Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tesis. - Capítulo 2
Tesis. - Capítulo 2
CAPITULO 2
2.
MARCO
TERICO:
ADMINISTRACIN
DE
Segn Fernando Izquierdo Duarte: El Riesgo es un incidente o situacin, que ocurre en un sitio concreto durante un inter alo de tie!po deter!inado, con consecuencias positi as o negati as que podr"an afectar el cu!pli!iento de los o#$eti os%&
Segn 'l#erto (ancelado )onz*lez: El riesgo es una condicin del !undo real en el cual +a, una e-posicin a la ad ersidad, confor!ada por una co!#inacin de circunstancias del entorno, donde +a, posi#ilidad de p.rdidas%&
/0
Segn 1art"n 2ilc+es 3roncoso: El riesgo es cualquier aria#le i!portante de incertidu!#re que interfiera con el logro de los o#$eti os , estrategias del negocio& Es decir es la posi#ilidad de la ocurrencia de un +ec+o o suceso no deseado o la no4ocurrencia de uno deseado%&
estrat.gicos de la e!presa , de sus procesos cla es& En otras pala#ras es un riesgo cr"tico de la e!presa&
Es la posi#ilidad de errores o
irregularidades en la infor!acin financiera, ad!inistrati a u operati a, antes de considerar la efecti idad de los controles internos dise5ados , aplicados por el ente&
2.1.1.2.+. R!e$%& de Aud!t&#,a: E-iste al aplicar los progra!as de auditor"a, cu,os procedi!ientos no son suficientes para descu#rir errores o irregularidades significati as&
/1
2.1.1.2.-. R!e$%& de C&nt#&(: Est* asociado con la posi#ilidad de que los procedi!ientos de control interno, inclu,endo a la unidad de auditor"a interna, no puedan pre enir o detectar los errores e irregularidades significati as de !anera oportuna&
2.1.1.2... R!e$%& E$t#at/%! &: Se asocia con la for!a en que se ad!inistra la Entidad& El !ane$o del riesgo estrat.gico se enfoca a asuntos glo#ales relacionados con el cu!pli!iento de la !isin de la Entidad, la cual #usca la igilancia de la conducta de los ser idores p#licos, defender el orden $ur"dico , los derec+os funda!entales&
2.1.1.2.0. R!e$%& O'e#at!1&: (o!prende tanto el riesgo en siste!as co!o operati o pro enientes de deficiencias en los siste!as de infor!acin, procesos, estructura, que conducen a ineficiencias, oportunidad de corrupcin o incu!pli!iento de los derec+os funda!entales&
//
2.1.1.2.2. R!e$%& F!nan !e#&: Se relaciona con las e-posiciones financieras de la e!presa& El !ane$o del riesgo financiero toca acti idades de tesorer"a, presupuesto, conta#ilidad , reportes financieros, entre otros&
2.1.1.2.3. R!e$%& de Cum'(!m!ent&: Se asocia con la capacidad de la e!presa para cu!plir con los requisitos regulati os, legales, contractuales, de .tica p#lica, de!ocracia , participacin, ser icio a la co!unidad, interaccin con el ciudadano, respeto a los derec+os, a la indi idualidad, la equidad , la igualdad&
2.1.1.2.4. R!e$%& de Te n&(&%,a: Se asocia con la capacidad de la e!presa en que la tecnolog"a disponi#le satisfaga las necesidades actuales , futuras de la e!presa , soporten el cu!pli!iento de la !isin&
/6
2.1.1.2.15. R!e$%& P#&)e$!&na(: (on$unto de entidades p#licas , pri adas, nor!as , procedi!ientos, destinados a pre enir, proteger , atender a los tra#a$adores de los efectos, de las enfer!edades , los accidentes que puedan ocurrirles con ocasin o co!o consecuencia del tra#a$o que desarrollan&
2.1.1.+. T!'&$ de Cau$a$ de R!e$%&$ de TI: 7as causas de riesgo !*s co!unes, para efectos del te!a, se di iden en:
E-ternas e Internas&
/:
7as causas de riesgo originadas por el +o!#re, son entre otras, las siguientes: Incendios E-plosiones 'ccidentes la#orales Destruccin intencional Sa#ota$e Ro#o Fraude (onta!inacin '!#iental
7as causas internas de riesgo, se generan a partir de las !is!as e!presas& Son !*s frecuentes las causas internas de riesgo que las causas e-ternas&
/;
Sa#ota$e Insuficiencia de Dinero Destruccin: de datos , de recursos <ersonal 8o capacitado 9uelgas Fraudes 'usencia de seguridades f"sicas tanto de la e!presa co!o dela infor!acin&
2.1.2.1. C&n e't&: El concepto de riesgo de 3I puede definirse co!o el efecto de una causa !ultiplicado por la frecuencia pro#a#le de ocurrencia dentro del entorno de 3I& Es el control el que acta so#re la causa del riesgo para !ini!izar sus efectos& (uando se dice que los controles !ini!izan los riesgos, lo que en erdad +acen es actuar so#re las causas de los riesgos, para !ini!izar sus efectos&
2.1.2.2. 6a(&#a !"n de( R!e$%&: 7a aloracin del riesgo consta de tres etapas: 7a identificacin, el an*lisis , la deter!inacin del ni el del riesgo& <ara cada una de ellas es necesario tener en cuenta la
/=
!a,or cantidad de datos disponi#les , contar con la participacin de las personas que e$ecutan los procesos , procedi!ientos para lograr que las acciones deter!inadas alcancen los ni eles de efecti idad esperados& <ara adelantarlas de#en utilizarse las diferentes fuentes de infor!acin&
2.1.2.+. Ident!)! a !"n de( R!e$%&: El proceso de la identificacin del riesgo de#e ser per!anente, integrado al proceso de planeacin , responder a las preguntas qu., co!o , por qu. se pueden originar +ec+os que influ,en en la o#tencin de resultados&
>na !anera de realizar la identificacin del riesgo es a tra .s de la ela#oracin de un !apa de riesgos, el cual co!o +erra!ienta !etodolgica per!ite +acer un in entario de los !is!os ordenada , siste!*tica!ente, definiendo en pri!era instancia los riesgos, posterior!ente presentando una descripcin de cada uno de ellos , las posi#les consecuencias&
/?
RIESGO.
DESCRIPCIN
POSI7LES CONSECUENCIAS
de Se
refiere
de caracter"sticas o
situacin generales
nor!al desarrollo !anifiesta el riesgo pueden traducir en de las funciones identificado de la entidad , le i!pidan el logro de sus o#$eti os& da5os de tipo social,
econ!ico,
2.1.2.-.1. O9:et!1& Gene#a( de( An8(!$!$ de R!e$%&: Su o#$eti o es esta#lecer una aloracin , priorizacin de los riesgos con #ase en la infor!acin ofrecida por los !apas ela#orados en la etapa de identificacin, con el fin de clasificar los riesgos , pro eer infor!acin
/@
an a
Se +an esta#lecido dos aspectos para realizar el an*lisis de los riesgos identificados:
<ro#a#ilidad: 7a posi#ilidad de ocurrencia del riesgo, la cual puede ser !edida con criterios de frecuencia o teniendo en cuenta la presencia de factores internos , e-ternos que puedan propiciar el riesgo, aunque .ste no se +a,a presentado nunca&
<ara el an*lisis cualitati o se esta#lece una escala de !edida cualitati a en donde se esta#lecen unas categor"as a utilizar , la descripcin de cada una de ellas, con el fin que cada persona la aplique, por e$e!plo:
'73': Es !u, facti#le que el +ec+o se presente 1EDI': Es facti#le que el +ec+o se presente A'B': Es poco facti#le que el +ec+o se presente
/9
Ese !is!o dise5o puede aplicarse para la escala de !edida cualitati a de I1<'(3C, esta#leciendo las categor"as , la descripcin, por e$e!plo:
'73C: Si el +ec+o llegara a presentarse, tendr"a alto i!pacto o efecto so#re la Entidad& 1EDIC: Si el +ec+o llegara a presentarse tendr"a !edio i!pacto o efecto en la entidad& A'BC: Si el +ec+o llegara a presentarse tendr"a #a$o i!pacto o efecto en la entidad&
'nalizar el tie!po, esfuerzo , recursos disponi#les , necesarios para atacar los pro#le!as& Definir cu*les son los recursos e-istentes&
60
7le ar a ca#o un !inuciosos an*lisis de los riesgos , de#ilidades& Identificar, definir , re isar todos los controles de seguridad ,a e-istentes& Deter!inar si es necesario incre!entar las !edidas de seguridad, los costos del riesgo , los #eneficios esperados&
2.1.2... Mat#!; de P#!&#!;a !"n de (&$ R!e$%&$: >na ez realizado el an*lisis de los riesgos con #ase en los aspectos de pro#a#ilidad e i!pacto, se reco!ienda utilizar la !atriz de priorizacin que per!ite deter!inar cuales riesgos requieren de un trata!iento in!ediato&
PRO7A7ILIDAD
'lta
Aa$a
C Aa$o
D 'lto IMPACTO
61
(uando se u#ican los riesgos en la !atriz se define cuales de ellos requieren acciones in!ediatas, que en este caso son los del cuadrante A, es decir los de alto i!pacto , alta pro#a#ilidad, respecto a los riesgos que queden u#icados en el cuadrante ' , D, se de#e seleccionar de acuerdo a la naturaleza del riesgo, ,a que estos pueden ser peligrosos para el alcance de los o#$eti os institucionales por las consecuencias que presentan los u#icados en el cuadrante D o por la constante de su presencia en el caso del cuadrante '&
<ode!os citar co!o e$e!plo, una !atriz de frecuencia de re isin de siste!as, donde cada "ndice tiene una ponderacin , cada cuenta del siste!a es analizada , calificada de acuerdo a la ponderacin deter!inada&
. Fd&$. T#=.
