Este documento presenta un resumen de 3 oraciones o menos sobre el uso de la evaluación de riesgos en la planeación de auditoría de sistemas de información. Explica que la evaluación de riesgos es una técnica importante para examinar unidades auditables y seleccionar áreas de alto riesgo para incluir en el plan de auditoría. Además, describe los diferentes tipos de riesgos que debe considerar un auditor de sistemas, como el riesgo inherente, de control y de detección, para desarrollar un enfoque de auditoría basado en riesgos
S11 USO DE LA EVALUACION DE RIESGOS EN LA PLANEACION DE AUDITORIA
1. UNIVERSIDAD DE EL SALVADOR
FACULTAD DE CIENCIAS ECONÓMICAS
ESCUELA DE CONTADURIA PÚBLICA
“S11 USO DE LA EVALUACION DE RIESGOS EN LA
PLANEACION DE AUDITORIA”
Cátedra:
Auditoria de Sistemas
Catedrático:
Lic. Henry Amilcar Marroquín.
Grupo de clase:
05
Grupo de Trabajo
05-01
ALUMNOS CARNET
Carlos Ernesto Alvarado AH08019
Hernández CA08040
Claudia Lissette Castillo EM08003
Aranzamendi LL08010
Amadeo Antonio Estupinian MM08026
Morán
Ronald Antonio Luna López
Evelyn Guadalupe Morales
Ciudad Universitaria, 28 de Septiembre de 2 0 1 2
2. Contenido Pág.
INTRODUCCION ..................................................................................................... i
OBJETIVOS ............................................................................................................. ii
OBJETIVO GENERAL .......................................................................................... ii
OBJETIVOS ESPECIFICOS................................................................................. ii
Uso de la evaluación de riesgos en la planeación de auditoría ............................... 1
1. Conceptos......................................................................................................... 1
1.1 Riesgo ........................................................................................................ 1
1.2 Riesgo inherente ........................................................................................ 1
1.3 Riesgo residual .......................................................................................... 1
1.4 Evaluación de riesgos: ............................................................................... 1
1.5 Medición de la evaluación de riesgo .......................................................... 1
1.6 Plan de auditoria ........................................................................................ 1
1.7 Unidades auditables ................................................................................... 1
1.8 Universo auditable...................................................................................... 2
2 Estándar 11: ..................................................................................................... 2
3 Relación con el COBIT ..................................................................................... 2
4 Importancia de la evaluación de riegos............................................................. 3
5 Enfoque de la auditoría de SI basado en el riesgo ........................................... 3
5.1 Tipos de riesgos ......................................................................................... 5
5.2 Riesgo inherente ........................................................................................ 5
5.3 Riesgo de Control ...................................................................................... 6
5.4 Riesgo de Detección .................................................................................. 7
6 Metodología de medición de evaluación de riesgos de auditoría de SI ............ 7
6.1 Objetivo de un modelo de riesgo: ............................................................... 7
6.2 Métodos de evaluación de riesgos: ............................................................ 7
6.3 Selección de la metodología de evaluación de riesgo. .............................. 8
6.4 Consideraciones a tomar para elegir metodologías ................................... 8
6.5 Técnicas de medición de evaluación de riesgos de SI ............................... 9
6.6 Determinación de Unidades Auditables ................................................... 10
6.7 Documentación ........................................................................................ 10
3. 6.8 Ejemplos de metodologías de evaluación de riesgos .............................. 11
4. INTRODUCCION
Es importante en toda organización contar con una herramienta, que garantice la
correcta evaluación de los riesgos a los cuales están sometidos los procesos y
actividades de una entidad y por medio de procedimientos de control se pueda
evaluar el desempeño de la misma. El auditor de sistemas para realizar una buena
planificación debe considerar los riesgos a los que están expuestos los SI,
utilizando diferentes métodos y técnicas que representen y suministren la
información suficiente y necesaria para desarrollar el plan general de auditoría. Se
deben tener presente las unidades auditables de SI y su universo para poder
seleccionar adecuadamente las áreas prioritarias. La normativa que rige esta parte
tan importante en la planeación de una auditoria de sistemas es El estándar 11, la
guía 13 y el procedimiento 1, todos emitidos por ISACA, los cuales hacen
referencia a la evaluación que se debe hacer a los diferentes riesgos a los que se
está expuesto, por lo que el auditor debe elegir los métodos indicados para
determinar prioridades. No solo es necesario conocer los riesgos sino que también
evaluarlos y medirlos para elaborar los programas que se desarrollaran durante la
auditoria ya que El riesgo tiende a minimizarse cuando aumenta la efectividad de
los procedimientos de auditoría aplicados.
Auditoria de Sistemas Computacionales i
5. OBJETIVOS
OBJETIVO GENERAL
Analizar las normas relacionadas con la evaluación de riegos en la planeación de
la auditoria, para conocer la manera en que estas se aplican, y por medio de las
cuales se puedan tener mejores resultados en una auditoria de SI.
OBJETIVOS ESPECIFICOS
Conocer cada una de las técnicas y métodos que el auditor de SI debe poner en
práctica para detectar los riesgos al momento de estar haciendo la planeación.
Conocer porque es importante poder evaluar los riesgos en una auditoria de SI.
Saber elegir una adecuada metodología para poder proceder a realizar una
auditoria de SI, la cual dependerá del tipo de organización.
