AUDITORIA TECNOLOGIA INFORMATICA

FERNANDO RADA BARONA

PERFIL DEL AUDITOR DE TI

Contador Público
o
Ingeniero en
Informática
TRABAJO EN EQUIPOS: DEFINICIONES
 Evolución del enfoque de auditoría
Valor hacia el negocio

Alineación con la
visión y misión
empresarial

Económia,
Eficiencia y Eficacia
de las operaciones

Finanzas y
Contabilidad

Enfoque en administración de riesgos

Misión de la Auditoría de TI
 Normas de Aseguramiento: Desarrollo del trabajo
Contratación Planeación
• Actividades • Sistema de control de calidad
preliminares - ISQC 1
aceptación y • Objetivo de la auditoría.
continuidad Conceptos básicos de
compromiso (NIA auditoría financiera (NIA 200).
210) • Control de calidad para
auditorías de estados
financieros (NIA 220).
• Responsabilidades del auditor
en relación con el fraude en
una auditoría de estados
financieros (NIA 240).
• Leyes y regulaciones en la
auditoría (NIA 250).
• Comunicación con gobierno
corporativo y comunicación
de deficiencias control interno
(NIA 260/265).
• Planeación de la auditoría
(NIA
300).
• Identificación riesgos a
través del entendimiento
de la entidad y su entorno -
valoración riesgo (NIA 315).
• Determinación y uso de la
materialidad (NIA 320).
Ejecución y Documentación Conclusión y Reporte
Documentación de auditoría - incluye Evaluación de la evidencia y
referenciación (NIA 230). formación de la opinión (NIA
• Respuesta de los riesgos evaluados (NIA 700).
330). • Modificaciones al informe
• Entidades que usan organizaciones de del Auditor (NIA 705).
servicio (NIA 402). • Otros relacionados con
• Evaluación de las representaciones el informe (NIA
erróneas identificadas durante la auditoría 706/710/720).
(NIA 450).
• Evidencia de auditoría (pruebas de
controles manuales y de TI) (NIA 500).
• Evidencia de auditoría -
Consideraciones específicas para ítems
seleccionados (NIA 501).
• Confirmaciones externas (NIA 505).
• Saldos de apertura (NIA 510).
• Procedimientos analíticos (NIA 520).
• Muestreo (NIA 530).
• Estimados (NIA 540).
• Partes relacionadas (550).
• Eventos subsecuentes (NIA 560).
• Empresa en marcha (NIA 570).
• Representaciones de la administración
(NIA 580).
• Auditoría de grupos (NIA 600).
• Uso de trabajo del auditor interno (NIA 610).
• Uso del trabajo de un experto (NIA 620).
Áreas especializadas
• Auditoría de estados financieros preparados
de conformidad con un marco de información
financiera con fines específicos. - NIA 800
• Auditorías de un solo estado financiero o de
un elemento, cuenta o partida específica de
un estado financiero. - NIA 805
AUDITORIA DE LOS SISTEMAS EN LA ETAPA DE PLANEACIÓN

NIA 300 - Planeación de una auditoría de estados financieros

NIA 315 - Identificación y evaluación del riesgo de errores
materiales a través del conocimiento de la entidad y de su
entorno
NIA 320 - Materialidad en la planeación y la ejecución de la
auditoría
NIA 330 - Procedimientos del auditor en respuesta a los
riesgos evaluados
NIA 402 - Consideraciones de auditoría relativas a entidades
que utilizan organizaciones de servicio
NIA 450 - Evaluación de los errores identificados durante la
auditoría
 LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIÓN COMPUTARIZADA - SIC

El auditor deberá considerar como

afecta a la auditoría un ambiente de
Sistemas de Información
Computarizado - SIC.

El objetivo y alcance globales de

una auditoría no cambia en un
ambiente SIC. Sin embargo, el uso
de una computadora cambia el
procesamiento, almacenamiento y
comunicación de la información
financiera y puede afectar los
sistemas de contabilidad y de
control interno empleados por la
entidad.
LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIÓN COMPUTARIZADA - SIC

El auditor debería tener suficiente conocimiento del SIC para planear dirigir,
supervisar y revisar el trabajo desarrollado.

El auditor debería considerar si se necesitan habilidades especializadas en

SIC en una auditoría.

Estas pueden necesitarse para:

Obtener una suficiente comprensión de los sistemas de contabilidad y de

control interno afectados por el ambiente SIC.
Determinar el efecto del ambiente SIC sobre la evaluación del riesgo global y
del riesgo al nivel de saldo de cuenta y de clase de transacciones.
Diseñar y desempeñar pruebas de control y procedimientos sustantivos
apropiados.
LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIÓN COMPUTARIZADA - SIC

Si se necesitan habilidades especializadas, el auditor buscaría la ayuda de un

profesional con dichas habilidades, quien puede pertenecer al personal del
auditor o ser un profesional externo.
Si se planea el uso de dicho profesional, el auditor debería obtener suficiente
evidencia apropiada de auditoría de que dicho trabajo es adecuado para los fines
de la auditoría, de acuerdo con NIA "Uso del trabajo de un experto".
Al planear las porciones de la auditoría que pueden ser afectadas por el ambiente
SIC del cliente, el auditor debería obtener una comprensión de la importancia y
complejidad de las actividades de SIC y la disponibilidad de datos para uso en la
auditoría.
Cuando el SIC es significativo, el auditor deberá también obtener una
comprensión del ambiente SIC y de si puede influir en la evaluación de los
riesgos inherentes y de control.
 LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIÓN COMPUTARIZADA - SIC
OBJETIVO

