RIESGOS EN

AUDITORIA

El Análisis de Riesgos constituye una herramienta muy importante para el trabajo del auditor y la calidad del
servicio, por cuanto implica el diagnóstico de los mismos para velar por su posible administración.

 El riesgo es una medida de incertidumbre que refleja hechos

presentes o futuros que pueden ocasionar una ruptura en el flujo de
información o incumplimiento en el logro de los objetivos
organizacionales.

1
 Riesgo
El riesgo es la combinación de la probabilidad de un
evento y sus consecuencias
Para el negocio el riesgo es la preocupación de los
probables daños de un evento incierto sobre el logro de
los objetivos establecidos.

En cuanto auditoria se refiere el riesgo de auditoria consiste

en que la información pueda contener errores importantes
que no se detectan durante el curso de auditoria.

2
 Riesgo
El auditor, debe estar preparado para identificar, manejar y minimizar
los riesgos de auditoria; es decir, que no sea de gran magnitud que
afecten su profesionalismo.

Etapas del riesgo

3
Existen varios tipos de riesgos relacionados a la
auditoria los cuales son :
Riesgo de
Satisfacción al
cliente
Riesgo
Profesional

Clases de
Riesgos Riesgo
Inherente

Riesgo de Riesgo de
Auditoria Control

Riesgo de no
Detección
4
 CONTROL Y GESTION DEL RIESGO
El propósito del control y gestión del riesgo es analizar el funcionamiento, la efectividad
y el cumplimiento de las medidas de protección, para determinar y ajustar sus
deficiencias.
Identificar , analizar y planificar
nuevos riesgos

Seguimiento riesgos identificados y

lista de revisión

Nuevo análisis de riesgos existentes

Seguimiento y Control
de Riesgos Seguimiento de condiciones que
disparan planes de contingencia

Seguimiento riesgos residuales

Revisión y evaluación de la ejecución

respuesta a los riesgos

Actualización activos de los procesos

5
 Riesgo Profesional

 Posibilidad que el auditor se involucre con entidades y/o

personas, que afecten su imagen profesional; es decir cuando
asume un trabajo debe estar consciente del nivel de riesgo que
acepta.

 Por ello, al preparar su propuesta y en la etapa de planeamiento de

auditoria, el auditor debe tomar conocimiento máximo de la entidad a
auditar, de los propietarios, de los profesionales que dirigen y
asesoran, de sus clientes, de sus proveedores y toda información
necesaria que ayude a identificar este tipo de riesgo.

6
 Riesgo de Satisfacción al cliente
Posibilidad que el auditor no satisfaga las expectativas del cliente.

El auditor para eliminar este riesgo debe ser contundente, con los requerimientos
técnicos de su cliente, para ello examinará bien su trabajo, a fin de determinar las
expectativas del cliente, y brindar un asesoramiento adecuado en el desarrollo de la
información, en la evaluación de los procesos de la entidad, en la revisión de una
cuenta o un componente, etc.

Si las expectativas del cliente son satisfechas, prácticamente aseguramos la

continuidad de nuestro trabajo de auditoria en la entidad, además de crear una
posibilidad de atraer a otros clientes.

7
 Riesgo de Auditoria
 Posibilidad que el informe del auditor, contenga errores importantes; por ello, se debe evaluar
bien antes de presentar cualquier información relativa a la auditoria, con el fin de implementar
 un adecuado enfoque de auditoría en la selección de los procedimientos a aplicarse en el
desarrollo del trabajo de campo de la auditoria.
 Es el riesgo total la combinación de las categorías individuales de riesgos de auditoria
determinados para cada objetivo de control.
 Se usa para describir el nivel de riesgo que un auditor de SI esta preparado para aceptar
durante una asignación de auditoria. Posibilidad de emitir un informe de auditoría incorrecto por
no haber detectado errores o fraudes significativos que modificarían el sentido de la opinión
vertida en el informe.
El riesgo de auditoría tiene tres componentes:

 Riesgo Inherente.
 Riesgo de Control.
 Riesgo de no Detección.
8
 Este riesgo lo determinaran factores como la naturaleza del negocio o
entidad, la situación económica y financiera y la organización
gerencial.
 Se entienda como la posibilidad de error o irregularidad producto de
una situación que la entidad a auditar no puede controlar, es un riesgo
de negocios.