Auditoria de Sistemas Computacionales ii
6. Uso de la evaluación de riesgos en la planeación de auditoría
(Estándar 11
1. Conceptos
1.1 Riesgo
El riesgo es la posibilidad de que ocurra un hecho o evento que tendría un
efecto adverso sobre la organización y su información sistemas.
1.2 Riesgo inherente
Susceptibilidad de un área de auditoría de error que podría ser material, de
forma individual o en combinación con otros errores, asumiendo que no
hubo controles internos relacionados.
1.3 Riesgo residual
El riesgo asociado a un evento cuando los controles existentes para reducir
el efecto o la probabilidad de ese evento se toman en cuenta.
1.4 Evaluación de riesgos:
Es una técnica usada para examinar unidades auditables dentro del
universo de auditoría de SI y para seleccionar áreas a revisar que tengan la
mayor exposición a riesgos, e incluirlas en el plan anual de SI.
La evaluación de riesgos de auditoría de SI es una metodología para
producir un modelo de riesgo para optimizar la asignación de los recursos
de auditoría de SI a través de una comprensión global del entorno de la
organización en SI y los riesgos asociados a cada unidad auditable.
1.5 Medición de la evaluación de riesgo
Es un proceso que se utiliza para identificar y evaluar los riesgos y su
impacto potencial.
1.6 Plan de auditoria
Un plan que contiene la naturaleza, oportunidad y alcance de los
procedimientos de auditoría a ser realizados por los miembros del equipo
del trabajo con el fin de obtener suficiente evidencia apropiada de auditoría
para formarse una opinión.
1.7 Unidades auditables
Los sujetos, unidades, o sistemas que son capaces de ser definida y
evaluada. Unidades auditables pueden incluir: Las políticas,
procedimientos, Sistemas de información (manual y automatizado), líneas
Auditoria de Sistemas Computacionales 1
7. de producto o servicio, Sistemas de transacción de las actividades, tales
como ventas, Los estados financieros, Leyes y reglamentos, entre otros
1.8 Universo auditable
Es un inventario de las áreas de auditoría que se compila y se mantiene
para identificar áreas de auditoría durante el proceso de planificación de la
auditoría.
Tradicionalmente, la lista incluye todas las transacciones financieras y la
clave sistemas operativos, así como otras unidades que serían auditada
como parte del ciclo global del trabajo planificado. El universo de auditoría
sirve como la fuente de la cual se prepara el programa anual de auditoría.
El universo será revisado periódicamente para reflejar los cambios en el
perfil de riesgo global.
2 Estándar 11:
El auditor de SI debe utilizar una técnica o enfoque apropiado de evaluación de
riesgos al desarrollar el plan general de auditoría de SI y al determinar prioridades
para la asignación eficaz de los recursos de auditoría de SI.
Al planear revisiones individuales, el auditor de SI debe identificar y evaluar los
riesgos relevantes al área bajo revisión.
3 Relación con el COBIT
La selección del material más relevante en COBIT aplicable al alcance de la
auditoría en particular se basa en la elección de los procesos de TI de COBIT
específico y la consideración de los objetivos de control de COBIT y las prácticas
de gestión asociadas.
Para cumplir con el requisito de la documentación de auditoría de los auditores,
el proceso en COBIT tiene más probabilidades de ser relevante y selectivo.
Evaluar y gestionar los riesgos en los SI- satisface el requerimiento del negocio de
TI para analizar y comunicar los riesgos de TI y su impacto potencial en los
procesos de negocio y objetivos, centrándose en el desarrollo de un marco de
gestión de riesgos que se integra en los negocios y marcos operativos de gestión
de riesgos, evaluación de riesgos, mitigación de riesgos y la comunicación de
residual riesgo.
Monitorear y Evaluar el Control Interno-satisface el requerimiento del negocio de
TI para proteger a la consecución de los objetivos de TI y cumplimiento de TI
Auditoria de Sistemas Computacionales 2
8. relacionados con las leyes, reglamentos y contratos, centrándose en el
seguimiento de los procesos de control interno de TI relacionados con las
actividades y la identificación de acciones de mejora.
4 Importancia de la evaluación de riegos.
El uso de la evaluación de riesgos en la selección de proyectos de auditoría
permite al auditor de SI:
Cuantificar y justificar los recursos de auditoría de SI necesarios para
completar el plan de auditoría de SI o una revisión en particular.
Priorizar las revisiones programadas basándose en la percepción de
riesgos y contribuir a la documentación de marcos de administración de
riesgos.
Gestionar la asignación efectiva de recursos limitados de auditoría de SI.
Proporcionar una seguridad razonable de que la información relevante ha
sido obtenida de todos los niveles de gestión, incluido el consejo de
directores y la administración de las áreas funcionales.
Establece una base para la gestión eficaz de la función de auditoría de SI.
Ofrecer un resumen de cómo la revisión individual del asunto está
relacionado con la organización general, así como para los planes de
negocios.
5 Enfoque de la auditoría de SI basado en el riesgo
Cada vez más organizaciones se están moviendo hacia un enfoque de auditoría
basado en el riesgo que se puede adaptar para desarrollar y mejorar el proceso de
auditoría continua. Este enfoque se utiliza para evaluar el riesgo y ayudar a un
auditor de SI en la decisión de hacer cualquier cumplimiento ensayos o pruebas
de confirmación. En un enfoque basado en el riesgo de auditoría, los auditores de
SI no sólo deben confiar en riesgo. También están confiando en controles internos
y de funcionamiento, así como el conocimiento de la organización. Este tipo de
decisiones de evaluación de riesgos puede ayudar a relacionar el análisis de costo
/ beneficio del control de los riesgos conocidos, permitiendo opciones prácticas.
