UNIDADES TECNOLÓGICAS DE SANTANDER

GUÍA DE ESTUDIO No. 4

UNIDAD ACADÉMICA: CONTADURIA PUBLICA

ASIGNATURA: AUDITORIA DE SISTEMAS
UNIDAD TEMÁTICA TEORIA DE RIESGOS Y CONTROLES EN SISTEMAS DE INFORMACION

COMPETENCIA RESULTADOS DE APRENDIZAJE

Conocer los riesgos y controles inherentes al Conoce los riesgos y controles inherentes al
Procesamiento Electrónico de Datos (PED) Procesamiento Electrónico de Datos (PED)

ACTIVIDADES DE APRENDIZAJE

• Desarrollo de Contenidos temáticos por parte del docente.

• Socialización de guías de estudio en grupos de trabajo
• Retroalimentación mediante un quiz en línea

TEORÍA GENERAL DE RIESGOS Y CONTROLES EN SISTEMAS DE INFORMACIÓN

En las metodologías utilizadas actualmente para llevar a cabo programas de evaluación para auditoria de sistemas
tiene un valor importante el análisis que se haga de los riesgos factibles de acuerdo con el medio ambiente interno
y externo que rodea a la empresa y la infraestructura de controles preventivos, detectivos y correctivos que
implementen para contrarrestar la ocurrencia de esos riesgos. Los profesionales de las ciencias empresariales
podrán utilizar las matrices y las modernas teorías administrativas de planeación estratégica para sopesar
debilidades y amenazas frente a oportunidades y fortalezas.

OBJETIVO

• Reconocer el riesgo y sus factores

• Clasificar los riesgos de acuerdo a su origen
• Evaluar los tipos de controles que se pueden implementar en una empresa
• Identificar las amenazas para evitar o minimizar las consecuencias no deseadas.

FUNDAMENTOS

Hay riesgos inherentes, en cualquier nivel de organización o sistemas.

Cada organización o sistemas está constituido por una serie de procesos y funciones, a su vez formados por
actividades, manuales o automatizadas, que pueden estar relacionados a un error potencial o riesgo, cada uno de
los cuales tiene una causa que puede someterse a cierto nivel de control.

Los objetivos de control pueden cumplirse, o los riesgos pueden evitarse mediante una gran variedad de prácticas
de control para cada actividad.

CONCEPTO DE RIESGO

Es una situación con dos características:

• Probabilidad de ocurrencia y
• Efecto negativo que no deseamos, directamente relacionados con la pérdida financiera

Jhon Jaime Acevedo VERSIÓN: 1 FECHA: marzo 2021

 UNIDADES TECNOLÓGICAS DE SANTANDER
GUÍA DE ESTUDIO No. 4

Ejemplo: Riesgos que se pueden presentar en una aplicación computarizada de nómina:

• Cambio de fecha de ingreso de los empleados
• Eliminación de descuentos
• Perdida de la información
• Pago a personas no vinculadas a la empresa
• Falta en el programa del cálculo de aporte a seguridad social o a los fondos
• Inclusión de novedades no autorizadas.

REFUERZA CONOCIMIENTOS: Enuncia tres ejemplos prácticos

FACTORES DE RIESGO

• Causas que lo generan

• Formas y ocurrencias del riesgo y
• El efecto del riesgo

Ejemplo: Incendio en el centro de cómputo

Causas: un corto circuito, una mano enemiga
Forma en que ocurre: llamas, humo, congestión, desastre
El efecto: ausencia de la información

REFUERZA CONOCIMIENTOS: Enuncia tres ejemplos prácticos

CLASIFICACION DE LOS RIESGOS SEGÚN EL ORIGEN

De la naturaleza
• Incendio
• Inundación
• Terremoto

Fallas del equipo

• Daño en el computador por falta de mantenimiento
• La unidad de lectura daña el disco
• La unidad de lectura daña la cinta
• El disco o la cinta no se puede leer
• Daño en la impresora
• Daño en el equipo de transcripción

Daño en la transmisión
• Fallas humanas no intencionales: error en trasmisión, error del diseño en la base de datos, error en un
cambio de programa.
• Fallas humanas intencionales: saqueos, sabotaje con o sin violencia, fraude, violación a la privacidad.
• Financieros: contra la propiedad, contra la información, contra el servicio.
• Consulta otras clases de riesgos existentes y consígnalos en tu portafolio.

Jhon Jaime Acevedo VERSIÓN: 1 FECHA: marzo 2021

 UNIDADES TECNOLÓGICAS DE SANTANDER
GUÍA DE ESTUDIO No. 4

RIESGO Y SEGURIDAD SEGÚN LAS NORMAS INTERNACIONALES DE AUDITORIA – EL MUESTREO EN

LA AUDITORIA -

El auditor al planear su trabajo debe determinar que el nivel de riesgo de auditoria sea adecuado.

