Metodología de auditoría basado en el riesgo

Aplicar la gestión de riesgos de TI de la organización

Kun Tao (Quincy)

Cal Poly Pomona

Nota del autor

Este documento fue preparado para GBA 577 Auditoría Avanzada ES, impartido por el

profesor Manson.

Marzo del 2014

 Tabla de contenido

Resumen ................................................. ..................................................

....................................... 3

Introducción ................................................. ..................................................

................................. 4

Metodología................................................. ..................................................

................................ 6

metodología de auditoría basado en el riesgo: evaluación del riesgo

.......................................... ............................ 6

La gestión de riesgos ............................................... ..................................................

.................. 7

Riesgos de TI marco de control ..............................................

.................................................. ........ 8

La identificación de los activos ................................................

.................................................. .................... 13

La determinación de los niveles de criticidad y confidencialidad

............................................. ......................... 14

Amenaza e identificación vulnerabilidad ..............................................

........................................ 15

El cálculo del riesgo ................................................ ..................................................

....................... dieciséis

universo de auditoría ................................................ ..................................................

......................... 17

plan de auditoría ................................................ ..................................................

................................ 18

Pasos de una metodología de auditoría basado en el riesgo ..........................................

........................................ 19

Fase de preparación................................................ ..................................................

................ 19

fase de evaluación ................................................ ..................................................

................ 19
 fase de mitigación ................................................ ..................................................
.................. 20

Informes fase ................................................ ..................................................

.................. 20

Fase de seguimiento .............................................. ..................................................

.................... 20

Análisis de los datos................................................ ..................................................

............................... 22

Conclusiones ................................................. ..................................................

................................ 25

Referencias ................................................. ..................................................

................................. 26
 Resumen

auditoría basado en el riesgo es un tema muy amplio, uno que se puede aplicar a muchas

áreas tales como finanzas y tecnología de la información (TI). En el documento se

discutió cómo la aplicación del marco de gestión de riesgos de TI puede mejorar la

eficiencia de los riesgos de TI y los esfuerzos de gestión de información de riesgos. El

documento proporciona una visión general de la gestión de riesgos de TI y el marco de

control, formas de identificar el riesgo de negocio, así como las prácticas eficientes y

eficaces de gestión de riesgos de TI auditores de TI debe considerar. En este documento

también se centra en la evaluación de riesgos de TI desde una perspectiva de auditoría

basado en el riesgo de la empresa. Además, ofrece una sencilla metodología de auditoría

basado en el riesgo para las organizaciones para desarrollar un programa de auditoría

interna de TI, o aquellos que buscan nuevas formas de evaluar los riesgos de seguridad.

palabras clave: auditoría basado en el riesgo; la gestión de riesgos de TI; MTC;

COBIT; Evaluación de riesgos

 Introducción

mundo de los negocios de hoy en día está en constante cambio, que es impredecible y

volátil, y parece ser más compleja cada día. Por su propia naturaleza, es lleno de

riesgos. La creciente demanda de transparencia en torno a los riesgos no siempre se ha

cumplido, sin embargo, como lo demuestra la crisis del mercado financiero, donde la

mala calidad de los activos subyacentes impactó significativamente el valor de las

inversiones, la identificación, gestión y explotación de riesgo a través de una

organización se ha convertido cada vez importante para el éxito y la longevidad de

cualquier negocio.

La evaluación de riesgos proporciona un mecanismo para la identificación de los riesgos

y representan oportunidades que representan peligros potenciales. La evaluación de

riesgos ofrece a las organizaciones una visión clara de las variables a las que pueden

estar expuestos, ya sea mirando hacia adelante, interno o externo, o retrospectiva. Una

buena evaluación del riesgo está anclado en el apetito de riesgo definido de la

organización y la tolerancia, y proporciona una base para determinar las respuestas a los

riesgos. Un proceso de evaluación de riesgos sólida, aplicados de manera consistente en

toda la organización, faculta a la administración para identificar mejor, evaluar y

explotar los riesgos necesarios para los negocios, todo ello manteniendo los controles

adecuados para garantizar operaciones eficaces y eficientes y cumplimiento de la

normativa. (Una guía práctica para la evaluación de riesgos, PwC, 2008)