6/
2.1.2.0. Dete#m!na !"n de( N!1e( de( R!e$%&: 7a deter!inacin del ni el de riesgo es el resultado de confrontar el i!pacto , la pro#a#ilidad con los controles e-istentes al interior de los diferentes procesos , procedi!ientos que se realizan& <ara adelantar esta
etapa se de#en tener !u, claros los puntos de control e-istentes en los diferentes procesos, los cuales per!iten o#tener infor!acin para efectos de to!ar decisiones, estos ni eles de riesgo pueden ser:
'73C: (uando el riesgo +ace alta!ente ulnera#le a la entidad o dependencia& DI!pacto , pro#a#ilidad alta ersus controles e-istentesE
ulnera#ilidad !edia&
DI!pacto alto 4 pro#a#ilidad #a$a o I!pacto #a$o 4 pro#a#ilidad alta ersus controles e-istentesE&
7o anterior significa que a pesar que la pro#a#ilidad , el i!pacto son altos confrontado con los controles se puede afir!ar que el ni el de riesgo es !edio , por lo tanto las acciones que se i!ple!enten
66
entraran a reforzar los controles e-istentes , a alorar la efecti idad de los !is!os&
2.1.2.2. Mane:& de( R!e$%&: (ualquier esfuerzo que e!prendan las entidades en torno a la aloracin del riesgo llega a ser en ano, si no cul!ina en un adecuado !ane$o , control de los !is!os definiendo acciones facti#les , efecti as, tales co!o la i!plantacin de pol"ticas, est*ndares, procedi!ientos , ca!#ios f"sicos entre otros, que +agan parte de un plan de !ane$o&
<ara el !ane$o del riesgo se pueden tener en cuenta algunas de las siguientes opciones, las cuales pueden considerarse cada una de ellas independiente!ente, interrelacionadas o en con$unto&
E itar el riesgo: Es sie!pre la pri!era alternati a a considerar& Se logra cuando al interior de los procesos se generan ca!#ios sustanciales por !e$ora!iento, redise5o o eli!inacin, resultado de unos adecuados controles , acciones e!prendidas& >n e$e!plo de esto puede ser el control de calidad, !ane$o de los insu!os, !anteni!iento pre enti o de los equipos, desarrollo tecnolgico, etc&
6:
Reducir el riesgo: Si el riesgo no puede ser e itado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al !*s #a$o ni el posi#le& 7a reduccin del riesgo es pro#a#le!ente el !.todo !*s sencillo , econ!ico para superar las de#ilidades antes de aplicar !edidas !*s costosas , dif"ciles& Se consigue !ediante la opti!izacin de los procedi!ientos , la i!ple!entacin de controles&
Dispersar , ato!izar el riesgo: Se logra !ediante la distri#ucin o localizacin del riesgo en di ersos lugares& Es as" co!o por e$e!plo, la infor!acin de gran i!portancia se puede duplicar , al!acenar en un lugar distante , de u#icacin segura, en ez de de$arla concentrada en un solo lugar e$e!plo de ello el procedi!iento utilizado por la Cficina de Siste!as para la sal aguarda de la infor!acin que se genera diaria!ente en la Entidad&
3ransferir el riesgo: 9ace referencia a #uscar respaldo , co!partir con otro parte del riesgo co!o por e$e!plo to!ar plizas de segurosF se traslada el riesgo a otra parte o f"sica!ente se traslada a otro lugar& Esta t.cnica es usada para eli!inar el riesgo de un lugar , pasarlo a otro o de un grupo a otro& 's" !is!o, el riesgo puede ser !ini!izado co!parti.ndolo con otro grupo o dependencia&
6;
'su!ir el riesgo: 7uego que el riesgo +a sido reducido o transferido puede quedar un riesgo residual que se !antiene& En este caso, el gerente del proceso si!ple!ente acepta la p.rdida residual pro#a#le , ela#ora planes de contingencia para su !ane$o&
>na ez esta#lecidos cu*les de los anteriores !ane$os del riesgo se an a concretar, .stos de#en e aluarse con relacin al #eneficio4costo para definir, cu*les son suscepti#les de ser aplicados , proceder a ela#orar el plan de !ane$o de riesgo, teniendo en cuenta, el an*lisis ela#orado para cada uno de los riesgos de acuerdo con su i!pacto, pro#a#ilidad , ni el de riesgo&
<osterior!ente se definen los responsa#les de lle ar a ca#o las acciones especificando el grado de participacin de las dependencias en el desarrollo de cada una de ellas& 's" !is!o, es i!portante
construir indicadores, entendidos co!o los ele!entos que per!iten deter!inar de for!a pr*ctica el co!porta!iento de las aria#les de riesgo, que an a per!itir !edir el i!pacto de las acciones&
6=
propuestas reducen la !aterializacin del riesgo , +acer una e aluacin $ur"dica, t.cnica, institucional, financiera , econ!ica, es decir considerar la ia#ilidad de su adopcin& 7a seleccin de las
acciones !*s con enientes para la entidad se puede realizar con #ase en los siguientes factores:
aE el ni el del riesgo #E el #alance entre el costo de la i!ple!entacin de cada accin contra el #eneficio de la !is!a&
>na ez realizada la seleccin de las acciones !*s con enientes se de#e proceder a la preparacin e i!plantar del plan, identificando responsa#ilidades, progra!as, resultados esperados, !edidas para erificar el cu!pli!iento , las caracter"sticas del !onitoreo& El .-ito
de la adopcin ,Go e$ecucin del plan requiere de un siste!a gerencial efecti o el cual tenga claro el !.todo que se a a aplicar&
Es i!portante tener en cuenta que los o#$eti os est*n consignados en la planeacin anual de la entidad, por tal razn se sugiere incluir el plan de !ane$o de riesgos dentro de la planeacin, con el fin de no solo alcanzar los o#$eti os sino de definir ta!#i.n las acciones&
6?
2.1.2.3.1. Ut!(!dad de( M/t&d& Mat#! !a( 'a#a e( an8(!$!$ de R!e$%&$: Este !.todo utiliza una !atriz para !ostrar gr*fica!ente tanto las a!enazas a que est*n e-puestos los siste!as co!putarizados co!o los o#$etos que co!prenden el siste!a& Dentro de cada celda se !uestran los controles que atacan a las a!enazas&
2.1.2.3.2.1. Mat#!; de R!e$%&$ C#,t! &$ 6$. E$ ena#!&$ de R!e$%&: En esta se representan los escenarios o puntos del proceso que pueden ser i!pactados por los riesgos potenciales cr"ticos& (on una H-H se se5alan las celdas en donde podr"a presentarse cada riesgo& <ara co!pletar el significado de esta !atriz, en +o$a separada se descri#e la for!a co!o podr"a presentarse cada riesgo en los diferentes escenarios !arcado con H-%&
6@
TA7LA III MATRI< DE LOCALI<ACIN DE RIESGOS POTENCIALES CRTICOS EN LOS ESCENARIOS DE RIESGO
Proceso de Negocio o Sistema : CDTs. No Escenario de Riesgo Fraude Exces o de Egres os 1 # % Generaci n ! Registro de Transacciones Ingreso de $os datos a$ sistema Procesamiento de $as transacciones ! act&a$i'aci n ) de $a (ase de datos *ti$i'aci n ! contro$ de $os res&$tados +or +arte de $os , / &s&arios de$ sistema C&stodia de t-t&$os .a$ores Registro conta($e de $as transacciones " " " " " " " " Sanci o-nes legale s " Prdid a Credib i-lidad
"
"
"
2.1.2.3.2.2. Mat#!; de R!e$%&$ C#,t! &$ 6$. De'enden !a$. En esta se representan las dependencias que pueden ser i!pactadas por los
riesgos potenciales cr"ticos& (on una H-H se se5alan las celdas en donde
69
podr"a presentarse cada riesgo& <ara co!pletar el significado de esta !atriz, en +o$a separada se descri#e la for!a co!o podr"a presentarse cada riesgo en las dependencias !arcadas con H-H&
Proceso de Negocio o Sistema : CDTs. No 1 # % ) Dependencias S&c&rsa$es D+to. de Sistemas Conta(i$idad DECE4AL Fraude " " Exceso de Egresos " Sanciones legales " " " " Prdida Credibilidad
:0
2.1.2.3.2.+. L& a(!;a !"n de (&$ R!e$%&$ C#,t! &$ en Mat#!; de De'enden !a$ 6$ E$ ena#!&$ de R!e$%&: Es el resultado de co!#inar las dos !atrices anteriores& En las celdas de esta !atriz se escri#en las identificaciones de los riesgos cr"ticos que correspondan& 2er figura ;: 7ocalizacin de riesgos cr"ticos en las Dependencias que inter ienen en el proceso o siste!a&
>tilizando cdigos de identificacin alfanu!.ricos para los riesgos potenciales cr"ticos, dentro de esta !atriz se identifican los riesgos que podr"an !aterializarse en cada dependencia%& pare$a escenario I
R1: Fraude&
R+: <.rdida de
(redi#ilidad <#lica.
