Documentos de Académico
Documentos de Profesional
Documentos de Cultura
4 AuditoriaTIriesgosygobiernoyNIA-Mododecompatibilidad PDF
4 AuditoriaTIriesgosygobiernoyNIA-Mododecompatibilidad PDF
Contador Público
o
Ingeniero en
Informática
TRABAJO EN EQUIPOS: DEFINICIONES
Evolución del enfoque de auditoría
Valor hacia el negocio
Alineación con la
visión y misión
empresarial
Económia,
Eficiencia y Eficacia
de las operaciones
Finanzas y
Contabilidad
El auditor debería tener suficiente conocimiento del SIC para planear dirigir,
supervisar y revisar el trabajo desarrollado.
Para los propósitos de las NIA existe un SIC cuando la entidad, al procesar la información
financiera significativa para la auditoría, emplea sistemas de información como equipos de
computo de cualquier tipo o tamaño, ya sea operado por la propia entidad o por un tercero.
Por consiguiente, un ambiente SIC puede afectar:
Los procedimientos seguidos por un auditor para obtener una comprensión suficiente de
los sistemas de contabilidad y de control interno.
La consideración del riesgo inherente y del riesgo de control a través de la cual el auditor
llega a la evaluación del riesgo.
El diseño y desarrollo por el auditor de pruebas de control y procedimientos sustantivos
apropiados para cumplir con el objetivo de la auditoría.
IMPACTO DEL AMBIENTE SIC
ambiente.
SISTEMAS DE COMPUTADORAS EN LÍNEA
RIESGOS…
“Efecto de la
incertidumbre
sobre los
objetivos”
NTC ISO 31000 /2011
ADMINISTRACIÓN DEL RIESGO
Definiciones
BENEFICIOS
PRINCIPIOS
• Crea y protege el valor
• Parte integral de todos los procesos de la
organización
• Parte para la toma de decisiones
• Aborda explícitamente la incertidumbre
• Es sistemática, estructurada y oportuna
• Se basa en la mejor información disponible
• Esta adaptada
• Toma en consideración los factores
humanos y culturales
• Transparente e inclusive
• Dinámica, reiterativa, y receptiva al cambio
• Facilita la mejora continua
Evaluar riesgo, implica en primer lugar asumir a que se
está expuesto, cuán probable es que me ocurra un
suceso, y si sucede que impacto o consecuencias
puede tener.
REDUCCIÓN DE RIESGO
Medidas personales
Contratación, Capacitación, Sensibilización, ...
Medidas organizativas
Normas y reglas, Seguimiento de control,
Auditoría, ...
ADMINISTRACIÓN DEL RIESGO
Medidas de Protección
Verificación de funcionalidad
• Respaldado por coordinación
• Esfuerzo adicional y costos vs. eficiencia
• Evitar medidas pesadas o molestas
• Se pierde la información/conocimiento
• Terceros tienen acceso a la
información/conocimiento
• Información ha sido manipulada o está incompleta
• Información/conocimiento o persona no está
disponible
• Cambio de legitimidad de la fuente de información
ADMINISTRACIÓN DEL RIESGO
FACTORES EXTERNOS
FINANCIEROS ESTRATEGICOS
Eventos accidentales
Eventos operativos
Eventos financieroa
Eventos estratégicos
OPERACIONALES ACCIDENGTALES
FACTORES EXTERNOS
VISIÓN GENERAL GESTION DE RIESGOS
Proceso de Administración de Riesgos
2. Identificar Riesgos
Monitorear
3. Análisis de Riesgos
y Revisar
Análisis Externo
1.3. Identificar Criterios de Calificación
Aspectos financieros,
operacionales, competitivos, Objetivos
políticos (percepción / imagen),
1.4. Identificar Objetos Críticos
sociales, clientes, culturales y Estrategias
legales
Stakeholders
Administración de Riesgos
1. Establecer Marco General
Metodología
1.1. Entender el Entorno
Políticas
Criterios de Calificación y Tablas de Valoración
1.2. Entender la Oganización
Universo de Objetos y Objetos Críticos Priorizados
Alta 3 15 30 60
Zona de riesgo Zona de riesgo Zona de riesgo
Moderado Importante. Inaceptable
Prevenir el riesgo Prevenir el riesgo Evitar el riesgo
Proteger la entidad Prevenir el riesgo
Compartirlo Proteger la entidad
Compartir
Media 2 10 20 40
Zona de riesgo Zona de riesgo Zona de riesgo
Tolerable Moderado. Importante
Aceptar el riesgo Prevenir el riesgo Prevenir el riesgo
Prevenir el riesgo Proteger la entidad Proteger la entidad
Compartirlo Compartirlo
Baja 1 5 10 20
Zona de riesgo Zona de riesgo Zona de riesgo
Aceptable Tolerable Moderado
Aceptar el riesgo Proteger la entidad Proteger la entidad
Compartirlo Compartirlo
Impacto Leve Moderado Catastrófica
Valor 5 10 20
Objeto n
Objeto 3
Objeto 2
Objeto 1
Criterio n
Administración de Riesgos
Qué calificar - Objetos?