 Este riesgo puede afectar a una cuenta o a un componente en

particular.

 El riesgo de que exista un error material, que no sea prevenido ni detectado

oportunamente por el sistema de controles internos.
 Es el riesgo de que exista un error grave que no sea evitado ni identificado
por los controles de la entidad.

 Posibilidad que el sistema administrativo y de control implantado por la

empresa no prevenga, ni detecte errores o irregularidades significativas,
como la falta de protección de activos, controles gerenciales, deficiencias en
el cálculo de las planillas, etc.

9
 Niveles del Riesgo de Control:

Riesgo Bajo:
El auditor considera que los controles detectarán cualquier aseveración
errónea que pudiera ocurrir en exceso de la materialidad diseñada.

Riesgo Medio:

El auditor considera que es más probable que los controles no detecten

cualquier aseveración errónea que pudiera ocurrir en exceso de la materialidad
diseñada.

Riesgo Alto:

El auditor considera que es más probable que los controles no detecten

cualquier aseveración errónea que pudiera ocurrir en exceso de la materialidad
diseñada

10
 Este tipo de riesgo está directamente relacionado con los
procedimientos de auditoría por lo que se trata de la no detección de la
existencia de erros en el proceso realizado.

 Es el riesgo de que se hayan producido errores y información falsa que

no sean detectadas por el auditor.
 Riesgo de que un auditor de sistemas use un procedimiento
inadecuado de prueba y concluya que no existen errores materiales
cuando en realidad existen.

11
 Evaluación del riesgo de
auditoria

La evaluación de riesgos es el proceso en el que se identifican, cuantifican y priorizan los

riesgos en base a criterios de tratamiento del mismo.
Los resultados de esta evaluación deben determinar la acción apropiada de la gerencia para
gestionar los riesgos de seguridad de la información y establecer controles apropiados

La evaluación del nivel del riesgo es un proceso totalmente subjetivo y depende

exclusivamente del criterio, capacidad y experiencia del auditor.

Por lo tanto debe ser un proceso cuidadoso y realizado por quienes posean la mayor capacidad
y experiencia en un equipo de trabajo.

12
 Evaluación del riesgo de auditoria
El Análisis de riesgo es parte de la planificación de la auditoria y ayuda a identificar los
riesgos y vulnerabilidades para que el auditor de sistemas pueda determinar los controles
necesarios para mitigar dichos riesgos.
Al analizar los riesgos del negocio es importante que el auditor de sistemas tenga una
comprensión clara de lo siguiente:
Luego de entender estos puntos
entonces se debe:
Identificar el objetivo del negocio
Propósito, la naturaleza del negocio Identificar los activos de la información
y el entorno en que opera.

Dependencia de la tecnología para Evaluar los riesgos amenazas , vulnerabilidades

procesar y entregar información. ,probabilidad e impacto.

Riesgos para el negocio que supone Correlacionar los riesgos con los controles implantados
el uso de la tecnología

Visión general de los procesos del Tratar los riesgos Significativos no tratados
negocio
13
 Evaluación del riesgo
Tratamiento del riesgo hay 4 posibles opciones de respuesta a los riesgos
que son:

Mitigación:
Consiste en aplicar controles apropiados para
Mitigación reducir el riesgo.

Aceptación: No realizar ninguna acción y asumir

las posibles consecuencias.
Aceptación
Tratamiento Eliminación
del riesgo Eliminación: Es eliminar las operaciones o
actividades que provocan el riesgo.

Transferir: Significa traspasar los riesgos a otra

Transferir entidad.