El propósito de esta Norma Internacional de Auditoría (NIA) es establecer reglas y

suministrar criterios sobre los procedimientos a seguir cuando una auditoría se lleva a cabo
en un ambiente (SIC)

Para los propósitos de las NIA existe un SIC cuando la entidad, al procesar la información
financiera significativa para la auditoría, emplea sistemas de información como equipos de
computo de cualquier tipo o tamaño, ya sea operado por la propia entidad o por un tercero.
Por consiguiente, un ambiente SIC puede afectar:

Los procedimientos seguidos por un auditor para obtener una comprensión suficiente de
los sistemas de contabilidad y de control interno.
La consideración del riesgo inherente y del riesgo de control a través de la cual el auditor
llega a la evaluación del riesgo.
El diseño y desarrollo por el auditor de pruebas de control y procedimientos sustantivos
apropiados para cumplir con el objetivo de la auditoría.
IMPACTO DEL AMBIENTE SIC

Importancia y complejidad del

procesamiento en cada operación
importante de contabilidad (volumen,
generación automática de transacc.,
intercambio transaccional)
Estructura organizacional del ambiente SIC.
Disponibilidad de los datos
Posibilidad de utilizar herramientas de
auditoría computadorizadas
RIESGOS DEL AMBIENTE SIC

Falta de rastros transaccionales.

Falta de procesamiento uniforme de
transacciones
Falta de segregación de funciones.
Potencial para errores e
irregularidades.
Generación automática de
transacciones.
Dependencia de otros controles al
procesamiento por computadora.
AMBIENTE SIC MICROCOMPUTADORAS INDEPENDIENTES

Las microcomputadoras almacenan gran

cantidad de información y también pueden
actuar como terminales.
Controles similares a un ambiente SIC pero
no todos son aplicables.
Complejidad de las redes.
Evaluación de la utilización de las
microcomputadoras.
Aspectos de seguridad propios de este

ambiente.
SISTEMAS DE COMPUTADORAS EN LÍNEA

Efecto del uso de este ambiente en

cuanto a grado en que el sistema en línea
se utiliza para procesar transacciones
contables.
Actualización directa e instantánea de los
archivos de datos.
Controles relevantes en este ambiente:
o Controles de acceso.
o Cambios no autorizados a los datos.
o Programas no autorizados.
 AMBIENTE DE BASE DE DATOS

Efecto del uso de este ambiente que

independiza datos de programas y que
facilita el uso compartido de la información.
Dos elementos fundamentales: Base de
Datos y Programa Administrador (DBMS).
Tareas de administración de la base de
datos.
Controles de la base de datos: propiedad de
los datos, acceso a los datos, segregación de
funciones.
Enfoque para el desarrollo de aplicaciones.
RIESGO Y CONTROL INTERNO EN UN AMBIENTE SIC

Estructura organizacional (concentración de funciones y de programas y

datos)

Naturaleza del procesamiento (ausencia de documentación de entrada, falta

de rastros de E/S, facilidad de acceso a datos y programas)

Aspectos de diseño y de procedimiento (consistencia de funcionamiento,

controles programados, archivos de base de datos, vulnerabilidad de datos y
programas)

Controles generales de SIC (Controles de organización, desarrollo de

sistemas, controles de entrada de datos)

Controles de aplicación (entrada, procesamiento, salida)

ADMINISTRACIÓN DEL RIESGO

RIESGOS…

“Efecto de la
incertidumbre
sobre los
objetivos”
NTC ISO 31000 /2011
ADMINISTRACIÓN DEL RIESGO

Definiciones

Riesgo. Toda posibilidad de ocurrencia de aquella situación que pueda

afectar el desarrollo normal de las funciones de la entidad y el logro de
sus objetivos.

Gestión del Riesgo: actividades, coordinadas para dirigir y controlar

una organización con respecto al riesgo.

Proceso para la gestión del riesgo: aplicación sistemática de las

políticas, los procesos y las prácticas de gestión a las actividades de
comunicación, consulta , establecimiento del contexto y de
identificación, análisis, evaluación, tratamiento, monitoreo y revisión
del riesgo.
 ADMINISTRACIÓN DEL RIESGO

BENEFICIOS

• Aumenta la probabilidad de alcanzar los objetivos.

• Fomentar la gestión proactiva.
• Cumplimiento de los requisitos legales y reglamentarios.
• Mejorar los controles.
• Usar eficazmente los recursos.
• Mejorar la prevención de pérdidas y la gestión de incidentes.
• Establecer una base confiable par la toma de decisiones y la
planificación.
GESTIÓN DEL RIESGO

PRINCIPIOS
• Crea y protege el valor
• Parte integral de todos los procesos de la
organización
• Parte para la toma de decisiones
• Aborda explícitamente la incertidumbre
• Es sistemática, estructurada y oportuna
• Se basa en la mejor información disponible
• Esta adaptada
• Toma en consideración los factores
humanos y culturales
• Transparente e inclusive
• Dinámica, reiterativa, y receptiva al cambio
• Facilita la mejora continua
Evaluar riesgo, implica en primer lugar asumir a que se
está expuesto, cuán probable es que me ocurra un
suceso, y si sucede que impacto o consecuencias
puede tener.