:1
Proceso de Negocio o Sistema : CDTs. No 1 # % Escenario de Riesgo Generaci n de Transacciones Ingreso de $os datos a$ sistema Procesamiento de $as transacciones ! act&a$i'aci n ) de $a (ase de datos *ti$i'aci n ! contro$ de $os res&$tados +or +arte de $os , / &s&arios de$ sistema C&stodia de t-t&$os .a$ores Registro conta($e de $as transacciones R16R% R# R# Sucursales R16 R# R1 R16R# Sis e!as Dece"al Con abilidad
:/
organizaciones necesitan to!ar riesgos para so#re i ir, la !a,or"a de ellas necesitan incre!entar el ni el de riesgos que to!an para ser e-itosas a largo plazo& (on el significati o incre!ento en la co!petencia, los o#$eti os , !etas agresi os de las corporaciones se est*n con irtiendo en nor!a& <ara direccionar este ca!#io, los l"deres !undiales est*n fortaleciendo sustancial!ente sus pr*cticas de ad!inistracin de riesgos para asegurar que si las iniciati as o el
:6
funciona!iento de las unidades de negocio se descarrilan%, esto se identifique r*pida!ente poder actuar para corregir la situacin&
2.1.+.1. De)!n! !"n: Es un proceso interacti o e iterati o #asado en el conoci!iento, e aluacin , !ane$o de los riesgos , sus i!pactos, con el propsito de !e$orar la to!a de decisiones organizacionales&
Es aplica#le a cualquier situacin donde un resultado no deseado o inesperado pueda ser significati o o donde se identifiquen
oportunidades de !e$ora&
Facilita el logro de los o#$eti os de la organizacin& 9ace a la organizacin !*s segura , consciente de sus riesgos&
1e$ora!iento continuo del Siste!a de (ontrol Interno& Cpti!iza la asignacin de recursos& 'pro ec+a!iento de oportunidades de negocio&
::
Soporta el logro de los o#$eti os de la auditoria& Estandarizacin en el !.todo de tra#a$o& Integracin del concepto de control en las pol"ticas organizacionales&
1a,or efecti idad en la planeacin general de 'uditoria& E aluaciones enfocadas en riesgos& 1a,or co#ertura de la ad!inistracin de riesgos& 'uditorias !*s efecti as , con !a,or alor agregado&
2.1.+.-. Fa t&#e$ a &n$!de#a#: 7os principales factores que se de#en considerar en la 'd!inistracin de Riesgos de 3I son:
Seguridades
:;
(ontroles: <re enti os, Detecti os , (orrecti os C#$eti os 1anuales de usuarios <ol"ticas
Si no e-iste una adecuada consideracin de los factores antes descritos , si nuestros controles , seguridades fueran errados, nuestros planes organizacionales, financieros, ad!inistrati os , de siste!as se er"an seria!ente afectados, ,a que no slo el *rea de siste!as ser* el afectado&
2.1.-.1. C&n e't&: 7a 'd!inistracin de Riesgos de 3I es el proceso continuo #asado en el conoci!iento, e aluacin, !ane$o de los riesgos , sus i!pactos que !e$ora la to!a de decisiones organizacionales, frente a los riesgos de 3I&
Es entonces la ad!inistracin de riesgos el t.r!ino asociado al con$unto de pasos secuenciales, lgicos , siste!*ticos que de#e
:=
riesgos asociados a los procesos de 3I de la organizacin, los cuales e$ecutados en for!a organizada le per!iten encontrar soluciones reales a los riesgos detectados !ini!izando las p.rdidas o !a-i!izando las oportunidades de !e$ora&
' ni el organizacional:
'lcance o logro de los o#$eti os organizacionales& Jnfasis en prioridades de negocio: per!ite a los directi os enfocar sus recursos en los o#$eti os
pri!arios& 3o!ar accin para pre enir , reducir p.rdidas, antes que corregir despu.s de los +ec+os, es una estrategia efecti a de ad!inistracin del riesgo& Fortaleci!iento del proceso de planeacin& 'po,o en la identificacin de oportunidades& Fortaleci!iento de la cultura de autocontrol&
:?
(a!#io cultural que soporta discusiones a#iertas so#re riesgos e infor!acin potencial!ente peligrosa& 7a nue a cultura tolera equi ocaciones pero no tolera errores escondidos& 7a nue a cultura ta!#i.n +ace .nfasis en el aprendiza$e de los errores&
1e$or ad!inistracin financiera , operacional al asegurar que los riesgos sean adecuada!ente considerados en el proceso de to!a de decisiones& generar* >na ser icios !e$or !*s
ad!inistracin
operacional
efecti os , eficientes& 'nticipando los pro#le!as, los directi os tendr*n !a,or oportunidad de reaccin , to!ar acciones& 7a organizacin ser* capaz de cu!plir con sus pro!esas de ser icio& 1a,or responsa#ilidad de los ad!inistradores en el corto plazo& ' largo plazo, se !e$orar*n todas las capacidades de los directi os&
:@
7a 'd!inistracin de Riesgos de#e ser parte integral del proceso ad!inistrati o utilizado por la Direccin de la Crganizacin&
7a 'd!inistracin de Riesgos es un proceso !ultifac.tico , participati o, el cual es frecuente!ente !e$or lle ado a ca#o por un equipo !ultidisciplinario&
'
continuacin se descri#en las principales etapas definidas para el <roceso de 'd!inistracin de Riesgos de 3I&
FIGURA 2.2.
:9
2.1.-.-.1. E$ta9(e !m!ent& de (a Met&d&(&%,a de TI: <er!ite, a tra .s del conoci!iento del entorno , de la organizacin, esta#lecer criterios generales que ser*n utilizados para i!ple!entar el enfoque de 'd!inistracin de Riesgos de 3I en el *rea de siste!as de la Crganizacin&
Durante esta etapa se de#e esta#lecer la !etodolog"a que ser* utilizada para la 'd!inistracin de Riesgos de 3I en el *rea de siste!as de la e!presa&
;0
(onsiste en analizar los riesgos e-istentes en el *rea , de acuerdo a este an*lisis, deter!inar cual de las alternati as propuestas D!etodolog"asE a a ser la !e$or opcin para la realizacin del tra#a$o&
2.1.-.-.2.
Ident!)! a !"n
de
R!e$%&$
de
TI:
1ediante
el
esta#leci!iento de un !arco de accin espec"fico se puede entender el o#$eto so#re el cual se aplicar* el proceso de 'd!inistracin de Riesgos de 3I&
El propsito final de esta etapa es pro eer los !ecanis!os necesarios para recopilar la infor!acin relacionada con los riesgos, i!pactos , sus causas&
'lgo i!portante en esta etapa, es tener claro la definicin de Riesgo& <ara la !a,or"a de partes, los riesgos son perci#idos co!o cualquier cosa o e ento que podr"a apo,ar la for!a en que la organizacin alcance sus o#$eti os&
;1
<or consiguiente, la 'd!inistracin de Riesgos de 3I no est* dirigida e-clusi a!ente a e itarlos& Su enfoque est* en identificar, e aluar, controlar , do!inar% los riesgos&
2.1.-.-.+. An8(!$!$ de( R!e$%&$ de TI: En esta etapa se #usca o#tener el entendi!iento , conoci!iento de los riesgos identificados de tal !anera que se pueda recopilar infor!acin que per!ita el c*lculo del ni el de riesgo al cual est* e-puesto el o#$eto, Identificar los controles e-istentes i!ple!entados para !itigar el i!pacto ante la ocurrencia de los riesgos de 3I, per!itiendo de esta !anera alorar los ni eles del riesgo, la efecti idad de los controles , el ni el de e-posicin&
El riesgo de 3I es analizado a tra .s de la co!#inacin de esti!ati os de pro#a#ilidad , de las consecuencias en el conte-to de las !edidas de control e-istentes& El an*lisis de riesgos de 3I in olucra un de#ido e-a!en de las fuentes de riesgo, sus consecuencias , la pro#a#ilidad de que esas consecuencias puedan ocurrir& <ueden llegar a identificarse factores que afectan tanto las consecuencias co!o la pro#a#ilidad&
;/
7os esti!ati os pueden deter!inarse utilizando an*lisis, estad"sticas , c*lculos& 'lternati a!ente donde no +a, datos +istricos disponi#les, se pueden +acer esti!ati os su#$eti os que refle$en el grado de creencia de un grupo o de un indi iduo en que un e ento en particular o suceso ocurran&
2.1.-.-.-. E1a(ua !"n > P#!&#!;a !"n de R!e$%&$ de TI: 7a e aluacin de riesgos de 3I inclu,e co!parar el ni el de riesgo encontrado durante el proceso de an*lisis contra el criterio de riesgo esta#lecido pre ia!ente, , decidir si los riesgos pueden ser aceptados&
El an*lisis de riesgos , los criterios contra los cuales los riesgos son co!parados en la aloracin de#en ser considerados so#re la !is!a #ase& 's", e aluaciones cualitati as inclu,en la co!paracin de un ni el cualitati o de riesgo contra criterios cualitati os, , e aluaciones cuantitati as in olucran la co!paracin de ni eles esti!ados de riesgo contra criterios que pueden ser e-presados co!o n!eros
;6
El resultado de una e aluacin de riesgos es una lista priorizada de riesgos para definirles acciones de trata!iento posteriores&
<ara e aluar riesgos +a, que considerar, entre otros factores, el tipo de infor!acin al!acenada, procesada , trans!itida, la criticidad de las aplicaciones, la tecnolog"a usada, el !arco legal aplica#le, el sector de la entidad, la entidad !is!a , el !o!ento&
2.1.-.-... T#atam!ent& de R!e$%&$ de TI ?C&nt#&(e$ De)!n!t!1&$@: Despu.s de alorar , priorizar los riesgos de 3I, , dependiendo del ni el de e-posicin, se de#e deter!inar la opcin de trata!iento que !*s con iene aplicar en cada caso& El trata!iento de riesgos de 3I inclu,e la identificacin de la ga!a de opciones de trata!iento del riesgo de 3I, la e aluacin de las !is!as, la preparacin de planes de trata!iento de riesgos de 3I , su posterior i!ple!entacin por parte de la )erencia de la e!presa&
7as opciones de trata!iento que se relacionan a continuacin no son !utua!ente circunstancias: e-clusi as ni ser*n apropiadas en todas las
;:
E2I3'R el riesgo: Se decide, donde sea pr*ctico, no proceder con procesos ,Go acti idades que podr"an generar riesgos inacepta#les, #uscando con ello eludir el riesgo in+erente asociado a esos o#$etos& Es sie!pre la pri!era alternati a que de#e considerarse&
RED>(IR el riesgo: 7a organizacin decide pre enir ,Go reducir el riesgo de 3I& Si el riesgo no se puede e itar porque crea grandes dificultades en el departa!ento, el siguiente paso es reducirlo al !*s #a$o ni el posi#le, el cual de#e ser co!pati#le con las acti idades del *rea& Se consigue !ediante la opti!izacin de los procedi!ientos , la i!ple!entacin de controles&