14
 Ejemplos de parámetros de riesgo

Nivel de Significatividad Factores de riesgo Posibilidad de

riesgo ocurrencia de
errores
MÍNIMO No significativo No existen Remota
PARAMETROS DEL
BAJO Significativo Existen algunos Improbable RIESGO CALIFICACION
pero poco
importantes
MEDIO Muy significativo Existen algunos Posible
0 AL 35% BAJO

ALTO Muy significativo Existen varios e Probable

importantes 36 AL 60 % MEDIO

61 AL 100% ALTO

15
 Metodologías de control interno seguridad y auditoria
Informática.
Método : Modo ordenado y sistemático de proceder para llegar a un resultado o fin determinado

Metodología : Conjunto de métodos que se siguen en una disciplina científica o en un estudio que
permiten abordarlo de forma organizada.

La proliferación de metodologías en el mundo de la auditoria y el control informático se pueden

observar en los primeros años de la década de los ochenta paralelamente al nacimiento y
comercialización de determinadas herramientas metodológicas ( como el software de análisis de
riesgos) Pero el uso de métodos de auditoria es casi paralelo al nacimiento de la informática en la que
existen muchas disciplinas cuyo uso de metodologías constituye una practica habitual.
Una de ellas es la seguridad de los sistemas de información

16
La informática crea unos riesgos informáticos de los que hay que proteger y preservar a
la entidad con un entramado de contramedidas y la alta calidad y eficiencia de las mismas
es el objetivo a evaluar para poder identificar a sus puntos débiles y mejorarlos.

Por tanto debemos profundizar mas en ese entramado de contramedidas para ver que
papel tienen las metodologías y los auditores en el mismo.
Para explicar este aspecto diremos que cualquier contramedida nade de la composición
de varios factores expresados.
Todos los Factores De la Pirámide Intervienen En la
Composición De Una Contramedida

17
 LA NORMATIVA
Debe definir de forma clara y precisa todo lo que debe existir y
ser cumplido , tanto desde el punto de vista conceptual, como
práctico, desde lo general a lo particular.
Debe inspirarse en :
 Políticas
 Marco jurídico
 Políticas y normas de la empresa
 Experiencia
 Prácticas profesionales
 LA ORGANIZACION
La integran las personas con funciones especificas y con actuaciones concretas,
procedimientos definidos metodológicamente y aprobados por la dirección de la
empresa. Sin el nada es posible.
 Funciones
 Procedimientos
 Planes (seguridad, contingencia, auditorías, etc.)
 LAS METODOLOGIAS

Son necesarias para desarrollar cualquier proyecto que nos propongamos de manera
ordenada y eficaz.
 LOS OBJETIVOS DE CONTROL
Son los objetivos a cumplir en el control de procesos y
solamente de un planteamiento correcto de los mismos saldrán
unos procedimientos eficaces y realistas.
 LOS PROCEDIMIENTOS DE
CONTROL
Son los procedimientos operativos de las distintas áreas de la empresa, obtenidos
con una metodología apropiada, para la consecución de uno o varios objetivos de
control, y por lo tanto deben estar documentados y aprobados por la Dirección.
 TECNOLOGIA DE SEGURIDAD
Dentro de la tecnología de seguridad están los elementos, ya
sean hardware o software, que ayudaran a controlar un riesgo
informático. (cifra dores, autentificado res, equipos “tolerantes
al fallo” etc.)
 LAS HERRAMIENTAS DE CONTROL

Son elementos software que permiten definir uno o varios procedimientos de control para
cumplir una normativa y un objeto de control.
 Metodologías de evaluación de sistemas
Son todas la metodologías necesarias para realizar un plan de seguridad y auditoria
Son de 2 tipos :

 Auditoria informática
 Análisis de riesgos

Metodologías • Identifican el nivel de

de Auditoria exposición por falta de
informática controles

• Facilitan la evaluación de
Análisis de los riesgos
Riesgos • Recomienda acciones coto
-beneficiosas.
25
 Metodologías de evaluación de sistemas

Introduciremos una serie de definiciones para profundizar estas metodologías.

Amenaza: una persona, cosa , vista como posible fuente de peligro o catástrofe.
Ejemplo: Inundación, incendio, tobo de datos etc.

Vulnerabilidad: La situación creada por la falta de uno o varios controles con la que la amenaza
pudiera acaecer y así afectar al entorno informático
Ejemplo: Falta de control de acceso lógico , falta de control de versiones.