A medida que las organizaciones se vuelven más dependientes de tecnologías integradas

y sistemas automatizados, gestión se ocupa de los crecientes costos asociados con la

realización de las auditorías de la seguridad del sistema de información interna. A

medida que las auditorías de TI son un componente crítico del funcionamiento de una

organización, la gestión organizacional a menudo empuja adelante para garantizar el

funcionamiento adecuado y eficiente de la función de auditoría. Sin embargo, eso dio a

luz los beneficios de costo altamente lucrativos de la externalización de la función de

auditoría del sistema de información. También hay casos en los que una auditoría

sistemas de información no es la capacidad de la base de la función de auditoría interna

de una organización. Sin embargo, los riesgos de TI deben tenerse en cuenta, ya que

pueden cambiar el entorno de control de la empresa.proceso. (Riesgos de TI: Basado en

COBIT Objetivos y Principios, Fischer, 2009). La implementación de la metodología de

auditoría basado en el riesgo no sólo debe mejorar la eficiencia y eficacia de la gestión

de riesgos de TI, las operaciones de negocio y generación de informes de riesgo, sino

que también pone de relieve el papel único que juega en la identificación de eventos o

incidentes que puedan afectar la capacidad de la organización para lograr su objetivos.

Para identificar los riesgos de TI utilizando la metodología de auditoría basado en el

riesgo, los auditores pueden ayudar a las empresas llevan a cabo una evaluación de

riesgos en toda la empresa. (Lo que todo auditor de TI debe saber sobre el riesgo en

evaluación, Tommie W. Singleton, 2009) Esto también ayudará a identificar los riesgos

que son inconsistentes con o en exceso del apetito organizaciones riesgo.

 Metodología

Las auditorías son un componente esencial de la estrategia de seguridad de una

organización. Ellos permiten al personal para cumplir con los requisitos reglamentarios,

validar que los controles existentes protegen las funciones de negocio, y determinar

cuándo son necesarios nuevos controles. A diferencia de una auditoría en la que el

auditor utiliza una lista de comprobación y la pluma para determinar el cumplimiento,

una auditoría basado en el riesgo requiere tener una comprensión de las funciones y

objetivos de negocio de la organización - que cavar muy hondo dentro de los sistemas y

redes.

"En un enfoque de auditoría basado en el riesgo, los auditores de sistemas de

información no sólo se basan en el riesgo, sino que también se basan en los controles

internos y operativos, así como el conocimiento de la empresa o el negocio" (ISACA).

Por lo tanto, una auditoría basada en el riesgo proporciona una evaluación más

exhaustiva de riesgo de negocio, y permite a los gerentes a tomar decisiones informadas

sobre la base de su apetito de riesgo. La alineación de las decisiones y las prácticas de

TI de la empresa con el nivel de riesgo aceptable en una organización es el conductor

para el comienzo de una auditoría basada en el riesgo, y es el proceso de evaluación de

riesgos que ayuda a determinar que el umbral de riesgo.

metodología de auditoría basado en el riesgo: La evaluación de riesgos

La evaluación de riesgos es un proceso sistemático para identificar y evaluar los eventos

(por ejemplo, los posibles riesgos y oportunidades) que podrían afectar a la consecución

de los objetivos, positiva o negativamente. Tales eventos pueden ser identificados en el

ambiente externo (por ejemplo, las tendencias económicas, panorama de la regulación y

la competencia) y dentro del ambiente interno de una organización (por ejemplo,

personas, procesos e infraestructura). Cuando estos eventos se cruzan con los objetivos
de una organización, o se pueden predecir para hacerlo, se convierten en riesgos. Por lo

tanto, el riesgo se define como “la posibilidad de que ocurra un evento y afectar el logro

de los objetivos de manera adversa.” (COSO, Enterprise Marco Gestor de Riesgo

Integrado, www.coso.org)

El apetito de riesgo o de riesgo aceptable es la cantidad de exposición al riesgo de que

una empresa está dispuesta a aceptar. La organización debe establecer un umbral para

identificar cuándo y dónde implementar controles para mitigar el riesgo. Este proceso es

esencial para determinar qué controles son buenos para tener frente a las necesarias para

proteger las funciones de negocio. Varias metodologías de gestión de riesgos, como los

de la Organización Internacional de Normalización (ISO) y el Instituto Nacional de

Estándares y Tecnología (NIST), proporcionan una gestión con buenas estimaciones

para evaluar el riesgo aceptable. De alguna manera, las metodologías comúnmente

incluyen la identificación de los activos, las amenazas, las vulnerabilidades y controles.