Mediante la comprensión de la naturaleza del negocio, los auditores pueden
identificar y clasificar los tipos de riesgos a los que mejor van a determinar el
modelo de riesgo o enfoque utilizado en la realización de la revisión. El modelo de
evaluación de riesgos puede ser tan simple como la creación de pesos para los
distintos tipos de riesgos asociados con el negocio y la identificación de los riesgos
en una ecuación. Por otra parte, la evaluación del riesgo puede ser un esquema
Auditoria de Sistemas Computacionales 3
9. en el que los riesgos se han dado pesos elaboradas sobre la base de la naturaleza
del negocio o la importancia del riesgo.
El auditor de SI está interesado en riesgos no controlados y en los controles
críticos. Así, en un enfoque de auditoría basado en el riesgo que el auditor de SI
estará interesado en sistemas basados en tecnología que proporcionan controles
para funciones de negocios donde hay un alto riesgo inherente y en la tecnología
a base de funciones donde hay un mayor riesgo residual aceptable.
La determinación del universo de auditoría se basará en conocimiento del plan
estratégico de TI de la organización y actividades de la organización, una revisión
de los organigramas y funciones y declaraciones de responsabilidad de todos los
afiliados de la organización, y las discusiones con los directivos responsables.
Los ciclos de planificación de la auditoría ordinariamente se alinean con los ciclos
de planificación de negocios. A menudo, se selecciona un ciclo de planificación de
auditoría anual - o bien un año calendario u otro período de doce meses. Algunas
organizaciones tienen ciclos de planificación que no son de doce meses, sino
períodos de seis o dieciocho meses. En lugar de tener un ciclo de planificación fijo,
algunas organizaciones tienen ciclos de planificación continuos que mantienen
durante un período determinado. Para mantener la coherencia, este procedimiento
asume un ciclo de planificación de auditoría anual.
La selección de proyectos de auditoría que deben incluirse en el plan de auditoría
de SI es uno de los problemas más importantes que enfrenta la auditoría gestión
de SI. El proceso de planificación de la auditoría presenta la oportunidad de
cuantificar y justificar la cantidad de recursos de auditoría necesarios para
completar el plan de auditoría de SI anual. Se fracasa al seleccionar resultados de
proyectos adecuados en oportunidades no explotadas para mejorar el control y la
eficiencia operacional.
El supuesto que subyace el plan de auditoría de SI es que, la evaluación de los
posibles exámenes y proyectos de auditoría serán más eficaces si un proceso
formal se sigue para recopilar la información necesaria para tomar decisiones de
selección de exámenes y proyectos.
La metodología que se presenta es relativamente sencilla. Sin embargo, en una
gran mayoría de los casos, debería ser suficiente para alcanzar una razonable,
prudente y justificable auditoría de revisión de SI, y decisiones de selección de
proyectos. Un marco de trabajo para utilizar en la realización de un análisis de la
exposición al riesgo y el establecimiento de una auditoría de revisión de SI y
programa del proyecto prioritario se detalla en este procedimiento.
Auditoria de Sistemas Computacionales 4
10. 5.1 Tipos de riesgos
El auditor de SI debe considerar cada uno de los siguientes tipos de riesgo,
determinando su nivel de totalidad:
Riesgo inherente
Riesgo de control
Riesgo de detección
5.2 Riesgo inherente
El riesgo inherente es la susceptibilidad que un área posee a un error que podría
ser material, en forma individual o en combinación con otros, suponiendo la
inexistencia de controles internos relacionados. Por ejemplo, el riesgo inherente
asociado a la seguridad del sistema operativo es normalmente alto, dado que los
cambios en los datos o programas, o aun su divulgación, a través de las
deficiencias en la seguridad del sistema operativo podrían tener como resultado
una desventaja competitiva o información de gestión falsa. Por otro lado, el riesgo
inherente asociado a la seguridad de una PC independiente es normalmente bajo,
cuando un análisis adecuado demuestra que no se utiliza con propósitos críticos
de negocio.
El riesgo inherente para la mayoría de las áreas de auditoría de SI es
normalmente alto dado que, por lo general, el posible efecto de los errores se
extiende a varios sistemas de negocios y a un gran número de usuarios.
Al evaluar el riesgo inherente, el Auditor de SI debe tener en cuenta tanto los
controles generales de SI como los detallados. Ello no se aplica en los casos en
que la tarea del Auditor de SI esté relacionada exclusivamente con controles
generales.
En lo que respecta a los controles generales de SI, el Auditor Interno debe tener
en cuenta lo siguiente, al nivel apropiado para el área de auditoría en cuestión:
La integridad, experiencia y conocimiento de la Gerencia de SI.
Los cambios en la Gerencia de SI.
La presión ejercida sobre la Gerencia de SI, que puede predisponerla a
ocultar o distorsionar información (por ej., pérdida de datos en grandes
proyectos críticos de negocios, actividades de hackers, etc.).
La naturaleza del negocio y de los sistemas de la organización (por ej., la
posibilidad de ejercer el comercio electrónico, la complejidad de los
sistemas, la falta de sistemas integrados, etc.).
Auditoria de Sistemas Computacionales 5
11. Los factores que afectan el rendimiento de la organización en general (por
ej., cambios tecnológicos, disponibilidad del personal de SI, etc.).
