ANÁLISIS DE RIESGOS
Ing. Alejandra Colina V.
Octubre, 2018
Contenido
Definiciones básicas Tipos de riesgos Materialidad y riesgos
Riesgos de auditoria
Componentes de riesgos de auditoria
Análisis de Riesgos
“La vida en el mundo del software seria más fácil si los
RIESGOS aparecen después de que hayamos desarrollado
planes para tratarlos”
Riesgo es la amenaza determinando el grado de exposición a la ocurrencia de una pérdida.
Riesgo se define como todo evento contingente que de materializarse puede impedir o comprometer el logro de los objetivos de un negocio o proceso.
Riesgo tecnológico como “La probabilidad de que una amenaza se materialice, utilizando vulnerabilidad existentes de un activo o un grupo de activos,
generándole pérdidas o daños”. (ISO)
Análisis de Riesgos
▪ Es una herramienta de diagnóstico que permite establecer la exposición real a los riesgos por parte de una organización.
▪ El propósito es la identificación de los riesgos (mediante la identificación de sus elementos), lograr establecer el riesgo total y posteriormente el riesgo residual luego de aplicadas las contramedidas en términos cuantitativos o cualitativos.
Análisis de Riesgos
El riesgo total es la combinación de los elementos que lo conforman, calculando el valor del impacto por la probabilidad de ocurrencia de la amenaza y cuál es el activo que ha sido impactado.
RT (riesgo total) = probabilidad x impacto
El objetivo general es identificar sus causas potenciales de los principales riesgos que amenazan el entorno informático.
Análisis de Riesgos
El Análisis de Riesgos comprende los siguientes pasos:
1. Definir los activos informáticos a analizar.
2. Identificar las amenazas que pueden comprometer la seguridad de los activos.
3. Determinar la probabilidad de ocurrencia de las amenazas.
4. Determinar el impacto de las amenazas, con el objeto de establecer una priorización de las mismas.
5. Recomendar controles que disminuyan la probabilidad de los riesgos.
6. Documentar el proceso.
Análisis de Riesgos
Materialidad y Riesgos
▪ El termino MATERIAL se usa en el contexto de los riesgos para hacer referencia a un error que debe considerarse significativo cuando se lleva a cabo la Auditoria.
▪ Los riesgos materiales dependen del tamaño o importancia del ente auditado así como de otros factores.
TRABAJO del AUDITOR – Detección de posibles errores
▪ Evaluar los controles internos a fin de conseguir los errores mínimos, los cuales combinados con otros puede convertirse en un error material del Sistema u Organización.
Análisis de Riesgos
Tipos de Riesgos
▪ Posibilidad que el auditor no satisfaga las expectativas del cliente.
¿Qué hacer para minimizar este riesgo?
✓ Ser contundente, con los requerimientos técnicos de su cliente
✓ Brindar un asesoramiento adecuado en el desarrollo de la información,
1. Riesgos de Satisfacción al Cliente
Análisis de Riesgos
Tipos de Riesgos
2. Riesgos Profesional
▪ Posibilidad que el auditor se involucre con entidades y/o personas, que afecten su imagen profesional.
▪ Para ello debe
− Conocer al máximo la entidad a auditar, de los propietarios, de los profesionales que dirigen y asesoran, de sus clientes, de sus proveedores y toda información necesaria que ayude a identificar este tipo de riesgo
Análisis de Riesgos
Riesgos de Auditoria
Los Riesgos en la Auditoria se definen como:
▪ Aquellos riesgos en que la información puede tener errores materiales o que el Auditor TI no puede detectar un error que ha ocurrido.
▪ Permite identifica los riesgos y las vulnerabilidades para que el auditor pueda determinar en los controles necesario para mitigar los riesgos.
El análisis de riesgos es parte de la planificación de auditoria.
Análisis de Riesgos
Riesgos de Auditoria
▪ Esta actividad permite medir el nivel de riesgo que presenta cada caso objeto de auditoría.
▪ Es altamente subjetiva.
▪ Depende del criterio, capacidad y experiencia del auditor.
▪ Constituye la base del plan de actividades, determinando el alcance y oportunidad de la revisión, así como también del procedimiento de auditoría a emplear.
▪ Existen métodos para reducir el nivel de subjetividad en la evaluación y categorización de los riesgos, establecen pautas y procedimientos para la evaluación.
Evaluación y Categorización del Riesgo
Análisis de Riesgos
Riesgos de Auditoria
1. Nivel Macro
Apoyan la fase del planeamiento que hace a un plan global del ámbito informático, determinando los sistemas y/o áreas de mayor riesgo
▪ Identificar los factores de Riesgo: Sistema de Control, Nivel de Sensibilidad, Complejidad y Cambios
▪ Definir la importancia de los factores (Apertura en cuanto a parámetros) Puntuación de cada factor (al ser evaluados en sus parámetros)
▪ Calcular y Evaluar Factores de Riesgo de cada proyecto de auditoría
▪ Determinar las prioridades de los proyectos en base a los riesgos
▪ Proyectos priorizados conforme a los resultados obtenidos Metodología de Análisis
Análisis de Riesgos
Riesgos de Auditoria
1. Nivel Macro
Metodología de Análisis
Análisis de Riesgos
Riesgos de Auditoria
2. Nivel Micro
La evaluación a nivel Micro se utiliza para:
▪ Diseño de controles para los SI
▪ Comparar controles que presentan distintos tipos de Software
▪ Auditoría de Sistemas Consiste en:
▪ Desarrollar los objetivos del control
▪ Establecer prioridades de seguridad y confiabilidad
▪ Seleccionar salvaguardas y controles para mitigar o eliminar las amenazas, y por lo tanto la pérdida o exposición resultante.
