TEMA Nº 09

ANALISIS Y EVALUACIÓN DE RIESGOS

ANÁLISIS Y EVALUACIÓN DE RIESGOS

Para este proceso tan importante dentro de la auditoría es necesario que ya se

haya identificado inicialmente las vulnerabilidades y amenazas existentes en
cada uno de los procesos evaluados, y que se hay definido los riesgos
existentes a causa de esas debilidades.

Una vez se identifican los riesgos se procede a hacer un análisis y evaluación

de los mismos, en el análisis hay que determinar como se esta presentando el
riesgo, las causas posibles que lo originan, en que procesos se presentan y
quien es el personal involucrado en cada uno de ellos.

Una vez analizados los riesgos se procede a hacer la evaluación teniendo en

cuenta los criterios de frecuencia con que se presenta el riesgo en el tiempo
(probabilidad) y el impacto que ellos pueden causar de llegar a concretarse
(impacto). Para cada uno de estos criterios existen unas escalas de valoración
de tipo cualitativo que pueden tener una lectura cuantitativa para poder
determinar la probabilidad e impacto de estos riesgos.

Este proceso puede llevarse a cabo inicialmente para determinar una lista de
riesgos iniciales general y proponer el objetivo de la auditoría de acuerdo a los
resultados, si se observa que los problemas se originan en la infraestructura
tecnológica entonces la auditoría deberá orientarse hacia el análisis de dicha
infraestructura. Una vez iniciado el proceso de auditoría el proceso de análisis y
evaluación de riesgos me permite evaluar cada uno de los dominios y procesos
(CobIT) que se han seleccionado para la valoración de los riesgos en dicho
proceso.

A continuación se muestra un ejemplo de aplicación de dicho proceso,

inicialmente se presenta un listado de vulnerabilidades, amenazas y riesgos,
posteriormente se presenta la matriz general que será usada para la medición
de los riesgos donde se presentan las escalas de probabilidad e impacto y
finalmente se hace la valoración con este ejemplo concreto.

VULNERABILIDADES:
1. No existencia de inventario de hardware y redes
2. No se hace mantenimiento preventivo solo se hace manteniemiento
correctivo
3. Irregularidad en el servicio de internet por la ubicación de la empresa
4. Obsolescencia de tecnología de hardware de servidores, equipos y redes
5. Obsolescencia en el cableado estructurado

AMENAZA:
1. Poca seguridad en el acceso físico al hardware
2. Equipos de cómputo que no soportan sistemas operativos
3. Existe peligro en la continuidad de los servicos en línea
4. No hay sistemas de vigilancia y monitoreo dentro de la empresa
5. No existe sistema de protección en caídas de energía para protección de
equipos
6. No existen sistemas contra incendios
7. Posibles fallos en la conectividad de la red de datos e internet

RIESGOS:
1. No existe restricciones para el acceso a personal externo a los equipos de
cómputo
2. Equipos con bajo rendimientopara las operaciones que se deben desarrollar
3. Daño en los equipos por caidas en el fluido eléctrico
4. Insatisfacción por parte de los usurios respecto al servicios internet
5. No se han levantado hojas de vida de los equipos existentes
6. La señal de los operadores de internet presenta fallas por la ubicación de la
empresa
7. Se presentan problemas de conexión en la intranet y a internet
8. Se han presentado hurtos y robo de partes de los equipos de cómputo
9. No existen controles y responsables de los equipos de cómputo

MATRIZ DE PROBABILIDAD DE IMPACTO

Esta matriz fue creada para catalogar un riesgo y saber qué clase de daño
puede causar un mal procedimiento en el proceso auditado. En la matriz existe
la columna de probabilidad de ocurrencia donde se pondrá el valor del
porcentaje de riesgo según su resultado. Luego se deberá determinar el
impacto según la relevancia del proceso, esta clasificación será hecha por el
equipo auditor basándose en el conocimiento de la entidad y del proceso
auditado. Una vez hechos estos procedimientos se podrá clasificar el riesgo
para su mejor entendimiento en la matriz gráfica.

Matriz de probabilidad de ocurrencia e impacto según relevancia del proceso

PROBABILIDAD Zona de Zona de Zona de riesgo

Alto Riesgo riesgo Inaceptable
61- Moderado Importante
100%
Medio Zona de Zona de Zona de riesgo
31- riesgo riesgo Importante
60% Tolerable Moderado

Bajo Zona de Zona de Zona de riesgo

0-30% riesgo riesgo Moderado
Aceptable Tolerable
 Leve Moderado Catastrófico

IMPACTO

EVALUACIÓN DE RIESGOS

N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico
R1 No existe X X
restricciones para
el acceso a
personal externo
a los equipos de
cómputo
R2 Equipos con bajo X X
rendimientopara
las operaciones
que se deben
desarrollar
R3 Daño en los X X
equipos por
caidas en el fluido
eléctrico
R4 Insatisfacción por X X
parte de los
usurios respecto
al servicios
internet
R5 No se han X X
levantado hojas
de vida de los
equipos
existentes
R6 La señal de los X X
operadores de
internet presenta
fallas por la
ubicación de la
empresa
R7 Se presentan X X
problemas de
conexión en la
intranet y a
internet
R8 Se han X X
 presentado
hurtos y robo de
partes de los
equipos de
cómputo
R9 No existen X X
controles y
responsables de
los equipos de
cómputo

MATRIZ DE RIESGOS

PROBABILIDAD R4, R7 R1
Alto
61-100%
Medio R2, R5 R6
31-60%

Bajo R3, R8 R9
0-30%
Leve Moderado Catastrófico

IMPACTO

En la matriz se oberva las escalas de la probabilidad de ocurrencia y el impacto

que pueden causar en la organización de llegar a concretarse esos riesgos, a
continuación se dará una breve interpretación de cada una de las escalas y su
significado.

Escala de probabilidad:

Bajo: Cuando el riesgo se presenta esporádicamente 1 0 2 veces en el año

Medio: Cuando el riesgos se presenta cada mes
Alto: Cuando el riesgo se presenta todas las semanas

Fijense que lo importante es la unidad de tiempo en que se mide, en un

sistema puede que se presenten errores todo los días o varias veces en una
hora, por lo tanto la medición de be hacerse de acuerdo al proceso evaluado y
a los riesgos que pueden presentarse, también hay que tener en cuenta si se
está evaluado el área informática, sus activos de hardware, el personal o uno
de los sistemas específicamente.

Escala de impacto:
Leve: Cuando el riesgo afecta a una sola persona o dependencia de la
organización
Moderado: Cuando el riesgo afecta a un grupo de personas o a toda una
dependencia
Catastrófico: Cuando se paraliza completamente la actividad en la
organización