ADMINISTRACIÓN DEL RIESGO

ADMINISTRACIÓN DEL RIESGO

REDUCCIÓN DE RIESGO

Medidas físicas y técnicas:

Construcciones de edificio, Control de acceso, Planta eléctrica, Antivirus, Datos
cifrados, Contraseñas inteligentes, ...

Medidas personales
Contratación, Capacitación, Sensibilización, ...

Medidas organizativas
Normas y reglas, Seguimiento de control,
Auditoría, ...
ADMINISTRACIÓN DEL RIESGO

Medidas de Protección

Medidas dependiendo del grado de riesgo

• Medio riesgo: Medidas parciales para mitigar daño
• Alto riesgo: Medidas exhaustivas para evitar daño

Verificación de funcionalidad
• Respaldado por coordinación
• Esfuerzo adicional y costos vs. eficiencia
• Evitar medidas pesadas o molestas

Fundado en normas y reglas

• Actividades, frecuencia y responsabilidades
• Publicación
 ADMINISTRACIÓN DEL RIESGO
¿Cómo valorar la Probabilidad de Amenaza?
Consideraciones
• Interés o la atracción por parte de individuos externos
• Nivel de vulnerabilidad
• Frecuencia en que ocurren los incidentes

Valoración de probabilidad de amenaza

• Baja: Existen condiciones que hacen muy lejana la posibilidad del ataque
• Mediana: Existen condiciones que hacen poco probable un ataque en corto
plazo, pero no son suficientes para evitarlo en el largo plazo
• Alta: Ataque es inminente. No existen condiciones internas y externas que
impidan el desarrollo del ataque
ADMINISTRACIÓN DEL RIESGO

¿Cuándo hablamos de un Impacto?

• Se pierde la información/conocimiento
• Terceros tienen acceso a la
información/conocimiento
• Información ha sido manipulada o está incompleta
• Información/conocimiento o persona no está
disponible
• Cambio de legitimidad de la fuente de información
 ADMINISTRACIÓN DEL RIESGO

¿Cómo valorar la Magnitud de Daño?

Consideración sobre las consecuencias de un impacto

• ¿Quién sufrirá el daño?
• Incumplimiento de confidencialidad (interna y externa)
• Incumplimiento de obligación jurídicas / Contrato / Convenio
• Costo de recuperación (imagen, emocional, recursos: tiempo, económico)

Valoración de magnitud de daño

• Bajo: Daño aislado, no perjudica ningún componentes de organización
• Mediano: Provoca la desarticulación de un componente de organización. A largo plazo
puede provocar desarticulación de organización
• Alto: En corto plazo desmoviliza o desarticula a la organización
RIESGOS IMPORTANTES DE TI, IMPACTO Y RESPUESTA DE
AUDITORIA
 Clasificación de Riesgo

Seguro, pero exceso de Inseguro, poca atención

atención
 CATEGORÍAS DE RIESGOS TECNOLÓGICOS
Una posible categorización de los riesgos asociados al uso de TI, basada en quién
tiene la responsabilidad de establecer y mantener los controles necesarios para su
gestión, podría ser: riesgos asociados al gobierno de TI, a la organización y gestión
de TI (procesos de gestión) y a la capa técnica (implementaciones de tipo técnico).

Riesgos asociados al gobierno de TI

El gobierno de TI reside en que la estructura organizativa, el liderazgo y los

procesos garantizan que las tecnologías de la información soportan las estrategias
y objetivos de una organización.
Los cinco componentes del gobierno de TI son:
• La organización y estructuras de gobierno,
• El liderazgo ejecutivo y soporte,
• La planificación estratégica y operacional,
• La entrega y medición del servicio y
• La organización y gestión de riesgos de TI.

Las políticas y estándares establecidos por la organización, deben establecer las

formas de trabajo para alcanzar los objetivos. La adopción y cumplimiento de estas
normas promueve la eficiencia y asegura la consistencia del entorno operativo de
TI.
CATEGORÍAS DE RIESGOS TECNOLÓGICOS

Algunos riesgos relacionados con el gobierno de TI son:

• La ausencia de planificación efectiva y de sistemas de monitorización del

cumplimiento de las normas.
• La incapacidad de cumplir la misión de la organización.
• La pérdida de oportunidades de negocio y el escaso retorno de las
inversiones en TI.
• La incapacidad para lograr los objetivos estratégicos de TI.
• Las potenciales ineficiencias en los procesos operativos de la organización.
• La falta de alineamiento entre los resultados de la organización y los
objetivos estratégicos.
 CATEGORÍAS DE RIESGOS TECNOLÓGICOS
Riesgos asociados a la organización y gestión de TI (procesos)

Una estructura organizativa de reporte y responsabilidad que permite implementar

un sistema eficaz de control, entre otras cosas, debe tener en cuenta:

• La segregación de funciones: las personas involucradas en el desarrollo de los

sistemas están separadas de las dedicadas a operaciones de TI.
• La importancia de la gestión financiera de las inversiones.
• La gestión y el control de los proveedores, especialmente con un alto grado de
externalización.
• La gestión del entorno físico, tanto del centro de proceso de datos, como de los
equipos de usuario
• La asignación de privilegios de acceso excesivos a determinadas funciones
clave, y evitar situaciones de fraude u omisiones inadvertidas en tiempo.
• El diseño incorrecto de indicadores económicos para medir el ROI.
• La monitorización inadecuada de los proveedores externos.
• El análisis incorrecto de riesgos medioambientales de seguridad del centro de
proceso de datos.
 CATEGORÍAS DE RIESGOS TECNOLÓGICOS
Riesgos asociados a la capa técnica (implementaciones de tipo técnico)

La infraestructura técnica abarca los sistemas operativos, el diseño de redes internas,

el software de comunicaciones, software de seguridad y protección y bases de datos,
entre otros. El objetivo es asegurar que la información es completa, adecuada y
exacta. Como ejemplos de riesgos relacionados con la capa técnica se pueden citar:

• Una inadecuada segregación de funciones por asignación de privilegios en el

sistema que permita realizar acciones conflictivas o fraudulentas.
• Falta de un proceso adecuado de aprovisionamiento y gestión de usuarios, que
entorpezca el desarrollo de la operativa.
• Ausencia de segregación de accesos, sin control de la actividad de usuarios y
técnicos.
• Un inadecuado proceso de aplicación de actualizaciones de la infraestructura, sin
pruebas previas, transfiriendo problemas y vulnerabilidades a producción.
• Adquisición o mantenimiento de sistemas no establecidos formalmente, o
implantación de sistemas no probados correctamente.
• Cambios en los sistemas de gestión o aplicación no probados y validados antes de
su pase a producción
 FUENTES Y EVENTOS DE RIESGO

FACTORES EXTERNOS

FINANCIEROS ESTRATEGICOS

Eventos accidentales

Eventos operativos

Eventos financieroa

Eventos estratégicos

OPERACIONALES ACCIDENGTALES

FACTORES EXTERNOS
VISIÓN GENERAL GESTION DE RIESGOS
Proceso de Administración de Riesgos

1. Establecer Marco General

2. Identificar Riesgos

Monitorear
3. Análisis de Riesgos
y Revisar

4. Evaluar y Priorizar Riesgos

5. Tratamiento del Riesgo

Administración de Riesgos
1. Establecer Marco General

1.1. Entender el Entorno

1.2. Entender la Oganización

1.3. Identificar Criterios de Calificación

1.4. Identificar Objetos Críticos

Administración de Riesgos
1. Establecer Marco General

1.1. Entender el Entorno

1.2. Entender la Oganización

Análisis Externo
1.3. Identificar Criterios de Calificación
Aspectos financieros,
operacionales, competitivos, Objetivos
políticos (percepción / imagen),
1.4. Identificar Objetos Críticos
sociales, clientes, culturales y Estrategias
legales

Stakeholders
 Administración de Riesgos
1. Establecer Marco General
Metodología
1.1. Entender el Entorno
Políticas
Criterios de Calificación y Tablas de Valoración
1.2. Entender la Oganización
Universo de Objetos y Objetos Críticos Priorizados

1.3. Identificar Criterios de Calificación

1.4. Identificar Objetos Críticos

 Administración de Riesgos
Qué y Cómo calificar - priorizar?
Probabilidad Valor

Alta 3 15 30 60
Zona de riesgo Zona de riesgo Zona de riesgo
Moderado Importante. Inaceptable
Prevenir el riesgo Prevenir el riesgo Evitar el riesgo
Proteger la entidad Prevenir el riesgo
Compartirlo Proteger la entidad
Compartir
Media 2 10 20 40
Zona de riesgo Zona de riesgo Zona de riesgo
Tolerable Moderado. Importante
Aceptar el riesgo Prevenir el riesgo Prevenir el riesgo
Prevenir el riesgo Proteger la entidad Proteger la entidad
Compartirlo Compartirlo

Baja 1 5 10 20
Zona de riesgo Zona de riesgo Zona de riesgo
Aceptable Tolerable Moderado
Aceptar el riesgo Proteger la entidad Proteger la entidad
Compartirlo Compartirlo
Impacto Leve Moderado Catastrófica

Valor 5 10 20
Objeto n

Objeto 3
Objeto 2
Objeto 1

Qué y Cómo calificar - priorizar?

Administración de Riesgos
Criterio 1
Criterio 2
Criterio 3
Criterio 4
Criterio 5
Criterio 6
Criterio 7
Criterio 8

Criterio n
 Administración de Riesgos
Qué calificar - Objetos?

Cómo dividir la organización?