Tipos de riesgos: inherente, control, detección

Riesgo inherente: Este tipo de riesgo tiene ver exclusivamente con la actividad económica o negocio de la
empresa, independientemente de los sistemas de control interno que allí se estén aplicando.

Si se trata de una auditoría financiera es la susceptibilidad de los estados financieros a la existencia de errores
significativos; este tipo de riesgo está fuera del control de un auditor por lo que difícilmente se puede determinar o
tomar decisiones para desaparecer el riesgo ya que es algo innato de la actividad realizada por la empresa.

Entre los factores que llevan a la existencia de este tipo de riesgos esta la naturaleza de las actividadeseconómicas,
como también la naturaleza de volumen tanto de transacciones como de productos y/o servicios, además tiene
relevancia la parte gerencial y la calidad de recurso humano con que cuenta la entidad.

Riesgo de control: Aquí influye de manera muy importante los sistemas de control interno que estén implementados
en la empresa y que en circunstancias lleguen a ser insuficientes o inadecuados para la aplicación y detección
oportuna de irregularidades. Es por esto la necesidad y relevancia que una administración tenga en constante
revisión, verificación y ajustes los procesos de control interno.

Cuando existen bajos niveles de riesgos de control es porque se están efectuando o están implementados excelentes
procedimientos para el buen desarrollo de los procesos de la organización. Entre los factores relevantes que
determina este tipo de riesgo son los sistemas de información, contabilidad y control.

Riesgo de detección: Este tipo de riesgo está directamente relacionado con los procedimientos de auditoría por lo
que se trata de la no detección de la existencia de errores en el proceso realizado.

La Responsabilidad de llevar a cabo una auditoria con procedimientos adecuados es total responsabilidad delgrupo
auditor, es tan importante este riesgo que bien trabajado contribuye a debilitar el riesgo de control y el riesgo
inherente de la compañía.

Es por esto que un proceso de auditoría que contenga problemas de detección muy seguramente en el momento en
que no se analice la información de la forma adecuada no va a contribuir a la detección de riesgos inherentes y de
control a que está expuesta la información del ente y además se podría estar dando un dictamen incorrecto.

La administración de riesgos en un marco amplio implica que las estrategias, procesos, personas, tecnología y
conocimiento que están alineados para manejar toda la incertidumbre que una organización enfrenta.

Por el otro lado los riesgos y oportunidades van siempre de la mano, y la clave es determinar los beneficios
potenciales de estas sobre los riesgos.

El riesgo inherente y de control existe independientemente de los procedimientos de muestreo en auditoria. El auditor
debe tomar en cuenta el riesgo de detección que pueda resultar de las incertidumbres debidas al muestreo (riesgos
del muestreo) junto con los que puedan resultar de factores ajenos al muestreo.

Los riesgos ajenos al muestreo pueden presentarse cuando el auditor utilice procedimientos inadecuados o interprete
mal evidencias, y así deja pasar errores. El objetivo del auditor deberá ser reducir los riesgos ajenos al muestreo a
un nivel si importancia mediante la planeación, dirección, supervisión y revisión adecuadas.
Jhon Jaime Acevedo VERSIÓN: 1 FECHA: marzo 2021
 UNIDADES TECNOLÓGICAS DE SANTANDER
GUÍA DE ESTUDIO No. 4

El riesgo de muestreo, bien sea por pruebas de cumplimiento o sustantivas puede surgir de la posibilidad de que la
conclusión del auditor, basada en la muestra, sea diferente de la que resultaría si sometiera toda la población al
mismo procedimiento de auditoria.

REFUERZA CONOCIMIENTOS: Enuncia tres ejemplos prácticos de riesgos inherentes identificando la clase de
empresa

TIPOS DE CONTROLES

Según el diseño:

• Preventivos: disminuyen la probabilidad de ocurrencia del riesgo. Su implementación tiene que están
acompañada de controles detectivos y correctivos porque solos son insuficientes, tienen bajo costo y su
objetivo es que las actividades en el ambiente PED se den en forma correcta.

• Detectivos: disminuyen el efecto si ocurre el riesgo. Su implementación es insuficiente por sí solo, de ahí la
necesidad de adicionar los controles correctivos en todos los casos.

• Correctivos: disminuyen los efectos no deseados. Contribuyen a la retroalimentación en el mejoramiento

de los sistemas de información. Requieren un apoyo administrativo para su puesta en marcha.

Ejemplo: Riesgo en el centro de cómputo

Controles preventivos
• Correcciones eléctricas
• Piso falso
• No utilizar material inflamable

Controles detectivos
• Alarma
• Vigilancia
• Cámara

Controles correctivos
• Equipo de extinción
• Equipo de backup
• Duplicar procedimientos, programas
• Procedimientos de recuperación y desastre

REFUERZA CONOCIMIENTOS: Enuncia tres ejemplos prácticos

Según la implementación:

• Manuales: funcionan sin ayuda del computador, por ejemplo: la observación del conteo de inventarios.