El grado de influencia de terceros en el control de los sistemas auditados
(por ej., debido a la integración de la cadena de suministro, la tercerización
de los procesos de SI, las alianzas estratégicas de negocio y el acceso
directo de los clientes).
Al nivel de los controles detallados de SI, el Auditor Interno debe tener en cuenta,
en el nivel apropiado para el área de auditoría en cuestión:
Los hallazgos y fecha de auditorías anteriores en el área.
La complejidad de los sistemas involucrados.
El nivel de intervención manual requerida.
La propensión a la pérdida o apropiación indebida de los bienes controlados
por el sistema (por ej., inventario, nómina, etc.).
La probabilidad de que se produzcan picos de actividad en ciertos
momentos del período de auditoría.
Las actividades que no estén comprendidas en la rutina de procesamiento
de SI (por ej., el uso de los utilitarios del sistema operativo para corregir
datos, etc.).
La integridad, experiencia y habilidades de la gerencia y el personal que
participan en la aplicación de los controles de SI.
5.3 Riesgo de Control
Es el riesgo por el que un error, que podría cometerse en un área de auditoría -y
que podría ser material, individualmente o en combinación con otros-, no pueda
ser evitado o detectado y corregido oportunamente por el sistema de control
interno. Por ejemplo, el riesgo de control asociado a las revisiones manuales de
registros computadorizados es normalmente alto debido a que las actividades que
requieren investigación a menudo se pierden con facilidad por el volumen de
información registrada. El riesgo de control asociado a los procedimientos
computarizados de validación de datos es normalmente bajo, puesto que los
procesos se aplican con regularidad.
El Auditor Interno debe evaluar el riesgo de control como un riesgo alto a menos
que los controles internos pertinentes:
Se identifiquen
Se consideren eficaces
Se prueben y confirmen como adecuadamente operativos (pruebas de
cumplimiento)
Auditoria de Sistemas Computacionales 6
12. 5.4 Riesgo de Detección
Es el riesgo que se produce cuando los procedimientos sustantivos del Auditor
Interno no detectan un error que podría ser material, individualmente o en
combinación con otros. Por ejemplo, el riesgo de detección asociado a la
identificación de violaciones de la seguridad en un sistema de aplicación es
normalmente alto, debido a que en el transcurso de la auditoría, los registros de
todo su período no se encuentran disponibles. El riesgo de detección asociado con
la identificación de la falta de planes de recuperación ante desastres es
normalmente bajo, dado que su existencia puede verificarse con facilidad.
Al determinar el nivel de pruebas sustantivas requeridas, el Auditor Interno debe
tener en cuenta:
La evaluación del riesgo inherente.
La conclusión sobre riesgos de control a la que se llega luego de las
pruebas de cumplimiento.
Cuanto más exhaustiva es la evaluación del riesgo inherente y de control, mayor
es la evidencia de auditoría que debería obtener el Auditor Interno mediante la
ejecución de los procedimientos sustantivos de auditoría.
6 Metodología de medición de evaluación de riesgos de auditoría de SI
6.1 Objetivo de un modelo de riesgo:
El objetivo de un modelo de riesgo es optimizar la asignación de los recursos de
auditoría de SI a través de una comprensión global del universo de auditoría en SI
y los riesgos asociados con cada elemento universo.
6.2 Métodos de evaluación de riesgos:
En la actualidad se emplean varios métodos para realizar las evaluaciones de
riesgos en SI. Entre estos métodos tenemos:
Sistema de puntuación:
Sistema que es útil en la priorización de las auditorías basadas en una
evaluación de los factores de riesgo que consideran variables tales como la
complejidad técnica, el alcance del sistema y proceso de cambio y
materialidad
Estas variables pueden o no ser ponderados, estos valores de riesgo se
comparan entre sí y ordinariamente el plan anual de auditoría de SI está
preparado. A menudo, el plan de auditoría en SI es aprobado por el comité
Auditoria de Sistemas Computacionales 7
13. de auditoría y el o director ejecutivo. Los comentarios están programados a
continuación de acuerdo con el plan de auditoría de SI.
Método crítico:
Esto implica hacer una decisión independiente basada en directivas de
gestión ejecutiva, perspectivas históricas y el clima de negocios.
6.3 Selección de la metodología de evaluación de riesgo.
Existen muchas metodologías de evaluación del riesgo disponibles, dentro de las
cuales los auditores en SI deben escoger. Estas van desde las más simples hasta
las más complicadas, estas se basan en el juicio del auditor, las hay para efectuar
cálculos complejos y aparentemente científicos, para proveer una valoración.
El auditor de SI deberá considerar el nivel de complejidad y detallar
apropiadamente la metodología para la organización que está siendo auditada.
Los auditores en SI deben incluir, como mínimo, un análisis (con su metodología)
de los riesgos en la entidad resultado de pérdida o disponibilidad de soporte de
controles, integridad de los datos, o perdida de la confidencialidad de la
información.
Todas las metodologías de evaluación del riesgo, confían en juicios subjetivos en
algún punto del proceso (EJ, ponderación de parámetros). El auditor en SI deberá
identificar las decisiones subjetivas requeridas, para usar una metodología en
particular, y considerar si esos juicios pueden ser validados en un nivel de
precisión adecuado.
6.4 Consideraciones a tomar para elegir metodologías
A la hora de decidir cuál es la metodología de evaluación del riesgo más
apropiada, el auditor en SI debe considerar lo siguiente:
El tipo de información a ser recolectada (algunos sistemas usan los criterios
financieros como una medida, eso no es apropiado para la auditoria de SI)
El costo del programa o de las licencias requeridas para usar tal o cual
metodología.