RED>(IR la pro#a#ilidad de ocurrencia: <re encin del riesgo a tra .s de la i!ple!entacin de acciones tendientes a controlar su frecuencia o pro#a#ilidad&
RED>(IR
riesgo a tra .s de la i!ple!entacin de acciones o !edidas de control dirigidas a dis!inuir el i!pacto o se eridad de las consecuencias del riesgo si .ste ocurre&
;;
'S>1IR el riesgo: 7a organizacin decide aceptar los riesgos co!o ellos e-isten en la actualidad, , esta#lece pol"ticas o estrategias apropiadas para su trata!iento&
Ctra !anera de 'S>1IR los riesgos, pero de#e +acerse a un ni el adecuado en la entidad , considerando que puede ser !uc+o !a,or el costo de la inseguridad que el de la seguridad, lo que a eces slo se sa#e cuando +a ocurrido algo& K(u*l es el riesgo !*-i!o ad!isi#le que puede per!itirse una entidadL 'lguna ez se nos +a +ec+o la pregunta, , depende de lo cr"tica que sea para la entidad la infor!acin as" co!o disponer de ella, e incluso puede depender del !o!ento&
est*ticos& <or ello, los riesgos , la efecti idad de sus !edidas de control necesitan ser !onitoreados continua!ente para asegurar que circunstancias ca!#iantes no alteren las prioridades&
Re isiones progresi as son esenciales para asegurar que los planes de la ad!inistracin per!anecen rele antes& 7os factores que afectan
;=
la pro#a#ilidad , la consecuencia de un resultado puede ca!#iar, al igual que los factores que afectan la opciones de trata!iento& ia#ilidad o el costo de las
2.1.-...1. Int#&du
1.todo es el !odo de decir o +acer con orden una cosa%& 'si!is!o define el diccionario la pala#ra 1etodolog"a co!o con$unto de !.todos que se siguen en una in estigacin cient"fica%& Esto significa que cualquier proceso cin.tico de#e estar su$eto a una disciplina de proceso defina con anterioridad que lla!are!os 1etodolog"a&
7a Infor!*tica +a sido tradicional!ente una !ateria co!ple$a en todos sus aspectos, por lo que se +ace necesaria la utilizacin de !etodolog"as en cada doctrina que la co!ponen, desde su dise5o de ingenier"a +asta la auditoria de los siste!as de infor!acin&
7as !etodolog"as usadas por un profesional dicen !uc+o de su for!a de entender su tra#a$o, , est*n directa!ente relacionadas con su
;?
e-periencia profesional acu!ulada co!o parte del co!porta!iento +u!ano de acierto G error%&
'si!is!o una !etodolog"a es necesaria para que un equipo de profesionales alcance un resultado +o!og.neo tal co!o si lo +iciera uno solo, por lo que resulta +a#itual el uso de !etodolog"as en las e!presas auditoras G consultoras profesionales, desarrolladas por los !*s e-pertos, para conseguir resultados +o!og.neos en equipos de tra#a$o +eterog.neos&
7a proliferacin de !etodolog"as en el !undo de la auditoria , el control infor!*tico se pueden o#ser ar en los pri!eros a5os de la d.cada de los oc+enta, paralela!ente al naci!iento ,
co!ercializacin de deter!inadas +erra!ientas !etodolgicas& <ero el uso de !.todos de auditoria es casi paralelo al naci!iento de la infor!*tica, en la que e-isten !uc+as disciplinas cu,o uso de !etodolog"as constitu,e una pr*ctica +a#itual& >na de ellas es la seguridad de los siste!as de infor!acin&
'unque de for!a si!plista se trata de identificar la seguridad infor!*tica a la seguridad lgica de los siste!as, nada est* !*s le$os
;@
de la realidad +o, en d"a, e-tendi.ndose sus ra"ces a todos los aspectos que suponen riesgos para la infor!*tica&
Si defini!os la Seguridad delos Siste!as de Infor!acin% co!o la doctrina que trata de los riesgos infor!*ticos o creados por la infor!*tica, entonces la auditor"a es una de las figuras in olucradas en este proceso de proteccin , preser acin de la infor!acin , de sus !edios de proceso&
<or lo tanto, el ni el de seguridad infor!*tica en una entidad es un o#$eti o a e aluar , est* directa!ente relacionado con la calidad , eficacia de un con$unto de acciones , !edidas destinadas a proteger , preser ar la infor!acin de la entidad , sus !edios de proceso&
2.1.-...1.1. L&$ P#& ed!m!ent&$ de C&nt#&(: Son los procedi!ientos operati os de las distintas *reas de a e!presa, o#tenidos con una !etodolog"a apropiada, para la consecucin de uno o arios o#$eti os de control ,, por tanto, de#en de estar docu!entados , apro#ados por la direccin& 7a tendencia +a#itual de los infor!*ticos es la de dar !*s peso a la +erra!ienta que al control o contra!edida%, pero no se de#e ol idar que una +erra!ienta nunca es una solucin sino una
;9
a,uda para conseguir un control !e$or%& Sin la e-istencia de estos procedi!ientos, las +erra!ientas de control son slo una an.cdota&
2.1.-...1.2. Dentro de la Te n&(&%,a de Se%u#!dad est*n todos los ele!entos ,a sean +ardMare o softMare, que a,udan a controlar un riesgo infor!*tico& Dentro de este concepto est*n los cifradores, autentificadores, equipos tolerantes al fallo%, las +erra!ientas de control, etc&
2.1.-...1.+. La$ *e##am!enta$ de &nt#&( son los ele!entos softMare que per!iten definir uno o arios procedi!ientos de control para
3odos estos factores est*n relacionados entre s", as" co!o la calidad de cada uno con la de los de!*s& (uando se e ala el ni el de Seguridad de Siste!as en una institucin, se est*n e aluando todos estos factores , se plantea un <lan de Seguridad nue o que !e$ore todos los factores, aunque confor!e se a,an realizando los distintos pro,ectos del plan, no se ir*n !e$orando todos por igual& 'l finalizar el plan se +a#r* conseguido una situacin nue a en la que el ni el de control sea superior al anterior&
=0
Se lla!ar* <lan de Seguridad a una estrategia planificada de acciones , productos que lle en a un siste!a de infor!acin , sus centros de proceso de una situacin inicial deter!inada D, a !e$orarE a una situacin !e$orada&
2.1.-...2.1. C&n e't&$ Fundamenta(e$: En el !undo de la seguridad de siste!as se utilizan todas las !etodolog"as necesarias para realizar un plan de seguridad ade!*s de las de auditor"a infor!*tica&
7as dos !etodolog"as de e aluacin de siste!as por e-celencia son las de 'n*lisis de Riesgos , las de 'uditor"a Infor!*tica, con dos enfoques distintos& 7a auditor"a infor!*tica slo identifica el ni el de e-posicin% por la falta de controles, !ientras el an*lisis de riesgos facilita la e aluacin% de los riesgos , reco!ienda acciones en #ase al costo4#eneficio de las !is!as&
=1
'!enaza: >naDsE personaDsE o cosaDsE istaDsE co!o posi#le fuente de peligro o cat*strofe& E$e!plo: inundacin, incendio, ro#o de datos, sa#ota$e, aplicaciones !al dise5adas, etc&
arios
controles, con la que la a!enaza pudiera suceder , as" afectar el entorno infor!*tico& E$e!plos: falta de control de acceso lgico, ine-istencia de un control de soportes !agn.ticos, falta de cifrado en las teleco!unicaciones, etc&
Riesgo: 7a pro#a#ilidad de que una a!enaza llegue a suceder por una ulnera#ilidad& E$e!plo: los datos estad"sticos de cada e ento de una #ase de datos de incidentes&
E-posicin o I!pacto: 7a e aluacin del efecto del riesgo& E$e!plo: es frecuente e aluar el i!pacto en t.r!inos econ!icos, aunque no sie!pre lo es, co!o idas +u!anas, i!agen de la e!presa, +onor, defensa nacional, etc&
=/
E itarlos Dpor e$e!plo: no construir un centro donde +a, peligro constante de inundacionesE&
<ara los tres pri!eros, se acta si se esta#lecen controles o contra!edidas& 3odas las !etodolog"as e-istentes en seguridad de siste!as an enca!inadas a esta#lecer , !e$orar un entra!ado de contra!edidas que garanticen que la pro#a#ilidad de que las a!enazas se !aterialicen en +ec+os Dpor falta de controlE sea lo !*s #a$a posi#le o al !enos quede reducida de una for!a razona#le en costo I #eneficio&
2.1.-...2.2. T!'&$ de Met&d&(&%,a$: 3odas las !etodolog"as e-istentes desarrolladas , utilizadas en la auditor"a , el control infor!*tico, se pueden agrupar en dos grandes fa!ilias& Jstas son:
=6
(uantitati as: Aasadas en un !odelo !ate!*tico nu!.rico que a,uda a la realizacin del tra#a$o&
(ualitati as: Aasadas en el criterio , raciocinio +u!ano capaz de definir un proceso de tra#a$o, para seleccionar en #ase a la e-periencia acu!ulada&
2.1.-...2.2.1. Met&d&(&%,a$ Cuant!tat!1a$: Este tipo de !etodolog"as +an sido dise5adas para producir una lista de riesgos que pueden co!para#les entre s", con facilidad de poder asignarles alores
nu!.ricos& Estos alores en el caso de !etodolog"as de an*lisis de riesgos, son datos de pro#a#ilidad de ocurrencia de una situacin o e ento que se de#e e-traer de un registro de incidencias donde el n!ero de incidencias sea suficiente!ente grande o tienda al infinito& Esto no se aplica con precisin en la pr*ctica, pero se apro-i!a ese alor de for!a su#$eti a restando as" rigor cient"fico al c*lculo& <ero dado que el c*lculo se +ace para a,udar a elegir el !.todo entre arias contra!edidas podr"a ser aceptado&
=:
'&7&E& D'nnualized 7oss E-pentac,E: !ultiplicar la p.rdida !*-i!a posi#le de cada #ien Grecurso por la a!enaza con pro#a#ilidad !*s alta&
Retorno de la In ersin DR&C&I&E: '&7&E& original !enos '&7&E& reducido Dco!o resultado de la !edidaE, di idido por el
coste anualizado de la !edida& Reduccin del '&7&E& D'nnualized 7oss E-pectanc,E: Es el cociente entre el coste anualizado de la instalacin , el !anteni!iento de la !edida contra el alor total del #ien
Estos coeficientes , algunos otros son utilizados para la si!ulacin que per!ite elegir entre riesgos& arias contra!edidas en el an*lisis de
<or consiguiente, se nota con claridad los dos grandes incon enientes o pro#le!as que presentan estas !etodolog"as: por una parte la de#ilidad de los datos de la pro#a#ilidad de ocurrencia por los pocos registros , la poca significacin de los !is!os a ni el !undial, , por otra la i!posi#ilidad o dificultad de e aluar econ!ica!ente todos los
=;
i!pactos que pueden suceder frente a la enta$a de poder usar un !odelo !ate!*tico para el an*lisis&
2.1.-...2.2.2.