Interés de la Dirección
Procesos – Subprocesos Lista de Objetos
Proyectos a los cuáles se les
Unidades Orgánicas puede realizar
Sistemas - Aplicaciones Administración
Geográficamente de Riesgos
Administración de Riesgos
Qué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Basado en Proyectos
Basado en Infraestructura
Administración de Riesgos
Qué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)
Planeación estratégica de sistemas
Basado en Sistemas
Desarrollo de sistemas
Evolución o mantenimiento de sistemas
Integración de paquetes de software
Capacitación
Basado enenProyectos
Proceso de datos ambientes de trabajo en batch
Atención a requerimientos de usuarios
Administrar servicios de terceros (incluye outsourcing)
Basado endeInfraestructura
Administración proyectos
Basado en Sistemas
Para un sistema en particular
Programas – Archivos - Procedimientos
Basado en Proyectos
Eventos - Entrada – Comunicación – Proceso – Salida -
Distribución
Basado en Infraestructura
Administración de Riesgos
Qué calificar - Objetos?
Basado en Procesos (Negocio –
COBIT)
Basado en Sistemas
Basado en Proyectos
A Productos
Basado
Análisis en Infraestructura
al Proceso
Administración de Riesgos
Qué calificar - Objetos?
Basado en Procesos (Negocio –
COBIT)
Basado en Infraestructura
Administración de Riesgos
Cómo calificar – Criterios?
De Negocio •• Pérdida financiera
Pérdida de imagen
• Discontinuidad del negocio
• Incumplimiento de la misión
• Calidad del Control Interno
IIA • Competencia de la Dirección (entrenamiento, experiencia,
compromiso y juicio)
• Integridad de la Dirección (códigos de ética)
• Exposición financiera • Cambios recientes en procesos (políticas, sistemas, o
• Pérdida y riesgo potencial dirección)
• Requerimientos de la dirección • Tamaño de la Unidad (Utilidades, Ingresos, Activos)
• Cambios importantes en operaciones, • Liquidez de activos
programas, sistemas y controles • Cambio en personal clave
• Oportunidades de alcanzar beneficios • Complejidad de operaciones
operativos • Crecimiento rápido
• Capacidades del persona • Regulación gubernamental
• Condición económica deteriorada de una unidad
• Presión de la Dirección en cumplir objetivos
• Nivel de moral de los empleados
• Exposición política / Publicidad adversa
• Distancia de la oficina principal
Administración de Riesgos
Cómo calificar – Criterios Seguridad Informática
Confidencialidad
Los activos de un sistema computacional son accedidos solo por personas autorizadas
El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la
existencia de un objeto
SECRETO, RESERVA, PRIVACIDAD
Integridad
“SOLO PERSONAS Disponibilidad
AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS”
INDEPENDENCIA - TRASLAPO
Administración de Riesgos
2. Identificar Riesgos
2.1. Establecer el Contexto de Administración de Riesgos
Hardware
Software Datos
Medios de almacenamiento
Redes
Acceso
Gente clave
Administración de Riesgos
Seguridad en Redes – Activos (Componentes)
Hardware
Servidores, estaciones cliente, dispositivos de comunicación (router, bridge,
hub, gateway, modem), dispositivos periférico, cables, fibras
Software (o Servicios)
Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones,
herramientas (administrativas, mantenimiento, backup), software bajo desarrollo
Datos
De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-
mail
De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria,
configuración y parámetros de la red
De los usuarios: datos procesados personal, archivos de propiedad del usuario
Administración de Riesgos
Seguridad en Redes - Riesgos
Consecuencia Evento
Resultado de un evento o Situación que podría llegar a
situación expresado ocurrir en un lugar
cualitativa o determinado en un momento
cuantitativamente dado
Causa
Evento primario fundamento
u orígen de una consecuencia
Administración de Riesgos
2. Cómo escribir Riesgos?
Riesgo
Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"
Consecuencia, Evento,
Impacto, Amenaza
Exposición
o Resultado
+ Causa,
Evento primario
o Situación
Administración de Riesgos
Seguridad en redes – Impactos Significativos
Violación de la privacidad
Demandas legales
Perdida de tecnología propietaria
Multas
Perdida de vidas humanas
Desconcierto en la organización
Perdida de confianza
Administración de Riesgos
Seguridad Informática - Amenazas
Naturales
Accidentales
Deliberadas
Administración de Riesgos
Seguridad Informática – Amenazas Naturales
•Amateurs
•Hackers
• Empleados maliciosos
• Rateros
•Crackers
• Vándalos
•Criminales
•Espías (gobiernos
foráneos)
• Terroristas
Administración de Riesgos
Seguridad Informática – Vulnerabilidades
Características o debilidades en el sistema de seguridad que
pueden ser explotadas para causar daños o perdidas (facilitan la
ocurrencia de una amenaza)
Hardware
Robo
Administración de Riesgos
Seguridad Informática – Vulnerabilidades
Confidencialidad – líneas
derivadas, recipientes de basura,
soborno a empleados claves,
inferencia, preguntando, compraHardware
Probabilidad x
Impacto
Frecuencia x
Impacto
$ Inherente
Nivel de
exposición
Residual
Administración de Riesgos
Controles en Seguridad
Controles
Administrativos
Politícas, Estándares,
Procedimientos,
Guías,
Controles Técnicos
Entrenamiento
Acceso lógico,
controles,
encripción,
dispositivos de seguridad, Controles físicos
Identificación y autenticación
Protección de instalaciones,
Guardias, candados,
Monitoreo,
Controles ambientales
Administración de Riesgos
Controles en Seguridad
Medidas protectoras – acciones, dispositivos, procedimientos o técnicas – que
reducen una vulnerabilidad
Políticas
Controles de Hardware
IDENTIFICAR
OPCIONES DE Transferir total o Evitar
Reducir Reducir
parcialmente
TRATAMIENTO probabilidad consecuencia
EVALUAR
OPCIONES DE Recomendar estrategias de tratamiento
TRATAMIENTO
Monitorear
Seleccionar estrategia de tratamiento
y Revisar
PREPARAR
Preparar planes de tratamiento para reducir, transferir o evitar el riesgo,
PLANES DE financiando cuando sea apropiado
TRATAMIENTO
Transferir total o
Reducir Reducir Evitar
parcialmente
probabilidad consecuencia
IMPLEMENTAR
PLANES DE Porción Porción
TRATAMIENTO retenida transferida
NO Riesgo residual SI
Retener
aceptable?
Variables:
Cantidad de involucrados
Esfuerzo de Aseguramiento
Hardware Valor del activo
Duración del Activo
Esfuerzo de detección de
incidentes
Software Datos Impacto en los objetivos del
negocio
Efectividad de la medida
Nivel de sofisticación
Facilidad de uso
NIA 300
Planeación de Auditoría de
Estados Financieros
Planeación de una Auditoría de Estados Financieros
Objetivo
El auditor debe planear la auditoría para realizar un trabajo efectivo y
apropiado.
Obtener un entendimiento del negocio de la entidad.
•Entender y evaluar el diseño e implementación de los controles.
•Evaluar los riesgos de que ocurran errores significativos en los estados
financieros y planear una estrategia de auditoría en respuesta a dichos
riesgos.
•Desarrollar nuestro enfoque de auditoría planeado con respecto a las
cuentas y revelaciones significativas
Propósito.
Identificación y Evaluación de
los Riesgos de
Representación Errónea de
Importancia Relativa Mediante
el Entendimiento de la
Entidad y su Entorno
Procedimientos de evaluación de Riesgos