En qué medida la información requerida estará disponible.
En monto adicional de información requerida o que será recolectada antes
de que la información fiable pueda ser obtenida, y el costo de recolectar
esta información (incluyendo el tiempo requerido que será invertido en el
ejercicio de recolección)
Auditoria de Sistemas Computacionales 8
14. La opinión de otros usuarios a cerca de la metodología, y sus revisiones de
que tan bien les ha ayudado a promover la eficiencia y/o efectividad en sus
auditorías.
La voluntad de la administración para aceptar la metodología, como medio
de determinar el tipo de nivel de trabajo de auditoría llevada a cabo.
Una sola metodología de evaluación de riesgo no puede esperarse que sea
apropiada en todas las situaciones, las condiciones que afectan las auditorias
pueden cambiar todo el tiempo. Periódicamente el auditor de SI deberá reevaluar
que tan apropiada sigue siendo la metodología de evaluación del riesgo adoptada.
6.5 Técnicas de medición de evaluación de riesgos de SI
Los auditores de SI deben usar las técnicas de evaluación de riesgos
seleccionadas, en el desarrollo de todo el plan de la auditoria y su planeación
especifica. La evaluación del riesgo, en combinación con otras técnicas de
auditoría, deben ser consideradas en orden de efectuar decisiones de planeación
tales como:
La naturaleza, extensión y tiempo en los que se efectuaran los
procedimientos de auditoria
Las áreas del negocio que serán auditados
La cantidad de tiempo y los recursos que serán utilizados en la auditoria
Al determinar qué áreas funcionales deben ser auditadas, el auditor podría
enfrentarse a una gran variedad de temas de auditoría. Si es posible todas las
áreas del SI de la organización deben ser incluidas en la evaluación del riesgo.
Algunas organizaciones sólo valoran proyectos de SI. Otros valoran cada área y
sistema auditable del SI. Cada uno de ellos puede representar diferentes tipos de
riesgos de auditoría. El auditor de SI debe evaluar a los diferentes riesgos
candidatos para determinar cuáles son las áreas de alto riesgo y por lo tanto, que
deban ser auditados.
El propósito de este proceso es:
Identificar áreas donde el riesgo residual es inaceptablemente alto.
Identificar controles críticos del sistema que aborda los altos riesgos
inherentes.
Evaluar la incertidumbre que existe en relación con los sistemas de control
críticos.
Auditoria de Sistemas Computacionales 9
15. 6.6 Determinación de Unidades Auditables
Para definir las unidades auditables y modelar los riesgos de SI inherentes a las
operaciones de la unidad se hace uso de la información que describe todos los
aspectos del funcionamiento de la organización.
Dichas información tiene diferentes tipos de fuentes entre estas están:
Las entrevistas realizadas a altos directivos con el fin de recopilar datos
para el desarrollo del modelo de riesgo
Las devoluciones de cuestionarios estructurados enviado a la
administración para facilitar la recopilación de datos sobre el riesgo modelo
IS
Los últimos informes de revisión.
El plan estratégico de TI
El proceso presupuestario puede ser una fuente útil de información
Las cuestiones planteadas por los auditores externos
Conocimientos de auditoría y la conciencia de los problemas importantes
recopilada de otras fuentes
Los métodos específicos utilizados para recoger los datos, si van a ser
suficientes teniendo en cuenta el tiempo y los recursos disponibles para la
tarea.
El modelo está destinado a incluir y proporcionar un nivel de riesgo para cada
unidad de SI auditable en la organización (el universo de auditoría SI).
No hay reglas específicas para determinar o diferenciar una unidad auditable
individual. Sin embargo, los siguientes son pautas para el uso de este modelo de
riesgo de auditoría para cada unidad / tema / función:
Auditable en un plazo razonable
Un sistema, es decir, tienen entradas reconocibles, procesos, productos,
resultados
Separable, es decir, capaz de ser auditados con una mínima referencia a
otros sistemas (Esto puede ser difícil si un sistema de aplicación que se
examina tiene muchos sistemas interconectados.)
6.7 Documentación
El Auditor de SI deberá documentar la técnica o metodología de evaluación de
riesgos utilizada en una auditoría. Normalmente, la documentación deberá incluir:
Una descripción de la metodología de evaluación de riesgos utilizada.
Auditoria de Sistemas Computacionales 10
16. La identificación de exposiciones significativas y los riesgos
correspondientes.
Los riesgos y exposiciones que la auditoría se propone abordar.
La evidencia de auditoría utilizada para respaldar la evaluación de riesgos
del Auditor Interno.
6.8 Ejemplos de metodologías de evaluación de riesgos
a. CLASIFICACION DE RIESGOS DE PROYECTOS DE TI
Este ejemplo proporciona una metodología para clasificar los proyectos de SI.
Cada proyecto de SI en el universo de auditoría de SI serán calificados en las
ocho claves variables usando una clasificación de evaluación numérica de riesgo
desde 1 (bajo) a 5 (alto). Los resultados de estas clasificaciones se multiplican
entonces por un factor de ponderación que oscila entre 1 (bajo) a 10 (alto) para
dar un valor extendido. Estos valores extendidos se suman para obtener un total.