Riesgo: La probabilidad de que una amenaza llegue acaecer por vulnerabilidad.

Ejemplo: Datos estadísticos de cada evento de una base de datos de incidentes.

Exposición o impacto: La evaluación del efecto del riesgo.

26
Todas las metodologías existentes desarrolladas y utilizadas en la auditoria y el control
informático se pueden agrupar en dos grandes familias :

Cuantitativas  basadas en un modelo matemático numérico que ayuda a la realización

del trabajo.

Cualitativas  basadas en un criterio y raciocinio humano capaz de definir un proceso

de trabajo, para seleccionar en base a experiencia acumulada.

27
Metodologías Comunes

28
 Plan de Contingencia
Es una estrategia planificada constituida por un conjunto de recursos de respaldo , una
organización de emergencia y unos procedimientos de actuación, encaminada a conseguir
una restauración progresiva y ágil de los servicios de negocio afectados por una paralización
total o parcial de la capacidad operativa de la empresa
Fases del Plan

• Estudio de la problemática, las nesidades de recursos, alternativas de respaldo

Análisis y y se analiza el costo/beneficio de las mismas.
Diseño

• Desarrollo de la estrategia , implantándose hasta el final de todas las acciones

Desarrollo del previstas.
plan

• En esta fase se definen las pruebas, sus características sus ciclos y se realiza
la primera prueba como comprobación de todo el trabajo realizado y mentalizar
Pruebas y
Mantenimiento al personal implicado

29
 Estudia la problemática, las necesidades de recursos, las alternativas de respaldo, y
se analiza el costo/beneficio de las mismas.
Ésta es la fase más importante, pudiendo llegarse al final de la misma incluso a la
conclusión de que no es viable o es muy costoso su seguimiento.

En la forma de desarrollar esta fase, se diferencian las dos familias metodológicas.

Estas son llamadas Risk Analysis y Business Impact.

Risk Se basa en el estudio de los posibles riesgos

Analisys desde el punto de vista de probabilidad de que
los mismos sucedan.

Se basa en el estudio del impacto ( Perdida

Business económica o de imagen ) que ocasiona la falta
Impact de algún recurso de los que soporta la actividad
del negocio.

30
 Las tareas de esta fase en las distintas metodologías planteadas son las siguientes:
Risk Analysis
• Identificación de amenazas.
Análisis de la probabilidad de
materialización de la amenaza.
Selección de amenazas.
Identificación de entornos amenazados.
Identificación de servicios afectados.
Estimación del impacto económico por
paralización de cada servicio.
Selección de los servicios a cubrir.
Selección final del ámbito del plan.
Identificación de alternativas para los
entornos.
Selección de alternativas.
Diseño de estrategias de respaldo.
Selección de la estrategia de respaldo
Business Impact
• Identificación de servicios finales.
• Análisis del impacto. En estas
metodologías se evalúan los daños
económicos y de imagen y otros aspectos
no económicos.
• Selección de servicios críticos.
• Determinación de recursos de soporte.
• Identificación de alternativas para
entornos.
• Selección de alternativas.
• Diseño de estrategias globales de
respaldo.
• Selección de la estrategia global de
respaldo.
31
Esta fase y la tercera son similares en todas las metodologías.
En ella se desarrolla la estrategia seleccionada, implantándose hasta el final
todas las acciones previstas.

Se definen las distintas organizaciones de emergencia y se desarrollan los

procedimientos de actuación generando así la documentación del plan.

Es en esta fase cuando se analiza la vuelta a la normalidad, dado que pasar

de la situación normal a la alternativa debe concluirse con la reconstrucción
de la situación inicial antes de la contingencia.

32
En esta fase se definen las pruebas, sus características y sus ciclos, y
se realiza la primera prueba como comprobación de todo el trabajo
realizado, así como concientizar al personal implicado.

Asimismo se define la estrategia de mantenimiento, la organización

destinada a ello, y las normas y procedimientos necesarios para
llevarlo a cabo

33
 CARACTERISTICAS DE UN PLAN DE CONTINGENCIA

Un plan de contingencia debería de:

 Tener la aprobación de los integrantes.