Met&d&(&%,a$
Cua(!tat!1a$:
<recisan
de
la
in olucracin de un profesional e-peri!entado& Aasadas en !.todos estad"sticos , lgica #orrosa D+u!ana, no !ate!*ticaE& <ero
requieren !enos recursos +u!anos G tie!po que las !etodolog"as cuantitati as&
7a tendencia de uso en la realidad es la !ezcla de a!#as& ' continuaciones !uestra un cuadro co!parati o de las co!paraciones entre estos dos tipos de !etodolog"as:
==
TA7LA 6I COMPARACIN ENTRE LAS METODOLOGAS CUANTITATIVAS Y CUALITATIVAS Cuant!tat!1a Cua(!tat!1a Enfoca pensa!ientos 4 Enfoque lo a!plio que se
!ediante el uso de n!eros& desee& Facilita la co!paracin de 4 <lan de tra#a$o fle-i#le o P # & $ ulnera#ilidades distintas& 4 <roporciona una $ustificante contra!edida& para !u, reacti o& 4 Se concentra en la cifra identificacin de e entos& cada 4 Inclu,e factores intangi#les&
4 Esti!acin de pro#a#ilidad 4 Depende fuerte!ente de la depende C & n t # a $ de estad"sticas +a#ilidad <uede , calidad del fia#les ine-istentes& potenciales slo si personal in olucrado& e-cluir riesgos son significantes desconocidos
4 Esti!acin de las p.rdidas 4 alores cuantifica#les& 4 1etodolog"as est*ndares& !odificar& 4 Dependencia de profesional&
Ddepende de la capacidad del profesional para usar la 4 Identificacin de e entos un reales !*s claros al no tener que aplicarles pro#a#ilidades co!ple$as de calcular& 4 Dependencia de un profesional&
=?
co!unes de e aluacin de siste!as que pode!os encontrar son de an*lisis de riesgos o de diagnsticos de seguridad, las de plan de contingencias, , las de auditor"a de controles generales&
=@
2.1.-...2.+.1.
Met&d&(&%,a$
de
An8(!$!$
de
R!e$%&:
Est*n
desarrolladas para la identificacin de la falta de controles , el esta#leci!iento de un plan de contra!edidas& E-isten dos tipos: 7as cuantitati as , las cualitati as, de las que e-isten gran cantidad de a!#as clases , slo citare!os algunas de ellas&
El esque!a #*sico de una !etodolog"a de an*lisis de riesgos es, en esencia, el representado a continuacin:
las contra!edidas , el coste Etapa , : riesgos En #ase aIdentificar estos cuestionarios se identifican ulnera#ilidades Si!ulaciones Etapa ; , se e ala el i!pacto para !*s tarde identificar las contra!edidas , (reacin de los Infor!es Etapa = el coste& 7a siguiente etapa es la !*s i!portante, pues !ediante un $uego de si!ulacin Dque se lla!ar* KNu. pasa si&&L%E que analizar* el efecto de las distintas contra!edidas en la dis!inucin de los
=9
riesgos
analizados,
eligiendo
de
esta
!anera
un
plan
de
Si son cuantitati as o cualitati as, o sea si para el KNu. pasa si&&&L% utilizan un !odelo !ate!*tico o algn siste!a cercano a la eleccin su#$eti a& 'unque, #ien pensado, al apro-i!ar las pro#a#ilidades por esperanzas !ate!*ticas su#$eti a!ente, las
!etodolog"as cuantitati as, aunque utilicen aparatos !ate!*ticos en sus si!ulaciones, tienen un gran co!ponente su#$eti o& O ade!*s se diferencian en el propio siste!a de si!ulacin&
Se +an identificado == !etodolog"as& Entre ellas est*n: '8'7IPO, ADSS, AIS RISQ 'SESCR, A>DDO SOS3E1, (CAR', (R'11, DDIS 1'RIC8 '<R, 1E7IS', RIS'8, RISQ<'(, RISQS'3(9&
?0
Despu.s de estas !etodolog"as +an nacido !uc+as otras co!o la 1')ERI3, desarrollada por la ad!inistracin espa5olaF 1'RIC8, <RI1' D<re encin de Riesgos Infor!*ticos con 1etodolog"a '#iertaE , DE7<9I& ' continuacin se detallan algunas de las !etodolog"as:
2.1.-...2.+.1.1. Met&d&(&%,a MAGERIT ?Met&d&(&%,a de An8(!$!$ > Se$!"n de R!e$%&$ de (&$ S!$tema$ de In)&#ma !"n@ : El esque!a co!pleto de Etapas, 'cti idades , 3areas del Su#!odelo de <rocesos de 1')ERI3 es el siguiente: Etapa 1& <lanificacin del 'n*lisis , )estin de Riesgos 'cti idad 1&1& Cportunidad de Realizacin 3area 1&1&1& DnicaE (larificar la oportunidad de realizacin 'cti idad 1&/& Definicin de Do!inio , C#$eti os 3area 1&/&1& Especificar los o#$eti os del pro,ecto 3area 1&/&/& Definir el do!inio , los l"!ites del pro,ecto 3area 1&/&6& Identificar el entorno , restricciones generales 3area 1&/&:& Esti!ar di!ensin, costos , retornos del pro,ecto 'cti idad 1&6& <lanificacin del <ro,ecto 3area 1&6&1& E aluar cargas , planificar entre istas 3area 1&6&/& Crganizar a los participantes 3area 1&6&6& <lanificar el tra#a$o
?1
'cti idad 1&:& 7anza!iento del <ro,ecto 3area 1&:&1& 'daptar los cuestionarios 3area 1&:&/& Seleccionar criterios de e aluacin , t.cnicas para el pro,ecto 3area 1&:&6& 'signar los recursos necesarios 3area 1&:&:& Sensi#ilizar Dca!pa5a infor!ati aE
Etapa /& 'n*lisis de Riesgos 'cti idad /&1& Recogida de Infor!acin 3area /&1&1& <reparar la infor!acin 3area /&1&/& Realizacin de las entre istas 3area /&1&6& 'nalizar la infor!acin recogida 'cti idad /&/& Identificacin , 'grupacin de 'cti os 3area /&/&1& Identificar 'cti os , grupos de 'cti os 3area /&/&/& Identificar !ecanis!os de sal aguarda e-istentes 3area /&/&6& 2alorar 'cti os 'cti idad /&6& Identificacin , E aluacin de '!enazas 3area /&6&1& Identificar , 'grupar '!enazas 3area /&6&/& Esta#lecer los *r#oles de fallos generados por a!enazas 'cti idad /&:& Identificacin , Esti!acin de 2ulnera#ilidades 3area /&:&1& Identificar ulnera#ilidades
?/
3area /&:&/& Esti!ar ulnera#ilidades 'cti idad /&;& Identificacin , 2aloracin de I!pactos 3area /&;&1& Identificar I!pactos 3area /&;&/& 3ipificar I!pactos 3area /&;&6& 2alorar i!pactos 'cti idad /&=& E aluacin del Riesgo 3area /&=&1& E aluar el riesgo intr"nseco 3area /&=&/& 'nalizar las funciones de sal aguarda e-istentes 3area /&=&6& E aluar el riesgo efecti o
Etapa 6& )estin del Riesgo 'cti idad 6&1& Interpretacin del Riesgo 3area 6&1&1& DnicaE Interpretar los riesgos 'cti idad 6&/& Identificacin , Esti!acin de Funciones de sal aguarda 3area 6&/&1& Identificar funciones de sal aguarda 3area 6&/&/& Esti!ar la efecti idad de las funciones de sal aguarda 'cti idad 6&6& Seleccin de Funciones de Sal aguarda 3area 6&6&1& 'plicar los par*!etros de seleccin 3area 6&6&/& E aluar el riesgo 'cti idad 6&:& (u!pli!iento de C#$eti os 3area 6&:&1& DnicaE Deter!inar el cu!pli!iento de los o#$eti os
?6
Etapa :& Seleccin de Sal aguardas 'cti idad :&1& Identificacin de !ecanis!os de sal aguarda 3area :&1&1& Identificar los !ecanis!os posi#les 3area :&1&/& Estudiar !ecanis!os i!plantados 3area :&1&6& Incorporar restricciones 'cti idad :&/& Seleccin de !ecanis!os de sal aguarda 3area :&/&1& Identificar !ecanis!os a i!plantar 3area :&/&/& E aluar el riesgo D!ecanis!os elegidosE 3area :&/&6& Seleccionar !ecanis!os a i!plantar 'cti idad :&6& Especificacin de los !ecanis!os a i!plantar 3area :&6&1& DnicaE Especificar los !ecanis!os a i!plantar 'cti idad :&:& <lanificacin de la I!plantacin 3area :&:&1& <riorizar !ecanis!os 3area :&:&/& E aluar los recursos necesarios 3area :&:&6& Ela#orar cronogra!as tentati os 'cti idad :&;& Integracin de resultados 3area :&;&1& DnicaE Integrar los resultados 2.1.-...2.+.1.2. Met&d&(&%,a MARION: 1.todo docu!entado en dos li#ros de los cuales el !*s actual es 7a Securit. des reseau-4 1et+odes et 3ec+niques de B&1& 7a!ere , 7erou-, B& 3ourl,& 3iene
?:
dos productos: 1'RIC8 '<R, para siste!as indi iduales, , 1'RIC8 RST para siste!as distri#uidos , conecti idad&
Es un !.todo cuantitati o , se #asa en la encuesta anual de !ie!#ros la #ase de incidentes francesa D(&7&>&S&I&F&E& 8o conte!pla pro#a#ilidades, sino esperanzas !ate!*ticas que son apro-i!aciones nu!.ricas D alores su#$eti osE&