Jhon Jaime Acevedo VERSIÓN: 1 FECHA: marzo 2021

 UNIDADES TECNOLÓGICAS DE SANTANDER
GUÍA DE ESTUDIO No. 4

• Computarizados: funcionan con ayuda del computador, por ejemplo: controles de acceso, controles de
programación, conteo automático de registros, totales de control generados por el programa.

Según la ejecución:

• Aplicación discreta: se realiza de manera esporádica, por ejemplo: una vez al año realizo la circularización
para confirmar saldos de los clientes morosos.
• Aplicación continua: siempre se ejecuta y por lo general están implementados con ayuda del computador,
por ejemplo: control de secuencia en un programa de facturación.

AMENAZAS A LOS SISTEMAS DE INFORMACION

Se puede definir como amenaza a todo elemento o acción capaz de atentar contra la seguridad de la información.
Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir, que una amenaza sólo puede existir si
existe una vulnerabilidad que pueda ser aprovechada, e independientemente de que se comprometa o no la
seguridad de un sistema de información.

Diversas situaciones, tales como el incremento y el perfeccionamiento de las técnicas de ingeniería social, la falta
de capacitación y concientización a los usuarios en el uso de la tecnología, y sobre todo la creciente rentabilidad
de los ataques, han provocado en los últimos años el aumento de amenazas intencionales.

El crecimiento en compatibilidad entre los diferentes sistemas de computación incrementa.

La difusión de conexiones entre computadores personales a grandes equipos, sistemas multiusuario y redes de
computadores implica que muchas personas cuentan con medios para acceder a los recursos de información de
las empresas.

El uso creciente de la tecnología induce a una mayor dependencia de los sistemas y a mayores problemas, cuando
este uso no está controlado.

La interrupción del servicio se califica como el daño con más consecuencias potenciales.

Se debe mirar si los planes de recuperación de desastres son completos

Que existan las guías para usuarios en términos de soluciones manuales provisionales

El personal de sistemas puede llegar a ser la mayor amenaza para una organización, si no tiene procedimientos
claramente definidos en su contratación.

Las organizaciones confían cada día más en los recursos de computación

En la práctica, la necesidad de tener seguridad está reconocida como una prioridad, aunque el nivel de seguridad
logrado es frecuentemente bajo

La escasez de conocimientos tecnológicos y comprensión por parte de la administración, crea un alto y delicado
grado de complacencia.

Muchos usuarios no están acostumbrados, o no son conscientes de las diferencias entre los requisitos de
seguridad y las acciones tomadas para satisfacer aquellos requisitos

Los requisitos fundamentales de la seguridad de los usuarios son esencialmente Independientes de la tecnología

Jhon Jaime Acevedo VERSIÓN: 1 FECHA: marzo 2021

 UNIDADES TECNOLÓGICAS DE SANTANDER
GUÍA DE ESTUDIO No. 4

La identificación de requisitos esenciales de seguridad es básica para una política efectiva de seguridad

Debemos eliminar la creencia de que el crimen por computador es algo que solamente ocurre a otras personas

La falta de presupuesto hace difícil revisar si los recursos disponibles están siendo utilizados en forma eficiente

Se debe tener en cuenta el intruso autorizado (secretaria, supervisor, administrador) es decir el que tiene acceso
legítimo a una parte de sistemas.

La funcionalidad está por delante del control.

Tipos de amenazas

Las amenazas pueden clasificarse en dos tipos:

• Intencionales, en caso de que deliberadamente se intente producir un daño (por ejemplo, el robo de
información).
• No intencionales, en donde se producen acciones u omisiones de acciones que, si bien no buscan explotar
una vulnerabilidad, ponen en riesgo los activos de información y pueden producir un daño (por ejemplo, las
amenazas relacionadas con fenómenos naturales).

Cómo actuar

La presencia de una amenaza es una advertencia de que puede ser inminente el daño a algún activo de la
información, o bien es un indicador de que el daño se está produciendo o ya se ha producido. Por ello siempre debe
ser reportada como un incidente de seguridad de la información. Si sospecha que existe una amenaza a algún
sistema de información de la Universidad, por favor efectúe el reporte del incidente.

INSTRUMENTOS DE EVALUACIÓN

• Guías de Estudio y profundización.

• Taller de grupo en el aula.
• Evaluación de la temática.

BIBLIOGRAFÍA

Echenique García, J. A. (2001). Auditoría en Informática. México: Mc Graw Hill.

Galán Quiroz, L. (1996). Informática y Auditoría para las ciencias empresariales. Bucaramanga.
Gerencie. (08 de octubre de 2017). Tipos de riesgos de auditoría. Obtenido de http://www.gerencie.com/tipos-de-
riesgos-de-auditoria.html

Jhon Jaime Acevedo VERSIÓN: 1 FECHA: marzo 2021