CAPITULO III

ANALISIS DE RIESGOS

1 ANALISIS DE RIESGOS

El análisis de riesgos es parte de la planeación de auditoría y ayuda a identificar los riesgos

y las vulnerabilidades para que el auditor pueda determinar los controles necesarios para
mitigarlos.

Entender la relación entre riesgo y control es importante para los profesionales de

auditoría de SI y de control, al evaluar los procesos de negocio relacionados con TI
utilizados por una organización. Los auditores de SI deben ser capaces de identificar y
diferenciar los tipos de riesgo y los controles usados para mitigarlos. Deben tener
conocimiento de los riesgos comunes del negocio, riesgos de TI relacionados y controles
relevantes. También deben ser capaces de evaluar el análisis de riesgos y las técnicas de
administración usadas por los directivos del negocio, así como evaluar el riesgo como
ayuda para determinar el enfoque y planear el trabajo de auditoría. Además de un
entendimiento de los riesgos y controles del negocio, los auditores de SI deben entender
que existe riesgo dentro del proceso de auditoría.

Existen muchas definiciones de riesgo, lo que quiere decir que riesgo significa cosas
distintas para diferentes personas. Tal vez una de las definiciones de riesgo más sucintas
usadas en el negocio de seguridad de la información es la provista por las Directrices
para la Administración de Seguridad de TI publicadas por la Organización Internacional
de Estandarización ISO):

"El potencial de que una amenaza determinada explote las vulnerabilidades de un activo
(G3) o grupo de activos ocasionando pérdida o daño a la organización. (ISO/IEC PDTR
13335-1).

Esta definición es usada comúnmente por la industria de TI ya que coloca al riesgo en un

contexto organizacional usando los conceptos de activos y pérdida de valor - términos
que los directivos del negocio comprenden fácilmente-.
Los riesgos del negocio son la probabilidad de aquellas amenazas que pueden tener un
impacto negativo sobre los activos, procesos u objetivos de un negocio u organización
específica. La naturaleza de estas amenazas puede ser financiera, regulatoria u
operacional, y puede surgir como resultado de la interacción del negocio con su medio, o
resultado de las estrategias, sistemas, así como tecnología, procesos, procedimientos e
información particulares usados por el negocio. El auditor de SI está a menudo enfocado
en asuntos de alto riesgo asociados con la confidencialidad, disponibilidad o integridad
de información sensitiva y crítica, y con los sistemas y procesos subyacentes de
información que generan, almacenan y manipulan dicha información. Al revisar este tipo
de riesgos, los auditores de SI a menudo evaluarán la efectividad del proceso de
administración de riesgos que usa una organización.

El proceso de evaluación del riesgo se caracteriza como un ciclo de vida iterativo que
comienza identificando los objetivos del negocio, los activos de información y los
sistemas o recursos de información subyacentes que generan, almacenan, usan o
manipulan los activos clave (hardware, software, bases de datos, redes, instalaciones,
personas, etc.) para lograr estos objetivos. El mayor grado de esfuerzo de administración
de riesgos puede entonces estar dirigido a los que se consideran más sensitivos o críticos
para la organización. Una vez que los activos de información sensitiva y/o crítica están
identificados, se realiza una evaluación de riesgos para identificar las amenazas,
determinar la probabilidad de ocurrencia y el impacto resultante y las medidas
adicionales, que mitigarían este impacto a un nivel aceptable para la gerencia.

Luego, durante la tase de mitigación de riesgos, se identifican los controles para mitigar
los riesgos identificados. Estos controles son contramedidas para la mitigación de riesgos
que buscan prevenir o reducir la probabilidad de ocurrencia de un evento de riesgo,
detectar la ocurrencia del mismo, minimizar el impacto o transferir el riesgo a otra
organización.
La evaluación de contramedidas deberla realizarse mediante un análisis costo - beneficio,
en el que los controles para mitigar riesgos se seleccionan de manera que se logre reducir
los riesgos hasta un nivel aceptable para la dirección. Este proceso de análisis puede
basarse en cualquiera de las siguientes opciones:

- El costo del control comparado con el beneficio de minimización del riesgo.

- La tolerancia a riesgos de la gerencia (p. ej. el nivel de riesgo residual que la gerencia
está preparada para aceptar).
- Los métodos preferidos de reducción de riesgos (por ejemplo, eliminar el riesgo,
minimizar la probabilidad de ocurrencia, minimizar el impacto, transferir y asegurar).

La fase final se relaciona con el monitoreo de los niveles de desempeño de los riesgos
administrados cuando se presenten cambios significativos en el entorno, que iniciarían
una reevaluación de riesgos, resultando en cambios a su ambiente de control. Ello abarca
tres procesos — evaluación de riesgos, mitigación de riesgos y reevaluación de riesgos-
para determinar si los riesgos se están mitigando hasta un nivel aceptable para la gerencia.
Debe notar que, para ser efectiva, la evaluación del riesgo debe ser un proceso continuo
en una organización que se esfuerza por identificar y evaluar constantemente los riesgos
a medida que éstos surgen y evolucionan.

Desde la perspectiva del auditor, el análisis de riesgos tiene más de un propósito:

Apoya al auditor en la identificación de riesgos y amenazas para un ambiente de TI y los
sistemas de SI que necesitan ser tratados por la dirección, así como los controles internos
específicos del sistema. Dependiendo del nivel de riesgo, este análisis apoya al auditor en
la selección de ciertas áreas para examinar.

Ayuda al auditor en su evaluación de los controles durante la planeación de la auditoria.

Apoya al auditor a determinar los objetivos de la auditoría.
Soporta decisiones de la auditoría basada en riesgos.