7a 1'RIC8 '<R utiliza cuestionarios , par*!etros correlacionados enfocados a las distintas soluciones de contra!edidas, en seis categor"as& 7as categor"as son: seguridad infor!*tica general, factores socioecon!icos, concienciacin so#re la seguridad de softMare , !ateriales, seguridad en e-plotacin , seguridad de desarrollo&
El an*lisis de riesgos lo +ace so#re diez *reas pro#le!*ticas& Estas *reas son: riesgos !ateriales, sa#ota$es f"sicos, a er"as,
co!unicaciones, errores de desarrollo, errores de e-plotacin, fraude, ro#o de infor!acin, ro#o de softMare, pro#le!as de personal&
?;
2.1.-...2.+.1.+. Met&d&(&%,a RISCCPAC: 3odas las !etodolog"as que se desarrollan en la actualidad est*n pensadas para su aplicacin en +erra!ientas& 7a pri!era de esta fa!ilia la desarroll <RCFI7E '8U7ISIS (CR<CR'3IC8, , la pri!era instalacin en cliente data de 19@:& Segn D'3'<RC es el softMare !*s endido&
Su
enfoque
es
!etodolog"a
cualitati a&
Sus
resultados
son
e-porta#les a procesadores de te-to, #ases de datos, +o$a electrnica o siste!as gr*ficos& Est* estructurada en tres ni eles: Entorno, <rocesador , 'plicaciones con /= categor"as de riesgo en cada ni el& 3iene un KNu. pasa si&&&L% con un ni el de riesgo de e aluacin su#$eti a del 1 al ; , ofrece una lista de contra!edidas o reco!endaciones #*sicas para a,udar al infor!e final o plan de acciones&
2.1.-...2.+.1.-. Met&d&(&%,a CRAMM: Se desarroll entre 19@; , 19@? por AIS , ((3' D(entral (o!puter V 3eleco!unication 'genc, RisW 'n*lisis V 1anage!ent 1eted, InglaterraE& I!plantado en !*s de ?;0 organizaciones en Europa, so#re todo de la ad!inistracin p#lica& Es una !etodolog"a cualitati a , per!ite +acer an*lisis KNu. pasa si&&&L%&
?=
2.1.-...2.+.1... Met&d&(&%,a PRIMA ?P#e1en !"n de R!e$%&$ In)&#m8t! &$ &n Met&d&(&%,a A9!e#ta@: Es un con$unto de
!etodolog"as espa5olas desarrolladas entre los a5os 1990 , la actualidad con un enfoque su#$eti o& Sus caracter"sticas esenciales son:
(u#rir las necesidades de los profesionales que desarrollan cada uno de los pro,ectos necesarios de un plan de seguridad& F*cil!ente adapta#le a cualquier tipo de +erra!ienta& <osee cuestionarios de preguntas para la identificacin de de#ilidades o faltas de controles& <osee listas de a,uda para los usuarios !enos e-peri!entados de de#ilidades, riesgos ,
contra!edidas Dsiste!a de a,udaE& <er!ite f*cil!ente la generacin de infor!es finales& 7as 7istas de ',uda% D2er Figura /&=&E , los cuestionarios son a#iertos, , por tanto es posi#le introducir infor!acin nue a o ca!#iar la e-istente& De a+" la e-presin a#ierta de su no!#re&
??
3iene un KNu. pasa si&&&L% cualitati o, , capacidad de aprendiza$e al poseer una #ase de conoci!iento o registro de incidentes que an ariando las esperanzas !ate!*ticas de partida , adapt*ndose a los entornos de tra#a$o&
(+ecW list
3o!a de datos
'!enazas 2ulnera#ilidades
<onderacin 2aloracin Econ!ica <rioridad Duracin (oste Econ& Dificultad De#ilidades Riesgos <lan de 'cciones <lan de <ro,ectos
Definicin de contra!edidas 2aloracin de contra!edidas Realizacin del <lan de 'cciones , <ro,ectos Infor!e Final
'n*lisis de Riesgos&
?@
<lan de (ontingencias Infor!*tica , de recuperacin del negocio& <lan de restauracin interno infor!*tico& (lasificacin de la infor!acin& Definicin , desarrollo de procedi!ientos de control infor!*ticos& <lan de cifrado& 'uditor"a Infor!*tica& Definicin , desarrollo de control de acceso lgico&
?9
Relacin de Riesgos D(E Relacin de contra!edidas DDE (onoci!ientos )enerales DEE Relacin de <ro,ectos DFE
2.1.-...2.+.1.0. Met&d&(&%,a DELPEI: 7a siguiente !etodolog"a analizada, es la 1etodolog"a Delp+i& El esque!a co!pleto del !.todo Delp+i es el siguiente:
1& (rear la !atriz de '!enazas , C#$etos: 'l co!ienzo se de#e realizar una reunin con todo el personal in olucrado en el tra#a$o& Esta reunin tiene por o#$eto no slo identificar las a!enazas , los o#$etos del *rea, sino ta!#i.n esta#lecer no!#res cortos para deno!inar las a!enazas , los o#$etos , redactar una #re e definicin de cada uno de ellos&
/& Identificar los controles necesarios: Este paso de#e darse al co!ienzo en la reunin del grupo de personas in olucradas en el *rea&
@0
Es all" donde se precisan los controles para sal aguardar los o#$etos en relacin con las a!enazas&
7os !ie!#ros del grupo de#en discutir los controles que de#er*n incluirse& ' !edida que esos controles se necesario crear una lista con los siguientes datos: an ad!itiendo, es
8!ero de Identificacin, 8o!#re corto que distingue a cada control, Are e descripcin so#re la funcionalidad , utilidad del control, Identificacin de la persona responsa#le de la
6& Registrar los controles dentro de la !atriz: Este paso se e$ecuta para colocar dentro de las celdas el n!ero de identificacin de los controles
:& (ategorizar los riesgos: 'qu" se identifican las *reas de alto, !edio , #a$o riesgo, coloc*ndolas en orden de ni el de e-posicin& <ara la
@1
e$ecucin de este paso se utiliza el !.todo Delp+i , la co!paracin de los ni eles de riesgo&
El !.todo Delp+i, consiste en reunir a un grupo de e-pertos para solucionar deter!inados pro#le!as& Dic+o grupo realiza la
categorizacin indi idual de las a!enazas , de los o#$etos de riesgo& El equipo Delp+i sesiona con$unta!ente para co!#inar sus
(ategorizar las a!enazas por ni eles de riesgos& D2er 'ne-o =E <ara efecto de este e$ercicio, se +a organizado un grupo de cinco personas, quienes se so!eten a otacin
+asta co!pletar la !atriz& D2er 'ne-o ?E 7a categorizacin se o#tiene su!ando co!o se !uestra en el ane-o @& 7uego se su!an los dos otos para o#tener el total final de cada a!enaza& El resultado se utiliza para producir una lista de categorizacin de a!enazas, por ni eles de riesgo de !a,or a !enor& D2er 'ne-o @E&
(ategorizar la Sensi#ilidad de los C#$etos: Este proceso se inicia copiando los o#$etos que registra la !atriz de control
@/
de riesgos en una +o$a de co!paracin de categor"as de riesgos D2er 'ne-o 9E& <ara categorizar la sensi#ilidad de los o#$etos se utiliza la percepcin que tenga cada uno de los !ie!#ros del equipo Delp+i so#re cu*l o#$eto de cada pare$a de o#$etos puede causar !a,or p.rdida econ!ica si se da5a o causa de!oras en el procesa!iento& El grupo ota +asta co!pletar la !atiz D2er 'ne-o 10E& Despu.s se su!an los resultados derec+os de diagonales de las colu!nas, en for!a ertical, , luego se su!an los resultados izquierdos de las diagonales de las colu!nas, en for!a +orizontal, en el sentido de las filas de la !atriz& Se su!an los resultados para o#tener el total final& D2er 'ne-o 11E&
(o!#inar las dos (ategor"as: >na ez ter!inadas las dos categor"as, se ela#ora una !atriz de control de riesgos, colocando los totales en orden de !a,or a !enor, en los dos casos& D2er 'ne-o 1/E&
Seguida!ente se !ultiplican los correspondientes alores , con los resultados se organiza una !atriz& 3er!inada esta operacin se procede a o#tener el ni el de riesgo G
@6
alor del
Di idir las celdas en regiones de !a,or, !ediano , !enor riesgo: Este proceso se realiza di idiendo la cantidad de ni eles de riesgo G sensi#ilidad por cinco Dn!ero de personas del grupoE& El cociente se utiliza para indicar las celdas de !a,or o !enor riesgo& De !anera que las celdas con ni eles de riesgo G sensi#ilidad inferiores o iguales al cociente son las celdas de !a,or riesgo& 7as celdas con ni eles de riesgo G sensi#ilidad superiores al cociente e
inferiores o iguales a tres eces el cociente son las celdas de !ediano riesgo , las celdas con ni eles de riesgo G sensi#ilidad superiores a tres celdas de #a$o riesgo& eces el cociente son las
