Evaluacin de Riesgos de Auditora

La seleccin de proyectos de auditora a incluir en el plan anual de auditora es uno de los ms importantes problemas que confronta la gerencia de auditora. Si se desean lograr los objetivos de la funcin de auditora interna, se deben asignar los recursos disponibles de una manera efectiva y eficiente. Las fallas en la seleccin de los proyectos adecuados resultarn en oportunidades no aprovechadas de mejorar el control y la eficiencia operativa. Subyacente al plan de prioridades de auditora est la suposicin de que la evaluacin de los proyectos potenciales de auditora ser ms efectiva si se sigue un proceso formal para obtener la informacin necesaria para tomar las decisiones de seleccin de proyectos. El enfoque que se describe en las siguientes lneas es bsicamente una estructura en la cual aplicar el sentido comn y el juicio profesional. El universo de auditora al cual se aplicar el plan de prioridades de auditora ser determinado por los gerentes de auditora y el director de auditora interna. Su determinacin del universo de auditora estar basada en el conocimiento del plan estratgico y de las operaciones de la compaa, la revisin de los cuadros de organizacin, funciones y responsabilidades de los distintos componentes de la empresa y discusiones con el nivel gerencial responsable. La metodologa que se presenta es relativamente simple, sin embargo, en la gran mayora de los casos, es suficiente para alcanzar decisiones de seleccin de proyectos razonables, prudentes y por sobre todo defendibles. El Anlisis de Riesgos constituye una herramienta muy importante para el trabajo del auditor y la calidad del servicio, por cuanto implica el diagnstico de los mismos para velar por su posible manifestacin o no. Los profundos cambios que ocurren hoy, su complejidad y la velocidad con los que se dan, son las races de la incertidumbre y el riesgo que las organizaciones confrontan. Las fusiones, la competencia global y los avances tecnolgicos, las desregulaciones, y las nuevas regulaciones, el incremento en la demanda de los consumidores y de los habitantes, la responsabilidad social y ambiental de las organizaciones as como, la transparencia generan un ambiente operativo, cada da ms riesgoso y complicado, surgiendo en adicin nuevos retos con los cuales lidiar, resultado de los problemas que se presentan en las organizaciones que operan al margen de la ley o de conductas ticas. La administracin de riesgos en un marco amplio implica que las estrategias, procesos, personas, tecnologa y conocimiento estn alineados para manejar toda la incertidumbre que una organizacin enfrenta. Por el otro lado los riesgos y oportunidades van siempre de la mano, y la clave es determinar los beneficios potenciales de estas sobre los riesgos.

Aspectos y elementos fisicos

Los aspectos y elementos fsicos en el rea de informtica permiten tomar medidas de seguridad en una estructura definida usada para prevenir o detener el acceso no autorizado a material confidencial de una organizacin.

La seguridad fsica identifica las amenazas, vulnerabilidades y las medidas que pueden ser utilizadas para proteger fsicamente los recursos y la informacin de la organizacin. Los recursos incluyen el personal, el sitio donde ellos laboran, los datos, equipos y los medios con los cuales los empleados interactan, en general los activos asociados al mantenimiento y procesamiento de la informacin. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial, la seguridad fsica Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Las principales amenazas que se prevn en la seguridad fsica son:
1.

Desastres naturales, incendios accidentales tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados.

2.

3.

A continuacin se analizan los peligros ms importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevencin, reduccin, recuperacin y correccin de los diferentes tipos de riesgos. 1. Inundaciones Se las define como la invasin de agua por exceso de escurrimientos superficiales o por acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cmputos. Adems de las causas naturales de inundaciones, puede existir la posibilidad de una inundacin provocada por la necesidad de apagar un incendio en un piso superior. 2. Robo Las computadoras son posesiones valiosas de las empresas y estn expuestas, de la misma forma que lo estn las piezas de stock e incluso el dinero.

Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de mquina. La informacin importante o confidencial puede ser fcilmente copiada. Muchas empresas invierten millones de dlares en programas y archivos de informacin, a los que dan menor proteccin que la que otorgan a una mquina de escribir o una calculadora. El software, es una propiedad muy fcilmente sustrable y las cintas y discos son fcilmente copiados sin dejar ningn rastro 3. Fraude Cada ao, millones de dlares son sustrados de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines.

Sin embargo, debido a que ninguna de las partes implicadas (compaa, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que ms bien pierden en imagen, no se da ninguna publicidad a este tipo de situaciones. 4. Sabotaje El peligro ms temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la proteccin contra el saboteador es uno de los retos ms duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.

Fsicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la informacin desaparece, aunque las cintas estn almacenadas en el interior de su funda de proteccin. Una habitacin llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. Evaluar y controlar permanentemente la seguridad fsica del edificio es la base para o comenzar a integrar la seguridad como una funcin primordial dentro de cualquier organismo. Tener controlado el ambiente y acceso fsico permite:

Disminuir siniestros

Trabajar mejor manteniendo la sensacin de seguridad Descartar falsas hiptesis si se produjeran incidentes Tener los medios para luchar contra accidentes

Impacto en la Organizacion
El reto es asignar estratgicamente los recursos para equipo de seguridad y bienes que intervengan, basndose en el impacto potencial para la organizacion, respecto a los diversos incidentes que se deben resolver. Para determinar el establecimiento de prioridades, el sistema de gestin de incidentes necesita saber el valor de los sistemas de informacin que pueden ser potencialmente afectados por incidentes de seguridad. Esto puede implicar que alguien dentro de la organizacin asigne un valor monetario a cada equipo y un archivo en la red o asignar un valor relativo a cada sistema y la informacin sobre ella. Dentro de los Valores para el sistema se pueden distinguir: Confidencialidad de la informacin, la Integridad (aplicaciones e informacin) y finalmente la Disponibilidad del sistema. Cada uno de estos valores es un sistema independiente de la organizacin, supongamos el siguiente ejemplo, un servidor Web pblico puede poseer los requisitos de confidencialidad de baja (ya que toda la informacin es pblica),pero de alta disponibilidad y los requisitos de integridad. En contraste, un sistema de planificacin de recursos empresariales (ERP), sistema puede poseer alta puntaje en los tres variables. Los incidentes individuales pueden variar ampliamente en trminos de alcance e importancia.