Una vez los totales de cada proyecto se han obtenido, los proyectos se clasifican
según el riesgo. El marco del proyecto de cobertura anual de auditoría de SI, se va
creando a partir de estas clasificaciones. Las categorías utilizadas en el Ejemplo III
se enumeran en los puntos 13.2 y 13.3.
Medidas del efecto.
Proyecto de presupuesto -El presupuesto total de un proyecto de SI es
un factor importante a considerar. Como guía, algunas organizaciones
clasifican proyectos de presupuesto por encima de US$500,000 como un
nivel de riesgo de 4 o 5. Estas organizaciones clasifican presupuestos
entre los US$100,000 a US$500,000 como una clasificación de riesgo de
2 o 3 y presupuestos de menos de US$100.000 como un nivel de riesgo
de 1.
Volumen de transacciones –El volumen total de las transacciones que
se estiman para ser procesado por el sistema en un determinado
período.
Naturaleza de la actividad -La criticabilidad de la actividad y la parte de
la organización que utiliza la actividad. Actividades o proyectos
infrecuentes o inusuales tienen más probabilidades de dar lugar a error o
ineficiencia y son de mayor interés de la auditoría.
Interés de la dirección ejecutiva -Este factor se refiere a la importancia
de la unidad, función o área vista por la dirección ejecutiva.
Recurrir a arreglos -Este factor se refiere a las medidas que se han
puesto en marcha para continuar con las operaciones si el nuevo sistema
tiene problemas. Los factores a considerar incluyen:
- Los planes de continuidad.
- Planes de recuperación de desastres
- Procedimientos manuales
- Antiguo sistema
Auditoria de Sistemas Computacionales 11
17. En general, si las cuestiones anteriores se han abordado, son factibles o
son costos- beneficios, entonces el riesgo es más bajo.
Medidas de Riesgo
Cambios en los procedimientos -El grado de cambio de procedimiento
o reingeniería que acompaña a la implementación del sistema.
Complejidad del sistema -Factores tales como el número de usuarios,
número de módulos del sistema, ordenador central versus ambiente
cliente-servidor (centralizada frente a un entorno descentralizado), y el
número de interfaces que se consideran.
Gestión de proyectos. Se debe considerar lo siguiente en la
clasificación de la gestión del proyecto:
- Desarrolladores internos o externos.
- Estructura del proyecto
- Habilidades personales
- Plazos del proyecto
Generalmente, el riesgo es compartido si el proyecto se subcontrata.
Nivel de riesgo Importancia de
Categorías 1 ( bajo) a ponderación TOTAL
5 ( Alto) 1 ( bajo) a 10 ( alto)
1. Presupuesto del proyecto
> $ 500,000 = 4 a 5
3 5 15
$ 100.000 a $ 500.000 = 2 a 3
< $ 100.000 = 1
2. Transacción volumen 3 2 6
3. Naturaleza de la actividad
Consejo central 4 a 5
4 6 24
Unidad de negocios 2 a 3
Sistema local 1
4. Interés de la dirección ejecutiva
Mayor interés = 4 a 5
2 6 12
Interés Moderada = 2 a 3
Menor interés = 1
5. Recurrir a arreglos
De continuidad del negocio / planes de
recuperación de desastres 2 7 14
Procedimientos manuales
Antiguo sistema
Auditoria de Sistemas Computacionales 12
18. 6. Cambios en los procedimientos (extensión
de la reingeniería)
Reingeniería Mayor = 4 a 5 2 8 16
Reingeniería Moderada = 2 a 3
Reingeniería menor = 1
7. Complejidad del sistema
Número de usuarios
Número de módulos 5 7 35
Centralizada o descentralizada (ordenador
central versus ambiente cliente-servidor)
Interfaces
8. Gestión de proyectos
Desarrolladores internos o externos
3 7 21
estructura
Habilidades
Plazo
TOTAL. 143
b. Evaluación del riesgo de las unidades auditables de SI - Sistemas
de aplicación (producción)
Este ejemplo clasifica a las diversas categorías de unidades auditables en el
universo de SI auditable después de que hayan sido identificados. Las categorías
se enumeran basándose en la naturaleza del riesgo en que estas unidades estén
expuestas. La información relevante, como por ejemplo, la exposición financiera,
el efecto sobre en los negocios y el alcance son calificados. Las categorías son las
siguientes:
i. Operaciones del Centro de datos
ii. Los sistemas de aplicación (de producción)
iii. Los sistemas de aplicación (desarrollo)
iv. Contratación de SI (mano de obra y materiales)
v. Adquisición de paquete de software
vi. Otras funciones de SI
Dentro de cada categoría, los componentes principales de riesgo se enumeran.
Dependiendo del tipo de riesgo de un valor se asigna a cada elemento de riesgo.
Cada elemento de riesgo es entonces subdividido y se le atribuye una puntuación.
Esta puntuación de un elemento de riesgo en particular es el producto de la
puntuación y su valor. La puntuación total de riesgo de la función es la suma de
las puntuaciones de todos sus elementos de riesgo. Para facilidad de
comparación, la puntuación de riesgo se mide en una escala de 100. Separar las
Auditoria de Sistemas Computacionales 13
19. hojas de evaluación de riesgos puede ser preparado para cada unidad auditable.
Finalmente las puntuaciones obtenidas para cada unidad auditable son
considerados y priorizados en la auditoría.
i. OPERACIONES DEL CENTRO DE DATOS.