En la !atriz se resta al n!ero de celdas las repeticiones Dsi es que las +a,E, para efectos del c*lculo& Este alor es
@:
un cociente con el cual se organiza el cuadro de riesgo G sensi#ilidad , la !atriz correspondiente& D2er 'ne-o 16E
;& Dise5ar los controles Definiti os: (on el resultado del tra#a$o apo,ados en el !.todo Delp+i, se dise5an , docu!entan
definiti a!ente los controles a ni el: pre enti o, detecti o , correcti o, de acuerdo con el *rea que se est. analizando&
Este es un tra#a$o dispendioso, de#ido a que todo depende del conoci!iento que se tenga del *rea infor!*tica , del siste!a de control interno infor!*tico desea#le&
=& Resultados del 'n*lisis de Riesgos& 7os resultados del an*lisis de riesgos, de#en ser escritos , dados a conocer oportuna!ente para que sean incorporados en el *rea analizada&
2.1.-...+. Met&d&(&%,a$ de Aud!t&#!a In)&#m8t! a: 7as nicas !etodolog"as que pode!os encontrar en la auditor"a infor!*tica son dos fa!ilias distintas: las auditorias de (ontroles )enerales co!o producto est*ndar de la de 'uditores <rofesionales, que son una
@;
riesgos , auditor"aE e-isten si!ilitudes , grandes diferencias& '!#as tienen papeles de tra#a$o o#tenidos del tra#a$o de ca!po tras el plan de entre istas, pero los cuestionarios son total!ente distintos&
7as !etodolog"as de auditoria son del tipo cualitati o G su#$eti o& Se puede decir que son las su#$eti as por e-celencia& <or lo tanto, est*n #asadas en profesionales de gran ni el de e-periencia , for!acin, capaces de dictar reco!endaciones t.cnicas, operati as , $ur"dicas, que e-igen una gran profesionalidad , for!acin continuada& Slo as" esta funcin se consolidar* en las entidades, esto es, por el respeto profesional% a los que e$ercen la funcin&
El concepto de las !etodolog"as de an*lisis de riesgos de tie!pos !edios% es !*s #ien para consultores profesionales que para auditores internos&
@=
2.1.-...-. Met&d&(&%,a$ de C(a$!)! a !"n de (a In)&#ma !"n > de O9ten !"n de (&$ P#& ed!m!ent&$ de C&nt#&(:
2.1.-...-.1. C(a$!)! a !"n de (a In)&#ma !"n: 8o es frecuente encontrar !etodolog"as de este tipo, pero la !etodolog"a <RI1' tiene dos !dulos que desarrollan estos dos aspectos que se !uestran a continuacin&
Se podr"a preguntar si es suficiente con un an*lisis de riesgos para o#tener un plan de contra!edidas que nos lle ar* a una situacin de control co!o se desea& 7a respuesta es no, dado que todas las entidades de infor!acin a proteger no tienen el !is!o grado de i!portancia, , el an*lisis de riesgos !etodolgica!ente no per!ite aplicar una diferenciacin de contra!edidas segn el acti o o recurso que protege, sino por la pro#a#ilidad del riesgo analizado&
3iene que ser otro concepto, esto es si se identifican distintos ni eles de contra!edidas para distintas entidades de infor!acin con distinto ni el de criticidad, se estar* opti!izando la eficiencia de las contra!edidas , reduciendo los costos de las !is!as%&
@?
Esta !etodolog"a es del tipo cualitati o, , co!o el resto de la !etodolog"a <RI1' tiene listas de a,uda con el concepto a#ierto, esto es, que el profesional puede a5adir en la +erra!ienta ni eles o $erarqu"as, est*ndares , o#$eti os a cu!plir por ni el, , a,udas de contra!edidas&
C sea los factores a considerar son los requeri!ientos legislati os, la sensi#ilidad a la di ulgacin DconfidencialidadE, a la !odificacin DintegridadE, , a la destruccin&
7as $erarqu"as suelen ser cuatro, , segn se trate de ptica de preser acin o de proteccin, los cuatro grupos ser"an: 2ital, (r"tica, aluada , 8o sensi#le& <RI1', aunque per!ite definirla a oluntad, #*sica!ente define:
Estrat.gica
Dinfor!acin
!u,
restringida,
!u,
confidencial, ital para la su#sistencia de la e!presaE& Restringida Da los propietarios de la infor!acinE& De uso interno Da todos los e!pleadosE& De uso general Dsin restriccinE&
@@
1& Identificacin de la Infor!acin& /& In entario de Entidades de Infor!acin Residentes , Cperati as& In entario de progra!as, arc+i os de datos, estructuras de datos, soportes de infor!acin, etc& 6& Identificacin de <ropietarios& Son los que necesitan para su tra#a$o, usan o custodian la infor!acin& :& Definicin de $erarqu"as de infor!acin& Suelen ser cuatro, por que es dif"cil distinguir entre !*s ni eles& ;& Definicin de la 1atriz de (lasificacin& Esto consiste en definir las pol"ticas, est*ndares, o#$eti os de control , contra!edidas por tipos , $erarqu"as de infor!acin& =& (onfeccin de la 1atriz de (lasificacin& En esta fase se co!ple!enta toda la !atriz, asign*ndole a cada entidad un ni el de $erarqu"a, lo que se asocia a una serie de +itos a cu!plir, para cu,o cu!pli!iento se de#er*n desarrollar acciones concretas en el punto siguiente& ?& Realizacin del <lan de 'cciones& Se confecciona el plan detallado de acciones& <or e$e!plo, se refor!a una aplicacin de n!inas
@9
para que un e!pleado utilice el progra!a de su#idas de salario , su super isor lo aprue#e& @& I!plantacin , 1anteni!iento& Se i!planta el plan de acciones , se !antiene actualizado&
2.1.-...-.2. O9ten !"n de (&$ P#& ed!m!ent&$ de C&nt#&(: Ctra 1etodolog"a necesaria para la o#tencin de los controles es la C#tencin de los <rocedi!ientos de (ontrol%& Es frecuente encontrar !anuales de procedi!ientos en todas las *reas de la e!presa que e-plican las funciones , c!o se realizan las distintas tareas diaria!ente, siendo .stos necesarios para que los auditores realicen sus re isiones operati as, e aluando si los procedi!ientos son correctos , est*n apro#ados , so#re todo si se cu!plen& <ero se podr"a preguntar si desde el punto de infor!*tico es suficiente , c!o se podr"an !e$orar& ista de control
7a respuesta es dada por la !etodolog"a que se e-pone a continuacin, que dar* otro plan de acciones que contri#uir*
90
su!*ndose a los distintos pro,ectos de un plan de seguridad para !e$orar el entra!ado de contra!edidas&
Fase I& Definicin de C#$eti os de (ontrol& 3area 1: 'n*lisis de la e!presa& Se estudian los procesos, organigra!as , funciones& 3area /: Recopilacin de est*ndares& Se estudian todas las fuentes de infor!acin necesarias para conseguir definir en la siguiente fase los o#$eti os de control a cu!plir Dpor e$e!plo: ISC, (IS', etcE& 3area 6: Definir los o#$eti os de control&
Fase II& Definicin de los (ontroles& 3area 1: Definir los controles& (on los o#$eti os de control definidos, se analizan los procesos , se distintos controles que se necesiten& 3area /: Definicin de 8ecesidades 3ecnolgicas D+ardMare , +erra!ientas de controlE& a definiendo los
91
3area 6: Definicin de los <rocedi!ientos de (ontrol& Se desarrollan los distintos procedi!ientos que se generan en las *reas usuarias, infor!*tica, control infor!*tico , control no infor!*tico& 3area :: Definicin de las necesidades de recursos +u!anos&
>na
recursos +u!anos necesarios, no resta !*s que i!plantarlos en for!a de acciones espec"ficas&
3er!inado el proceso de i!plantacin de acciones +a#r* que docu!entar los procedi!ientos nue os , re isar los afectados de ca!#io& 7os procedi!ientos resultantes ser*n: <rocedi!ientos propios de control de la acti idad infor!*tica Dcontrol interno infor!*ticoE& <rocedi!ientos de distintas *reas usuarias de la infor!*tica, !e$orados& <rocedi!ientos de *reas infor!*ticas, !e$orados&
9/
<rocedi!ientos de control dual entre control interno infor!*tica , el *rea infor!*tica, los usuarios infor!*ticos, , el *rea de control no infor!*tico&