 Ser flexible.
 Contener un proceso de mantenimiento.
 Tener un costo efectivo.
 Enfatizar en la continuidad del negocio
 Asignar responsabilidades específicas.
 Incluir un programa de prueba.

34
 Plan auditor Informático

Consiste en definir un conjunto de proyectos de evaluación y verificación de políticas, controles y

procedimientos de la empresa que se encuentran relacionados con lo recursos informáticos.

Es el esquema metodológico mas importante del auditor informático.

35
Las partes de un plan auditor informático deben ser al menos las siguientes:

Funciones: Ubicación de la figura del organigrama de la empresa.

Debe existir una clara segregación de funciones con la informática y de control interno informático
y este debe ser auditado también.
Deben describirse las funciones de forma precisa y la organización interna del departamento , con
todos sus recursos.

Procedimientos: Para las distintas tareas de las auditorias, Entre ellas están el procedimiento de
apertura , el de entrega y discusión de debilidades , entrega de informe preliminar , cierre de
auditoria , redacción del informe final, etc.
Tipos de auditorias que realiza , Metodologías y cuestionarios de las mismas.

Ejemplo:
Revisión de la aplicación de facturación , revisión de seguridad física, revisión del control interno
,etc.

36
Sistemas de evaluación: Aquí se ve los distintos aspectos que evalúa y que sistemas se ocupan.
Independientemente de que exista un plan de acciones en el informe final , debe hacerse el esfuerzo de
definir varios aspectos a evaluar como nivel de gestión económica , gestión de recursos humanos ,
cumplimiento de normas, etc.

Así como también realizar una evaluación global de resumen para toda la auditoria.
En nuestro país esta evaluación suele hacerse en tres niveles que son # Bien , Regular, Mal, significando la
visión de grado , de gravedad.

Esta evaluación final nos servirá para definir la fecha de repetición de la misma auditoria en el futuro
según el nivel de exposición que se le haya dado a este tipo de auditoria en cuestión.

37
Tienen apartados para definir " Pruebas y anotar sus resultados ".

Esta es una característica clara de la diferencia con las metodologías de evacuación de la consultoría
como las de análisis de riesgos que no tienen estos apartados , aunque también tratan de identificar
vulnerabilidades o falta de controles , esto es la realiza con de pruebas es consustancial a la auditoria ,
dado que tanto el trabajo de consultoría como el análisis de riesgos espera siempre la colaboración
del analizado y por el contrario la auditoria debe demostrar con pruebas todas sus afirmaciones y por
ello siempre debe contener el apartado de las pruebas, llegando al extremo de que hay auditorias que
se basan solo en pruebas como la " Auditoria de integridad".

Entre las dos metodologías de evacuación de sistemas ( Análisis de riesgos y auditoria) existen
similitudes y grandes diferencias.
Ambas tienen papeles de trabajo obtenidos del trabajo de campo tras el plan de entrevistas, Pero los
cuestionarios son totalmente distintos.
Los cuestionarios de análisis de riesgos se trata de preguntas dirigidas a la identificación de la falta de
controles.

38
Ciclos de Auditorias

39
 Método de Planeación de Auditoria Enfoque metodológico

El Proceso de Planeación de Auditoria de Informática

Son las actividades desarrolladas por el Auditor en Informática que tienen como objetivo principal
elaborar y presentar un conjunto de Proyectos inherentes a la Función de Auditoría de
Informática a la Alta Dirección, y que estarán orientados primordialmente al aseguramiento de la
Calidad, Seguridad y Control de los diferentes elementos que se encuentran relacionados directa
o indirectamente con los Recursos de Informática.

40
 Metodología de la Auditoria en
Informática
Preliminar (diagnostico) Justificación
• Negocio • Áreas a Auditar Revisión Informal
• Informática • Plan Propuesto

Adecuación
• Métodos Formalización
• Técnicas • Aprobación Revisión Formal
• Herramientas • Arranque

Desarrollo
• Entrevista
• Visitas
Aprobación Formal • Observaciones
• Recomendaciones
• Informes auditoria

Implantación
• Acciones correctivas y preventivas
• Seguimiento