Factor de ponderación Valor Calificación Puntuación
Asignada
1. Número de personas en el centro de datos. 1 5
Muy pequeño menos de 2 1
Pequeño 3-7 2
Moderado 7 - 15 3
Grande 16 - 25 4
Muy Grande más de 25 5
2. Efecto sobre el grupo de negocios 5 25
Sin efecto 1
Pequeño 2
Moderado 3
Alto 4
Dejar fuera el grupo de negocios 5
3. Número de aplicaciones 5 25
Único 1
Menos de 5 2
5 - 15 3
16 - 25 4
Más de 25 5
4. Número de usuarios 2 10
Debajo de 25 1
26 - 50 2
51 - 100 3
100 - 250 4
Arriba de 250 5
5. Resultados de auditorías anteriores 1 5
No hay hallazgos significativos 1
Pocos hallazgos no significativos 2
Muchos hallazgos no significativos 3
Pocos hallazgos significativos 4
Muchos hallazgos significativos 5
6. Sofisticación de procesamiento 2 10
Lote 1
Lote / tiempo real 2
Lote / tiempo real / en línea 3
Cliente / servidor 4
Paralelo / distribuido 5
7. Los cambios en el equipo / plataforma / 1 5
personal 1
No hay cambios 2
Cambios moderados / baja rotación 3
Cambios significativos / baja rotación 4
Alta rotación 5
Cambios de plataforma y alta rotación
Auditoria de Sistemas Computacionales 14
20. 8. Número de plataformas 3 15
1 1
2 2
3 3
4 4
5+ 5
Índice de Riesgo Total 100 100
ii. SISTEMAS DE APLICACIÓN (PRODUCCIÓN)
Factor de ponderación Asignación Calificación Puntuación
Asignada
1. Efecto de fallo del sistema (criticabilidad) 5 25
Sin efecto inmediato 1
Inconvenientes a los usuarios 2
La pérdida de fondo de comercio 3
Pérdida de ingresos 4
Pérdida de negocios / ingresos / fondo de 5
comercio
2. Exposición financiera 5 25
ninguno 1
Pequeño (<100.000) 2
Moderado (100,000 -1 millón) 3
Alto (1 millón -10 millones) 4
Muy alto (> 10 millones) 5
3. Ámbito de aplicación del sistema 2 10
Parte de un departamento 1
departamento completo 2
Multidepartamental 3
Toda la organización 4
Organización y externo 5
4. Edad de la aplicación 1 5
Más de 10 años 1
7-10 años 2
4-6 años 3
1-3 años 4
Menos de un año 5
5. Resultados de auditorías anteriores 2 10
Auditoría Reciente sin debilidades 1
Auditoría Reciente con menores debilidades 2
Auditoría con algunas debilidades 3
Auditoría con muchas debilidades 4
Sin auditoria anterior 5
6. Tamaño de la aplicación (número de 3 15
programas) 1
por debajo de 25 2
25 - 50 3
50 - 100 4
100 - 250 5
Por encima de 250
7. Los cambios en el medio ambiente / personal 1 5
No hay cambios 1
Auditoria de Sistemas Computacionales 15
21. Cambios moderados / baja rotación 2
Cambios significativos / baja rotación 3
Alta rotación 4
Cambios significativos y alta rotación 5
8. Número de localidades implementadas 1 5
1 1
2 2
3 3
4 4
5+ 5
Índice de Riesgo Total 100 100
iii. LOS SISTEMAS DE APLICACIÓN (DESARROLLO)
Factor de ponderación Asignación Calificación Puntuación
Asignada
1 El tamaño, la organización y la experiencia 3 15
del equipo 1
Equipo pequeño, dedicado y con experiencia. 2
Equipo de tamaño medio, centralizado y con 3
experiencia. 4
Promedio, con experiencia y prioridades mixtas.
Promedio, en su mayoría centralizada con otras 5
prioridades.
Grande, descentralizado, sin experiencia e
informes pocos claros
2 Tamaño del sistema 3 15
Pequeño número de programas para un 1
departamento 2
Número moderado de programas para un 3
departamento 4
Gran número de programas para muchos 5
departamentos
Número moderado de programas para toda la
organización
Gran número de programas para toda la
organización
3 Duración del ciclo de desarrollo 2 10
Menos de 3 meses 1
3-6 meses 2
6-12 meses 3
1 – 1 1/2 años 4
2 o más años 5
4 Plataforma de desarrollo 3 15
Probada y utilizada ampliamente 1
Bastante nuevo pero aceptada en todo el 2
mundo 3
Bastante nuevo pero no aceptada en todo el 4
mundo 5
Probado y propio
Nuevo, no probado en propiedad
5 Antes de la participación de auditoría 2 10
Ejercicios de creación de controles 1
Requisitos de fase de análisis 2
Auditoria de Sistemas Computacionales 16
22. Seguimiento del cronograma del proyecto 3
Seguimiento de costo del proyecto 4
ninguno 5
6 Metodología de desarrollo de Sistema 3 15
Metodología estándar con procedimientos y 1
estándares documentados
Metodología estándar sin procedimientos y 2
estándares documentados
No hay una metodología estándar, pero si 3
equipo con experiencia
Metodología experimental no probada 4
No hay metodología de desarrollo utilizada y no 5
hay estándares de desarrollo y directrices
documentados
7 Experiencia en gestión de proyectos 1 5
Muy alto 1
Por encima del promedio 2
promedio 3
Por debajo del promedio 4
Sin experiencia / multiproyecto 5
8 Mano de obra externa 1 5
Pequeña cantidad, Proveedor único 1
Pequeña cantidad, Diferentes proveedores 2
Cantidad significativa, Proveedores individuales 3
Cantidad significativa, Diferentes proveedores 4
100% 5
TOTAL 90 90
iv. CONTRATACIÓN (RECURSOS HUMANOS Y MATERIALES).