Interés de la Dirección
Procesos – Subprocesos Lista de Objetos
Proyectos a los cuáles se les
Unidades Orgánicas puede realizar
Sistemas - Aplicaciones Administración
Geográficamente de Riesgos
 Administración de Riesgos
Qué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)

Basado en Sistemas

Basado en Proyectos

Basado en Infraestructura
 Administración de Riesgos
Qué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)
Planeación estratégica de sistemas
Basado en Sistemas
Desarrollo de sistemas
Evolución o mantenimiento de sistemas
Integración de paquetes de software
Capacitación
Basado enenProyectos
Proceso de datos ambientes de trabajo en batch
Atención a requerimientos de usuarios
Administrar servicios de terceros (incluye outsourcing)
Basado endeInfraestructura
Administración proyectos

Administración de la infraestructura informática

Dirección y control del área de tecnología de información
Administración de recursos materiales (equipo, tecnología e instalaciones)
Administración de recursos humanos
Administración de recursos financieros
 Administración de Riesgos
Qué calificar - Objetos?
Basado en Procesos (Negocio –
COBIT)

Basado en Sistemas
Para un sistema en particular
Programas – Archivos - Procedimientos
Basado en Proyectos
Eventos - Entrada – Comunicación – Proceso – Salida -
Distribución
Basado en Infraestructura
 Administración de Riesgos
Qué calificar - Objetos?
Basado en Procesos (Negocio –
COBIT)

Basado en Sistemas

Basado en Proyectos
A Productos
Basado
Análisis en Infraestructura
al Proceso
 Administración de Riesgos
Qué calificar - Objetos?
Basado en Procesos (Negocio –
COBIT)

Datos Sistemas de Información (Aplicaciones)

Basado en Sistemas
Tecnología (Equipos – SW de base y SMBD – SW de Productividad
– Metodologías)
Instalaciones Recursos Humanos
Basado en Proyectos
Elementos de Administración
Recursos Financieros Proveedores

Basado en Infraestructura
 Administración de Riesgos
Cómo calificar – Criterios?
De Negocio •• Pérdida financiera
Pérdida de imagen
• Discontinuidad del negocio
• Incumplimiento de la misión
• Calidad del Control Interno
IIA • Competencia de la Dirección (entrenamiento, experiencia,
compromiso y juicio)
• Integridad de la Dirección (códigos de ética)
• Exposición financiera • Cambios recientes en procesos (políticas, sistemas, o
• Pérdida y riesgo potencial dirección)
• Requerimientos de la dirección • Tamaño de la Unidad (Utilidades, Ingresos, Activos)
• Cambios importantes en operaciones, • Liquidez de activos
programas, sistemas y controles • Cambio en personal clave
• Oportunidades de alcanzar beneficios • Complejidad de operaciones
operativos • Crecimiento rápido
• Capacidades del persona • Regulación gubernamental
• Condición económica deteriorada de una unidad
• Presión de la Dirección en cumplir objetivos
• Nivel de moral de los empleados
• Exposición política / Publicidad adversa
• Distancia de la oficina principal
 Administración de Riesgos
Cómo calificar – Criterios Seguridad Informática

Confidencialidad
Los activos de un sistema computacional son accedidos solo por personas autorizadas
El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la
existencia de un objeto
SECRETO, RESERVA, PRIVACIDAD

Integridad
“SOLO PERSONAS Disponibilidad
AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS”

Previene la divulgación no autorizada de datos

Administración de Riesgos
Cómo calificar – Criterios Seguridad Informática

Los activos pueden ser modificados solo por partes

autorizadas o solo en formas autorizadas
La modificación incluye escribir, cambiar, cambiar estados,
borrar y crear
PRECISIÓN, EXACTITUD, NO MODIFICADO,
Confidencialidad
MODIFICADO SOLO EN FORMAS ACEPTABLES,
MODIFICADO SOLO POR PERSONAS AUTORIZADAS,
MODIFICADO SOLO POR PROCESOS AUTORIZADOS,
CONSISTENCIA, CONSISTENCIA INTERNA,
SIGNIFICADO Y RESULTADOS CORRECTOS

ACCIONES AUTORIZADAS, SEPARACIÓN Y

PROTECCIÓN DE RECURSOS, Y DETECCIÓN Y
Integridad Disponibilidad
CORRECCIÓN DE ERRORES

“CONTROL RIGUROSO DE QUIEN PUEDE ACCEDER

CUALES RECURSOS EN QUE FORMAS”

Previene la modificación no autorizada de datos

 Administración de Riesgos
Cómo calificar – Criterios Seguridad Informática

Los activos son accesibles a partes autorizadas

Aplica a datos y servicios
PRESENCIA DE OBJETOS O SERVICIOS EN
FORMA UTIL, CAPACIDAD PARA CUMPLIR
LAS NECESIDADES DE SERVICIO, TIEMPO DE Confidencialidad
ESPERA LIMITADO, TIEMPO DE SERVICIO
ADECUADO

RESPUESTA OPORTUNA, TOLEREANCIA A

FALLAS, UTILIDAD, CONCURRENCIA
CONTROLADA (Soporte para acceso simultáneo,
administración de concurrencia y acceso exclusivo)
Integridad Disponibilidad
NEGACIÓN O REPUDIACIÓN DEL SERVICIO

Previene la negación de acceso autorizado a datos

INDEPENDENCIA - TRASLAPO
 Administración de Riesgos
2. Identificar Riesgos
2.1. Establecer el Contexto de Administración de Riesgos

2.2. Desarrollar Criterios de Valoración de Riesgos

2.3. Definir la Estructura

2.4. Identificar riesgos

2.5. Identificar causas

Administración de Riesgos
Seguridad Informática - Activos

Hardware

Software Datos

Medios de almacenamiento
Redes
Acceso
Gente clave
 Administración de Riesgos
Seguridad en Redes – Activos (Componentes)