las estrategias de respuesta a los riesgos

http://www.pwc.com/en_us/us/issues/enterprise-risk gestión / activos /

risk_assessment_guide.pdf
Gestión de Riesgos de TI

riesgos de TI es un componente del universo de riesgo global de la empresa. tecnologías y

sistemas de información son una parte importante de la infraestructura de la empresa. La

integración y la alineación de los riesgos de TI y de la empresa o de riesgo de negocio es una

necesidad. riesgos de TI es un negocio de riesgo, específicamente, el riesgo de negocio asociado

con el uso, propiedad, operación, la participación, la influencia y la adopción de TI dentro de

una empresa. Se compone de eventos y condiciones relacionados con TI que potencialmente

podrían afectar el negocio.

La vista principal de ello es que de una organización de prestación de operaciones o servicio. En

esta capacidad, los riesgos de TI se refiere a la capacidad de ofrecer los servicios de TI que

permiten a la empresa para llevar a cabo los procesos operativos del día a día. Sin embargo,

también corren el riesgo aborda los procesos de desarrollo de sistemas, adquisición y

mantenimiento. Esto se refiere a garantizar la selección, desarrollo y mantenimiento de los

procesos de negocio que operan la generación de ingresos y la satisfacción de la organización y

dirección de las necesidades del negocio de una manera rentable. Por último, los riesgos de TI

se refiere a la capacidad de TI para proporcionar valor y / o beneficio a la empresa a través de la

automatización. Por lo tanto, la evaluación del riesgo puede llevarse a cabo en varios niveles de

la organización. (El riesgo que Marco Extracto, ISACA, 2010)

Los objetivos y los eventos que se trate de determinar el alcance de la evaluación de

riesgos para llevarse a cabo. Los ejemplos de las evaluaciones de riesgos de TI se

realizan con frecuencia incluyen:

- evaluación del riesgo de cumplimiento. La evaluación de los factores de riesgo

relativos a las obligaciones de cumplimiento de la organización, teniendo en

cuenta las leyes y reglamentos, políticas y procedimientos, ética y normas de

conducta empresarial, y contratos, así como normas voluntarias estratégicos y

las mejores prácticas en que la organización se ha comprometido. Este tipo de

 evaluación se lleva a cabo normalmente mediante la función de cumplimiento

con el aporte de las áreas de negocio.

- evaluación de riesgos de seguridad. La evaluación de posibles infracciones de

los activos y la información física protección y seguridad de una organización.

Este considera la infraestructura, aplicaciones, operaciones, y la gente, y se

realiza normalmente por la función de seguridad de la información de una

organización.

- Tecnología de la información de evaluación de riesgos. Evaluación del potencial

de la tecnología de los fallos del sistema y el retorno de la organización sobre las

inversiones en tecnología de la información. Esta evaluación podría considerar

factores tales como la capacidad de procesamiento, control de acceso, protección

de datos y el delito cibernético. Esto se realiza normalmente por especialistas de

riesgo y de gobierno de tecnología de información de una organización.

- evaluación de los riesgos del proyecto. La evaluación de los factores de riesgo

asociados con la entrega o ejecución de un proyecto, teniendo en cuenta las

partes interesadas, las dependencias, líneas de tiempo, costo y otras

consideraciones clave. Esto se realiza normalmente por los equipos de gestión

de proyectos.

(Una guía práctica para la evaluación de riesgos, PwC, 2008)

Riesgos de TI Marco de Control

Sistemas de Información de Auditoría y Control Association (ISACA) 's Objetivos de

Control para el marco de Tecnología Relacionada (COBIT) la información y el uso de

aplicación general y aceptado las buenas prácticas. COBIT es un marco para la gestión

de las TI y el apoyo conjunto de herramientas que permite a los administradores para

cerrar la brecha entre los requisitos de control, las cuestiones técnicas y riesgo de

negocio. COBIT permite el desarrollo de políticas claras y buenas prácticas para el

control de TI en toda la empresa. El objetivo de control COBIT debe identificarse para

cada paso de auditoría / garantía en la sección. COBIT proporciona objetivos de control

en profundidad y sugirió prácticas de control en cada nivel.

Como se describe en la siguiente sección Resumen Ejecutivo, los riesgos de TI soportes

de gestión y procesos de negocio unidades e incluye las funciones principales de

negocios con la organización de TI.