2.1.-..... Met&d&(&%,a de E1a(ua !"n de R!e$%&$: Este tipo de !etodolog"a, conocida ta!#i.n por risW oriented approac+, es la que propone la IS'(', , e!pieza fi$ando los o#$eti os de control que !ini!izan los riesgos potenciales a los que est* so!etido el entorno&
A( an e: Distancia a que llega una cosa& Efectuada la re isin de antecedentes, se procede a preparar el progra!a de auditoria, precisando periodo , alcance del e-a!en&
96
Ante edente: 3odo lo que sir e para $uzgar +ec+os posteriores& 'cordada la realizacin de una auditoria, el grupo designado para practicarla efecta una re isin de antecedentes con el estudio de papeles de tra#a$o e infor!es anteriores&
Aud!t&#,a: E-a!en o#$eti o, siste!*tico, profesional e independiente, aplicado a una organizacin por un auditor co!petente&
Ca#a te#,$t! a$: (ualidades o rasgos que sir en para distinguir una persona o una cosa de sus se!e$antes& 7a consideracin de las caracter"sticas de la organizacin es funda!ental en la i!plantacin , desarrollo de la auditoria interna&
C&nt#&( en TI: 7as pol"ticas, procedi!ientos, pr*cticas , estructuras organizacionales dise5adas para garantizar razona#le4!ente que los o#$eti os del negocio ser*n alcanzados , que e entos no desea#les ser*n pre enidos o detectados , corregidos
9:
erdadF $uicio,
discerni!iento frente a un asunto deter!inado& El auditor funda!enta su tra#a$o en la e aluacin del cu!pli!iento de criterios esta#lecidos& 8ingn tipo de auditoria es posi#le si no +a, criterios esta#lecidos so#re los cuales un auditor de#e e aluar&
C#&n&%#ama: Relacin de acti idades por desarrollar en fec+as deter!inadas, las cuales +acen parte de los planes , progra!as de las organizaciones , a su control interno& ez se constitu,e en un !ecanis!o del
De$em'eFa#: 9acer aquello a lo que uno est* o#ligado, lo cual de#e estar garantizado en un alto grado por los !ecanis!os de control&
D!a%n"$t! &: 'n*lisis que per!ite deter!inar el con$unto de s"nto!as o caracter"sticas de la e olucin o el desarrollo de un proceso deter!inado, el cu*l resulta !u, til para conocer el grado de desarrollo , fortaleci!iento del siste!a de control interno de una organizacin&
9;
D!$eF&: Aosque$o for!al de un proceso o cosa& Dise5o de los ele!entos , !ecanis!os del siste!a de control interno&
E &n&m,a: 'd!inistracin recta , prudente de los #ienes& ' este requisito que de#e tener toda organizacin de#e contri#uir
E)! !en !a: 7ogro de !etas , o#$eti os en t.r!inos de cantidad , calidad& 2irtud , facultad para lograr un efecto deter!inado&
Gn)a$!$: Fuerza de e-presin o entonacin& 7os progra!as de auditoria se confeccionan so#re la #ase de poner .nfasis en las *reas !*s i!portantes , las *reas donde los controles internos son deficientes&
E$t#ate%!a: <rocedi!iento o plan que se aplica para lograr un propsito u o#$eti o&
9=
Gt! a: <arte de la filosof"a que trata de la !oral , de las o#ligaciones del +o!#re& El auditor cuenta con su propia .tica profesional para el desarrollo de sus funciones&
Fun !"n: Es el con$unto de acti idades u operaciones que dan caracter"sticas propias , definidas a un cargo, para deter!inar ni eles de responsa#ilidad , autoridad, , de#en estar for!uladas , docu!entadas en un !anual de funciones , procedi!ientos el que a su ez se constitu,e en el ele!ento de control&
G&9!e#n& de TI: >na estructura de relaciones , procesos para dirigir , controlar la e!presa con el fin de lograr sus o#$eti os al a5adir alor
9?
In)&#m8t! a: 'plicacin racional, siste!*tica de la infor!acin para el desarrollo econ!ico, social , pol"tico&
In*e#ente: >nido insepara#le!ente , por naturaleza a una cosa& El riesgo es in+erente al desarrollo de las acti idades de una organizacin por lo que no se pueden orientar todos los recursos a eli!inarlo total!ente& 7o i!portante es identificarlo , !ane$arlo&
Inte%#!dad: (alidad de "ntegro& Nue tiene todas sus partes& 7os papeles de tra#a$o protegen la integridad profesional del auditor , a,udan a $ustificar su actuacin&
Manua(: Docu!ento gu"a que descri#e asuntos o acti idades de acuerdo con un ordena!iento lgico, , est* su$eto a per!anente
9@
e aluacin , actualizacin& Es una de las fuentes de criterios a e aluar dentro del an*lisis de riesgos&
Me an!$m&$: (o!#inacin de partes que producen o transfor!an un !o i!iento& <ara que e-ista un #uen control se de#en esta#lecer !ecanis!os de segui!iento , control&
M/t&d&: 1odo de o#rar con orden& 7a e aluacin de control interno por el !.todo de cuestionario consiste en con ertir en preguntas todas las nor!as de control interno, de tal !anera que una respuesta afir!ati a indique la e-istencia , o#ser acin de la nor!a , una respuesta negati a indique su ausencia o incu!pli!iento&
N&#ma$: Son los requisitos de calidad relati os a la persona del auditor, al tra#a$o que realiza , a la e!isin de su opinin&
O9:et!1&: Relati o al o#$eto en s" , no a nuestro !odo de pensar o sentir& El infor!e de#e presentar co!entarios, conclusiones , reco!endaciones en for!a o#$eti a&
99
O9:et!1& de C&nt#&(: >na sentencia del resultado o propsito que se desea alcanzar i!ple!entando procedi!ientos de control en una acti idad de 3I particular&
O'&#tun!dad: Se refiere a la .poca en que se de#en aplicar los procedi!ientos del an*lisis, de tal for!a que se o#tengan los resultados !*s eficientes que sean posi#les&
oluntaria de una serie de indi iduosF est* "nculos contractuales entre factores
!ltiples
Dpersonas, ser icio , procesosE con una funcin de asignacin eficiente de los recursos , #a$o la direccin , coordinacin de una autoridad directi a&
P&nde#a#: <esar, deter!inar el peso de una cosa& E-a!inar con atencin las razones de una cosa para for!ar un $uicio de ella&
100
P#!n !'!&$: Aase, origen, funda!ento !*-i!o por el que cada quien rige sus actuaciones& 7a actuacin del auditor est* regida por principios .ticos profesionales&
P#& ed!m!ent&: 1.todo para +acer alguna cosa& Entonces pode!os referirnos a procedi!ientos operati os, ad!inistrati os , de control&
P#& e$&: (on$unto de fases sucesi as de un fen!eno o asunto, las cuales son controladas, super isadas , e aluadas por el siste!a de control interno&
P#&%#ama: Escrito que indica las condiciones de un an*lisis& El auditor de#e for!ular un progra!a general de tra#a$o que inclu,e un resu!en de las acti idades a desarrollar&
Re &menda !"n: Encargo que se +ace a una persona respecto de otra o de alguna cosa& El infor!e del an*lisis de#e tener reco!endaciones encontradas& que per!itan su#sanar las deficiencias
101
Re u#$&$ Mate#!a(e$: 3odo lo referente a !o#iliario de oficina , equipos de co!putacin con que cuenta la organizacin&
Re(e1ante: So#resaliente, e-celente, i!portante& El infor!e del an*lisis de#e #rindar la infor!acin necesaria , rele ante relacionada con el e-a!en practicado&
Sem! uant!)! a#: 'signar rangos nu!.ricos a las caracter"sticas 'lto, 1edio, , Aa$o&
S!$tem8t! &: Nue sigue un siste!a& D"cese de quien procede por principios so!eti.ndose a un siste!a fi$o en su conducta, escritos, opiniones& Es una de las caracter"sticas del e-a!en de auditor"a& T/ n! a: (on$unto de procedi!ientos de un arte o ciencia& 9a#ilidad para usar esos procedi!ientos& En el desarrollo del e-a!en de auditor"a se +ace uso de las t.cnicas de auditor"a&
10/
T/ n! a$: Son los recursos pr*cticos de in estigacin , prue#a que el auditor utiliza para o#tener la infor!acin que necesita&
6e#!)! a#: <ro#ar que es erdad una cosa que se duda& 7a auditor"a es un e-a!en que e!presa& erifica , e ala deter!inadas *reas de una