Hardware
Servidores, estaciones cliente, dispositivos de comunicación (router, bridge,
hub, gateway, modem), dispositivos periférico, cables, fibras

Software (o Servicios)
Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones,
herramientas (administrativas, mantenimiento, backup), software bajo desarrollo

Datos
De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-
mail
De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria,
configuración y parámetros de la red
De los usuarios: datos procesados personal, archivos de propiedad del usuario
 Administración de Riesgos
Seguridad en Redes - Riesgos

R1 = Acceso no autorizado a la red o sus recursos

R2 = Divulgación no autorizada de información
R3 = Modificación no autorizada a datos y/o software
R4 = Interrupción de las funciones de la red (no disponibilidad
de datos o servicios)
R4a = incluyendo perdida o degradación de las
comunicaciones
R4b = incluyendo destrucción de equipos y/o datos
R4c = incluyendo negación del servicio
R5 = Acciones engañosas en la red (no saber quien)
 Administración de Riesgos
2. Cómo escribir Riesgos?
Riesgo
Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"

Consecuencia
Resultado de un evento o
situación expresado
cualitativa o
cuantitativamente
Evento
Situación que podría llegar a
ocurrir en un lugar
determinado en un momento
dado
Causa
Evento primario fundamento
u orígen de una consecuencia
 Administración de Riesgos
2. Cómo escribir Riesgos?
Riesgo
Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"

Consecuencia, Evento,
Impacto, Amenaza
Exposición
o Resultado

+ Causa,
Evento primario
o Situación
Administración de Riesgos
Seguridad en redes – Impactos Significativos

Violación de la privacidad
Demandas legales
Perdida de tecnología propietaria
Multas
Perdida de vidas humanas
Desconcierto en la organización
Perdida de confianza
Administración de Riesgos
Seguridad Informática - Amenazas

Naturales
Accidentales
Deliberadas
 Administración de Riesgos
Seguridad Informática – Amenazas Naturales

Origen Amenaza directa Impacto inmediato

Terremotos, Interrupción de potencia, R4, R4a, R4b
tormentas temperatura extrema debido
eléctricas a daños en construcciones,

Fenómenos Perturbaciones R4, R4a

astrofísicos electromagnéticas

Fenómenos Muerte de personal crítico R4, R4c

biológicos
 Administración de Riesgos
Seguridad Informática – Amenazas Accidentales

Origen Amenaza directa Impacto inmediato

Error del Usuario Borrado de archivos, Formateo de R3, R4

drive, mal empleo de equipos, errores
de entrada

Error del Configuración inapropiada de R1: R2, R3, R4, R5

Administrador parámetros, borrado de información

Fallas de equipos Problemas técnicos con servidores de R3, R4, R4b

archivos, servidores de impresión,
dispositivos de comunicación,
estaciones cliente, equipo de soporte
(cintas de back-up, control de acceso,
derrame de café)
Administración de Riesgos
Seguridad Informática – Involucrados

•Amateurs
•Hackers
• Empleados maliciosos
• Rateros
•Crackers
• Vándalos
•Criminales
•Espías (gobiernos
foráneos)
• Terroristas
 Administración de Riesgos
Seguridad Informática – Vulnerabilidades
Características o debilidades en el sistema de seguridad que
pueden ser explotadas para causar daños o perdidas (facilitan la
ocurrencia de una amenaza)

• Interrupción: un activo se pierde, no está disponible, o no se

puede utilizar
• Intercepción: alguna parte (persona, programa o sistema de
computo) no autorizada accede un activo
• Modificación: una parte no autorizada accede y manipula
indebidamente un activo
• Fabricación: Fabricar e insertar objetos falsos en un sistema
computacional
 Administración de Riesgos
Seguridad Informática – Vulnerabilidades
Interrupción Intercepción
(Negación del Servicio) (Robo)

Hardware

Actos Involuntarios/Accidentales – Intencionales/Voluntarios que limitan la

Software disponibilidad Datos
Destrucción
Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas, Ataques
físicos, Bombas

Robo
 Administración de Riesgos
Seguridad Informática – Vulnerabilidades

Borrado accidental o destrucción de

programas

Robo - Copia ilícita de programas

Hardware
Causar fallas o errores
Salvar una copia mala de un programa
Software destruyendo una buena, Programas
Datos
modificados (cambio de bits, de
instrucciones – bombas lógicas, efectos
colaterales)
Interrupción (Borrado) Caballos de Troya, Virus, Puerta falsa,
Intercepción Fuga de Información
Modificación
 Administración de Riesgos
Seguridad Informática – Vulnerabilidades
Robo

Confidencialidad – líneas
derivadas, recipientes de basura,
soborno a empleados claves,
inferencia, preguntando, compraHardware

Programas maliciosos – Técnica

Software
de salami, utilidades del sistema Datos
de archivos, facilidades de
comunicación defectuosas
Interrupción (Perdida)
Reprocesamiento de datos
Intercepción
utilizados, adicionar registros en
una base de datos Modificación
Fabricación
 Administración de Riesgos
3. Analizar Riesgos
3.1. Valorar Riesgo Inherente

3.2. Determinar Controles Existentes

3.3. Identificar Nivel de Exposición

Valorar el posible daño que puede ser

causado
Administración de Riesgos
Cómo valorar riesgo?

