una restauración progresiva y ágil de los servicios de negocio afectados por una paralización
total o parcial de la capacidad operativa de la empresa
Fases del Plan
• En esta fase se definen las pruebas, sus características sus ciclos y se realiza
la primera prueba como comprobación de todo el trabajo realizado y mentalizar
Pruebas y
Mantenimiento al personal implicado
29
Estudia la problemática, las necesidades de recursos, las alternativas de respaldo, y
se analiza el costo/beneficio de las mismas.
Ésta es la fase más importante, pudiendo llegarse al final de la misma incluso a la
conclusión de que no es viable o es muy costoso su seguimiento.
30
Las tareas de esta fase en las distintas metodologías planteadas son las siguientes:
31
Esta fase y la tercera son similares en todas las metodologías.
En ella se desarrolla la estrategia seleccionada, implantándose hasta el final
todas las acciones previstas.
32
En esta fase se definen las pruebas, sus características y sus ciclos, y
se realiza la primera prueba como comprobación de todo el trabajo
realizado, así como concientizar al personal implicado.
33
CARACTERISTICAS DE UN PLAN DE CONTINGENCIA
34
Plan auditor Informático
35
Las partes de un plan auditor informático deben ser al menos las siguientes:
Procedimientos: Para las distintas tareas de las auditorias, Entre ellas están el procedimiento de
apertura , el de entrega y discusión de debilidades , entrega de informe preliminar , cierre de
auditoria , redacción del informe final, etc.
Tipos de auditorias que realiza , Metodologías y cuestionarios de las mismas.
Ejemplo:
Revisión de la aplicación de facturación , revisión de seguridad física, revisión del control interno
,etc.
36
Sistemas de evaluación: Aquí se ve los distintos aspectos que evalúa y que sistemas se ocupan.
Independientemente de que exista un plan de acciones en el informe final , debe hacerse el esfuerzo de
definir varios aspectos a evaluar como nivel de gestión económica , gestión de recursos humanos ,
cumplimiento de normas, etc.
Así como también realizar una evaluación global de resumen para toda la auditoria.
En nuestro país esta evaluación suele hacerse en tres niveles que son # Bien , Regular, Mal, significando la
visión de grado , de gravedad.
Esta evaluación final nos servirá para definir la fecha de repetición de la misma auditoria en el futuro
según el nivel de exposición que se le haya dado a este tipo de auditoria en cuestión.
37
Tienen apartados para definir " Pruebas y anotar sus resultados ".
Esta es una característica clara de la diferencia con las metodologías de evacuación de la consultoría
como las de análisis de riesgos que no tienen estos apartados , aunque también tratan de identificar
vulnerabilidades o falta de controles , esto es la realiza con de pruebas es consustancial a la auditoria ,
dado que tanto el trabajo de consultoría como el análisis de riesgos espera siempre la colaboración
del analizado y por el contrario la auditoria debe demostrar con pruebas todas sus afirmaciones y por
ello siempre debe contener el apartado de las pruebas, llegando al extremo de que hay auditorias que
se basan solo en pruebas como la " Auditoria de integridad".
Entre las dos metodologías de evacuación de sistemas ( Análisis de riesgos y auditoria) existen
similitudes y grandes diferencias.
Ambas tienen papeles de trabajo obtenidos del trabajo de campo tras el plan de entrevistas, Pero los
cuestionarios son totalmente distintos.
Los cuestionarios de análisis de riesgos se trata de preguntas dirigidas a la identificación de la falta de
controles.
38
Ciclos de Auditorias
39
Método de Planeación de Auditoria Enfoque metodológico
Son las actividades desarrolladas por el Auditor en Informática que tienen como objetivo principal
elaborar y presentar un conjunto de Proyectos inherentes a la Función de Auditoría de
Informática a la Alta Dirección, y que estarán orientados primordialmente al aseguramiento de la
Calidad, Seguridad y Control de los diferentes elementos que se encuentran relacionados directa
o indirectamente con los Recursos de Informática.
40
Metodología de la Auditoria en
Informática
Preliminar (diagnostico) Justificación
• Negocio • Áreas a Auditar Revisión Informal
• Informática • Plan Propuesto
Adecuación
• Métodos Formalización
• Técnicas • Aprobación Revisión Formal
• Herramientas • Arranque
Desarrollo
• Entrevista
• Visitas
Aprobación Formal • Observaciones
• Recomendaciones
• Informes auditoria
Implantación
• Acciones correctivas y preventivas
• Seguimiento