Factor de ponderación Asignació Calificació Puntuació
n n n
Asignada
1 Efecto 5 25
Sin efecto inmediato 1
Inconvenientes de los usuarios 2
La pérdida de fondo de comercio 3
Pérdida de ingresos 4
Pérdida de negocios / ingresos / fondo de comercio 5
2 Exposición financiera (AED) 5 25
Ninguna 1
Pequeña (<100.000) 2
Moderada (100,000-1 m) 3
Alta (1m-10 m) 4
Muy alta (> 10 m) 5
3 Procedimientos y lineamientos 5 25
Procedimientos documentados y Aprobados 1
Procedimientos no documentados 2
Procedimientos, completos pero no se han aplicado 3
Sin procedimientos establecidos, pero controlado 4
No existen procedimientos establecidos y controles 5
4 Resultados de auditorías anteriores 2 10
Auditorias recientes - No hay deficiencias 1
Auditoria de Sistemas Computacionales 17
23. Auditorias recientes – Deficiencias menores 2
Auditoría-Algunas deficiencias 3
Auditoria – Muchas deficiencias 4
No hay auditoría anterior 5
5 Complejidad 3 15
Abastecimiento local para un departamento 1
Abastecimiento local para toda la organización 2
Abastecimiento internacional para una tecnología 3
Abastecimiento internacional para multitecnología 4
Abastecimiento local e internacional para 5
multitecnología
Puntuación de riesgo Total 100 100
iv. ADQUISICIÓN DE PAQUETE DE SOFTWARE
Factor de ponderación Asignació Calificació Puntuació
n n n
Asignada
1 Ámbito de aplicación del sistema 5 25
Parte de un departamento 1
Departamento completo 2
Multidepartmento 3
Toda la organización 4
Organización y externo 5
2 Exposición financiera (AED) asociado con el 5 25
sistema
Ninguna 1
Pequeña (<100.000) 2
Moderada (100,000-1 m) 3
Alta (1m-10 m) 4
Muy alta (> 10 m) 5
3 Naturaleza del paquete 2 10
De la utilidad del producto 1
Hecho a la medida por el proveedor, mantenido por 2
el proveedor 3
Desarrollado por el proveedor, mantenido 4
internamente 5
Desarrollado conjuntamente, el proveedor mantiene
Desarrollado conjuntamente, mantenido
internamente
4 Tipo de evaluación 1 5
Por el Departamento usuario / SI / consultor 1
Por SI / usuario 2
Por consultor 3
Por SI 4
Por el departamento usuario 5
5 Costo y la complejidad del paquete 2 10
Insignificante 1
Pequeño 2
Moderado 3
Significativo 4
Muy alto 5
6 Metodología de evaluación 3 15
Proveedor / producto evaluado 1
Auditoria de Sistemas Computacionales 18
24. Único producto evaluado 2
Sólo proveedores evaluados 3
No se ha evaluado ambos se adquieren de forma 4
condicional 5
No se ha evaluado incondicionalmente la compra
7 Selección 1 5
Seleccionado de entre muchos candidatos 1
Seleccionado de entre unos pocos proveedores de 2
renombre 3
Seleccionado de entre pocos sistemas conocidos 4
Seleccionado de un sistema familiar 5
Seleccionado de un sistema desconocido
8 Efectos en el negocio 1 5
Sin efecto inmediato 1
Inconvenientes a los usuarios 2
Pérdida de plusvalía 3
Pérdida de ingresos 4
Pérdida de negocio / Plusvalía / ingresos 5
Puntuación de riesgo Total 100 100
iv. OTRAS FUNCIONES DE SI
Factor de ponderación Asignació Calificació Puntuació
n n n
1 Efecto del fallo de funcionamiento (criticidad) 5 25
Sin efecto inmediato 1
Inconvenientes a los usuarios 2
Pérdida de fondo de comercio 3
Pérdida de ingresos 4
Pérdida de negocios / ingresos / fondo de comercio 5
2 Exposición financiera (AED) asociado con el 5 25
sistema
Ninguna 1
Pequeña (<100.000) 2
Moderada (100,000-1 m) 3
Alta (1m-10 m) 4
Muy alta (> 10 m) 5
3 Alcance de la función 2 10
Parte de un departamento 1
Departamento completo 2
Multidepartmento 3
Toda la organización 4
Organización y externo 5
4 Edad de la función 1 5
Más de 10 años 1
7-10 años 2
4-6 años 3
1-3 años 4
Menos de un año 5
5 Resultados de auditorías anteriores 2 10
Auditorias recientes - No hay deficiencias 1
Auditorias recientes – Deficiencias menores 2
No hay auditoria anterior 3
Auditoría - Algunas deficiencias 4
Auditoria de Sistemas Computacionales 19
25. Auditoria – Muchas deficiencias 5
6 Complejidad de las funciones 3 15
Muy baja 1
baja 2
moderada 3
alta 4
Muy alta 5
7 Cantidad de personal 1 5
Uno 1
Menos de 5 2
6-10 3
11-25 4
Por encima de 25 5
8 Número de ubicaciones 1 5
1 1
2 2
3 3
4 4
5+ 5
Puntuación de riesgo Total 100 100
Auditoria de Sistemas Computacionales 20