Probabilidad x
Impacto
Frecuencia x
Impacto
$ Inherente
Nivel de
exposición
Residual
 Administración de Riesgos
Controles en Seguridad

Controles
Administrativos

Politícas, Estándares,
Procedimientos,
Guías,
Controles Técnicos
Entrenamiento
Acceso lógico,
controles,
encripción,
dispositivos de seguridad, Controles físicos
Identificación y autenticación
Protección de instalaciones,
Guardias, candados,
Monitoreo,
Controles ambientales
 Administración de Riesgos
Controles en Seguridad
Medidas protectoras – acciones, dispositivos, procedimientos o técnicas – que
reducen una vulnerabilidad

Conf. Integ. Disp. Interr. Interc. Mod. Fab.

Encripción
Administración de la Configuración
(Control de Cambios a Programas)

Políticas

Controles de Hardware

Controles Físicos (candados y

guardas)
 Valorar prioridades de riesgo
VALORAR Y
PRIORIZAR
RIESGOS SI
Riesgo aceptable? Aceptar

Riesgo residual no aceptable NO

IDENTIFICAR
OPCIONES DE Transferir total o Evitar
Reducir Reducir
parcialmente
TRATAMIENTO probabilidad consecuencia

Considerar factibilidad, costos y beneficios, y niveles de riesgo

EVALUAR
OPCIONES DE Recomendar estrategias de tratamiento
TRATAMIENTO
Monitorear
Seleccionar estrategia de tratamiento
y Revisar
PREPARAR
Preparar planes de tratamiento para reducir, transferir o evitar el riesgo,
PLANES DE financiando cuando sea apropiado
TRATAMIENTO

Transferir total o
Reducir Reducir Evitar
parcialmente
probabilidad consecuencia
IMPLEMENTAR
PLANES DE Porción Porción
TRATAMIENTO retenida transferida

NO Riesgo residual SI
Retener
aceptable?

Asegurar la efectividad costo/beneficio de los controles

 Administración de Riesgos
Dónde invertir?
Principio de la Adecuada Protección: Los ítems deben ser protegidos solo hasta
que ellos pierden su valor y deben ser protegidos de manera consistente con su
valor

Variables:
Cantidad de involucrados
Esfuerzo de Aseguramiento
Hardware Valor del activo
Duración del Activo
Esfuerzo de detección de
incidentes
Software Datos Impacto en los objetivos del
negocio
Efectividad de la medida
Nivel de sofisticación
Facilidad de uso
NIA 300

Planeación de Auditoría de
Estados Financieros
Planeación de una Auditoría de Estados Financieros

La planeación le permite obtener un entendimiento del marco de referencia

legal y determinar procedimientos de evaluación del riesgo, aspectos
importantes para el desarrollo de la auditoría, teniendo en cuenta que la
planeación es un proceso continuo e interactivo .

Objetivo
El auditor debe planear la auditoría para realizar un trabajo efectivo y
apropiado.
Obtener un entendimiento del negocio de la entidad.
•Entender y evaluar el diseño e implementación de los controles.
•Evaluar los riesgos de que ocurran errores significativos en los estados
financieros y planear una estrategia de auditoría en respuesta a dichos
riesgos.
•Desarrollar nuestro enfoque de auditoría planeado con respecto a las
cuentas y revelaciones significativas
Propósito.

Establecer normas y proporcionar lineamiento sobre la

planeación de auditoria de Estados Financieros y es
aplicable a auditorias recurrentes.

•Desarrollar una estrategia general y un enfoque detallado

para la naturaleza, oportunidad y alcance esperados de la
auditoría.
Objetivos de la planeación

Obtener un entendimiento del negocio de la entidad.

•Entender y evaluar el diseño e implementación de los

controles.
•Evaluar los riesgos de que ocurran errores significativos
en los estados financieros y planear una estrategia de
auditoría en respuesta a dichos riesgos.
•Desarrollar nuestro enfoque de auditoría planeado con
respecto a las cuentas y revelaciones significativas.
Actividades preliminares del trabajo

• Efectuar procedimientos sobre la continuación de la

relación con el cliente y el trabajo específico de
auditoría.
• Evaluar el cumplimiento de los requisitos éticos,
incluyendo la independencia.
• Establecer un entendimiento de los términos del
trabajo.
 Componentes de la planeación de auditoria

La estrategia general de auditoría:

Establece el alcance, la oportunidad y la dirección de la auditoría

• Determinar las características del trabajo que definen su alcance
(Estructura y Requisitos de emisión de informes)
• Considerar los factores importantes que determinarán cómo concentrar
los esfuerzos del equipo de trabajo, como: - Identificar áreas en las
que se presenten mayores riesgos y errores importantes - Saldos de
cuentas importantes - Evaluación de si el auditor pudiera planear
obtener evidencia sobre la eficacia del control interno

En el proceso de establecer una estrategia general, el auditor se

cuestiona:
• Uso apropiado y cantidad de miembros del equipo con experiencia en
áreas de alto riesgo
• Participación de expertos en asuntos complejos
• Administración, dirección y supervisión de los miembros del equipo
NIA 315