Metodología de Análisis
Análisis de Riesgos
Riesgos de Auditoria
2. Nivel Micro
Se orientan a un subsistema o tarea puntual, que debieran mitigar o eliminar los riesgos y determinar los procedimientos de auditoría.
Metodología de Análisis
Análisis de Riesgos
▪ Es aquel que se asume por parte de los auditores que en su revisión no detecten deficiencias en el Sistema de Control Interno.
▪ Es imputable a la figura del Auditor, surge al realizar su trabajo.
▪ Este riesgo surge por ejemplo:
- Aplicar procedimientos erróneos
- Determinar erróneamente el alcance
- No asignar las tareas a los colaboradores correspondientes - No aplicar los procedimientos en el momento adecuado
Componentes de Riesgos de Auditoria
1. Riesgos de Detección
Análisis de Riesgos
“Cuando realiza pruebas exitosas a partir de un procedimiento inadecuado. Puede llegar a la conclusión de que no existen errores materiales cuando en realidad existen”.
Determinación inadecuada de...
Naturaleza ➔ “¿Qué procedimientos?”
Alcance ➔ “¿Cuántos comprobantes voy a controlar? Cuantos clientes voy a circularizar”
Oportunidad ➔ “¿Cuándo voy aplicar los procedimientos?”
Componentes de Riesgos de Auditoria
1. Riesgos de Detección
Análisis de Riesgos
▪ Son aquellos riesgos que existe y que se propicia por la falta de control de las actividades de la empresa y puede generar deficiencias del Sistema de Control Interno.
▪ Se caracteriza por:
‒ Son riesgos endógenos,
‒ Causados por posibles fallas en los controles internos, en los sistemas de información, en los procedimientos, en la estructura existente, en los niveles de autorización.
Componentes de Riesgos de Auditoria
2. Riesgos de Control
Análisis de Riesgos
▪ Son riesgos controlables por la empresa, no por el auditor.
▪ Promueve la necesidad y relevancia en que se lleve a cabo una constante revisión, verificación y ajustes los procesos de control interno.
Componentes de Riesgos de Auditoria
2. Riesgos de Control
Análisis de Riesgos
▪ Niveles del Riesgo de Control:
▪ Riesgo Bajo. El auditor considera que los controles detectarán cualquier aseveración errónea que pudiera ocurrir en exceso de la materialidad diseñada.
▪ Riesgo Medio y Alto. El auditor considera que es más probable que los controles no detecten cualquier aseveración errónea que pudiera ocurrir en exceso de la materialidad diseñada.
Componentes de Riesgos de Auditoria
2. Riesgos de Control
Análisis de Riesgos
▪ Son riesgos del contexto, propios de cada industria, organización o empresa.
▪ Son independiente de los sistemas de control interno.
▪ No son manejables por la dirección.
Ejemplo:
“Cuando un error material no se puede evitar que suceda porque no existe controles compensatorios relacionados que se puedan establecer”
“Riesgo de incobrabilidad por recesión económica, por las características de los productos con avance tecnológico muy rápido”.
Componentes de Riesgos de Auditoria
3. Riesgos de Inherentes
Análisis de Riesgos
▪ Entre los factores que llevan a la existencia de este tipo de riesgos:
✓ Naturaleza del negocio del ente
✓ Resultados de auditorias anteriores
✓ Tipo de operaciones que realizan
✓ Relevancia la parte gerencial
✓ Naturaleza de sus productos y el volumen de sus operaciones
✓ Situación económica y financiera del entre
✓ Calidad de recurso humano con que se cuente.
Componentes de Riesgos de Auditoria
3. Riesgos de Inherentes
Análisis de Riesgos
Parte I. Dado los siguientes enunciados indique a qué tipo o componente de riesgo corresponde:
1. La empresa cuenta con un Director General involucrado en negocios de contrabando y narcotráfico.
2. La Dirección General de la Empresa Cimar IT exige al Auditor de Sistemas recomendaciones para solucionar los conflictos laborales que tiene con sus trabajadores.
3. El capital de la empresa es insuficiente y es escaso flujo de fondos afecta a la continuidad de sus operaciones.
4. Las mercaderías en stock se encuentran en un ambiente con inadecuadas condiciones de seguridad.
5. El auditor fue designado en forma tardía por lo que no pudo observar la toma del inventario físico del Laboratorio que están auditando.
Taller Nº 5
Análisis de Riesgos
Parte I. Dado los siguientes enunciados indique a qué tipo o componente de riesgo corresponde:
6. Actualmente, no existen políticas ni procedimientos escritos para la Seguridad Física de la red.
7. Entrada de virus a la red.
8. El auditor no examina el 100% de las transacciones de un ente, sino que hace una muestra no bien determinada.
9. El auditor dado su inexperiencia aplica un procedimiento de auditoria con un resultado no eficaz.
10.No están claramente definidos el alcance y oportunidad de un procedimiento de auditoria.
Taller Nº 5
Análisis de Riesgos
Taller Nº 9 Parte II. Lea el siguiente caso presentado. Determine si existen riesgos e indique como
mitigar esos riesgos.
1. La Sociedad CHER distribuye equipo médico de alta tecnología y efectúa el mantenimiento de los equipos vendidos, lo cual implica la venta de repuestos así como de la mano de obra necesaria para el servicio. La velocidad del desarrollo tecnológico de los equipos en general es muy alta. La Compañía necesita poseer un elevado stock de repuestos a los efectos de prestar un servicio rápido a todos los equipos.
Parte III. Tomando en cuenta los componentes de riesgo de auditoria, indique un ejemplo de cada uno con sus respectivos controles para mitigar su impacto.