Identificación y Evaluación de
los Riesgos de
Representación Errónea de
Importancia Relativa Mediante
el Entendimiento de la
Entidad y su Entorno
Procedimientos de evaluación de Riesgos

Su propósito es proveer una adecuada base (evidencia) para

la identificación y evaluación de los riesgos:

• Investigaciones con la Administración y otro personal de la

Entidad.(Efectividad del Control Interno, Proceso de transacciones)
• Procedimientos Analíticos.(Hechos o transacciones inusuales)
• Observaciones e Inspecciones.(Inspección de documentos)
• Otros procedimientos.(Preguntas a asesores legales)
• Información Obtenida en Proceso de Aceptación o
Continuidad del Cliente y la Información obtenida de Años
Anteriores.
El Conocimiento de la Entidad y su Entorno Incluido el Control Interno

Enfocado en los siguientes aspectos:

• Factores de la Industria, de Regulación y otros Factores

Externos.(Relación con proveedores y clientes)
• Naturaleza de la Entidad.(Operaciones de la Entidad)
• Objetivos, Estrategias y Riesgos del Negocio.(Reputación errónea de
importancia relativa de EE.FF.)
• Medición y Revisión del Desempeño Financiero de la
Entidad.(Identifica deficiencias en Control Interno)
• El control Interno
Control Interno

¿Qué es el Control Interno?

Proceso diseñado y efectuado por los encargados del

Gobierno Corporativo, la Administración y otro personal, para
proporcionar seguridad razonable, sobre el logro de los
Objetivos de la Entidad respecto de la Confiabilidad de la
información financiera, efectividad y eficacia de las
operaciones y cumplimiento de las leyes.
 Componentes del Control Interno

• Ambiente de Control.(Incluye funciones gobierno

Corporativo y Admón.)
• Evaluación de Riesgos de la
Entidad.(Evaluar diseño de ambiente de control de la entidad)
• Actividades de Control) .( Políticas y
procedimientos)
• Información y Comunicación.(Manuales o TI )
• Monitoreo .(Evalúa la efectividad del desempeño del control
interno)
Identificación y Evaluación del Riesgo de Imprecisiones o
Errores Significativos

A nivel de EE.FF. (Riesgos Inherentes) y a nivel de manifestación (Transacciones,

Saldos de cuentas y revelaciones).

• Identificación: Conocimiento del Negocio y su Entorno.

• Si el auditor no ha identificado riesgos: No significan que no
existan.(Recurrir al riesgo de la auditoria)

Existen riesgos para los cuales los procedimientos sustantivos

no proporcionan base suficiente de evidencia.(Compañías que
ofrecen servicios o productos por internet)
Evaluación del riesgo que debe ser revisado durante todo la
auditoria.(Desarrollo de pruebas de controles y sustantivas)
Riesgos que Requieren Consideración Especial

El auditor, como parte de la evaluación, debe determinar

qué riesgos requieren especial consideración.(Significativos)
• Transacciones rutinarias o poco complejas.(Poca probabilidad de
riesgo significativo)

• Asuntos fuera de la normal actividad del negocio.(Fraude,

riesgos económicos de legislación, transacciones complejas e inusuales)
• El auditor debe evaluar el control interno relacionado
con los riesgos especiales.(Ver si los controles implantados están operando)
Comunicación al Gobierno Corporativo y a la
Administración

El auditor debe comunicar las debilidades de la importancia

relativa del diseño o implementación del control interno.
Documentación:

• Conversaciones y discusiones entre el equipo de trabajo,

relacionado con la identificación y evaluación de
riesgos.(Error o Fraude)
• Elemento clave del conocimiento del negocio.(Aspectos de Entidad y su
entorno)

• Riesgos identificados y evaluados de representación

errónea de importancia relativa.(en EE.FF. Y Aseveración)
• Riesgos identificados y controles evaluados.
Factores Indicativos de Riesgo Significativo

Operaciones en regiones inestables económicamente.

• Problemas en la disponibilidad del crédito y capital.

• Problemas de liquidez, incluyendo perdidas de clientes
importantes.
• Cambios en las industrias.
• Expansión de nuevas localidades o líneas de negocios.
• Cambios en la Entidad.(Reorganización o Adquisición)
• Carencia de personal calificado.
• Debilidades en el control interno.
• Instalación de nuevos sistemas de información.
• Entre otros.
NIA 402-EMPRESA DE SERVICIOS - OBJETIVO

El propósito de esta Norma Internacional de

Auditoría (NIA) es establecer reglas y suministrar
criterios al auditor cuyo cliente utilice empresas de
servicios. Esta NIA también describe los informes
del auditor de la empresa de servicios que pueden
ser obtenidos por el auditor del cliente.
NIA 402-EMPRESA DE SERVICIOS - OBJETIVO

• Naturaleza de los servicios prestados por la organización

de servicios.
• Términos del contrato entre el cliente y la organización
de servicios.
• Aseveraciones de los estados contables que son
afectados por el uso de la organización de servicios.
• Grado de interacción de los sistemas del cliente y de la
organización de servicios.
• Capacidad y fuerza financiera de la organización de
servicios y como afectaría la falta de servicio.
• Utilización del informe del auditor de la organización de
servicios.