Auditoria de Tecnología Basada en Riesgos 160813 (ESTUDIANTES) X

AUDITORA DE
TECNOLOGA BASADA EN
RIESGOS
Agosto, 2013
Copyright 2013 Ing. Ral Gonzlez Carrin

All rights reserved.
Auditora de Tecnologa Basada en Riesgos

CONTENIDO
Inicio: Conceptos bsicos
1. Fundamentos de la gestin de riesgos corporativos
1.1. Antecedentes: Metodologas de Control Interno
1.2. Marcos metodolgicos de gestin de riesgos
1.3. Definicin, objetivos y componentes de la gestin de riesgos
1.4. Riesgo y Control
2. Gestin de riesgos de TI
2.1. Algunos conceptos de Riesgos Tecnolgicos
2.2. Principales marcos para la Administracin de Riesgos de TI
2.3. Riesgo Operativo
2.4. The Risk intelligence Map
2.5. Revisin marco COBIT 4.1

CONTENIDO
2.6. Metodologa para realizar un anlisis de riesgos de
Confidencialidad, Integridad y Disponibilidad
2.7. Continuidad del Negocio como parte de la evaluacin de
riesgos
2.8. Norma PCI
2.9. Introduccin a ISO ISO/IEC 38500:2008
3. Estndar internacional de auditora

3.1. Norma ISA 315 Identificacin y evaluacin del riesgo de
error material a travs del conocimiento y la compresin de la
entidad y de su entorno
3.2. Controles Generales Relacionados con la Tecnologa
3.3. Controles de Aplicacin
3.4. Riesgos & Controles en Procesos de Negocios

CONTENIDO
4. Metodologa Auditora de Tecnologas basada en
riesgos
Conceptos bsicos
Auditora:
Es un examen objetivo, sistemtico y profesional practicado con posterioridad a la ejecucin de
las operaciones o transacciones con el objeto de emitir un informe o diagnstico que derive
comentarios, conclusiones y recomendaciones.
Auditora de Tecnologa:
Proceso de recoleccin y evaluacin de evidencia para determinar si los SI y los recursos
relacionados:
Salvaguardan adecuadamente los activos,
Mantienen la integridad de los datos y del sistema,
Proveen informacin relevante y confiable,
Alcanzan efectivamente los objetivos organizacionales,
Utilizan los recursos eficientemente, y
Cuentan con controles internos que provean una seguridad razonable de que los objetivos
operacionales y de control sern satisfechos y de que los eventos no deseados sern
prevenidos o detectados y corregidos de manera oportuna.
Fuente: ISACA.ORG
4
Conceptos bsicos
Riesgo:
Es el efecto de la incertidumbre en la consecucin de los objetivos [ISO 31000:2009]

Combinacin de la probabilidad (posibilidad) de un evento y su consecuencia (Risk
Management: Vocabulary Guide 73 ISO)
La posibilidad que algo suceda y que tenga impacto en el logro de los objetivos
(Australian/New Zealand Standard - 1999)
Posibilidad de que suceda algo que tendr impacto en los objetivos. Se mide en trminos
de consecuencias y posibilidad de ocurrencia. (NTC 5254 Gestin del Riesgo)
Combinacin de la probabilidad y la(s) consecuencia(s) que ocurra un evento peligroso
especfico.( NTC OHSAS 18001 )
Riesgo es la posibilidad que algn evento ocurra y afecte adversamente el logro de los
objetivos (COSO ERM - 2004)
Posibilidad de que ocurra un evento o acto que podra tener un efecto adverso en la
organizacin y sus sistemas de informacin [ISACA]
Riesgo Probabilidad de que un evento o accin pueda afectar adversamente la
organizacin o actividad auditada [IIA]
Riesgo Es la exposicin potencial a situaciones que pueden afectar el logro de los objetivos
de una organizacin, generar prdidas o mermar potenciales utilidades.[Deloitte]
FUNDAMENTOS DE LA GESTIN
DE RIESGOS CORPORATIVOS
1.1. Antecedentes: Metodologas de Control Interno
La actualidad
La incertidumbre implica riesgos y oportunidades.
La administracin de riesgos corporativos permite a la
direccin tratar efectivamente a la incertidumbre y sus

riesgos y oportunidades asociadas, mejorando as la
capacidad de generar valor.
Contexto
En el contexto actual existen dos tendencias
sumamente acentuadas:
Globalizacin
Tecnologa
Si bien ambas tendencias favorecen el crecimiento
econmico y las inversiones, tambin implican

mayores riesgos, principalmente por la accin de las
diferentes variables que interactan.
1.1.1. Control Interno: Evaluacin y

Evolucin
Qu es el control interno?:
Es un proceso realizado por la Junta Directiva, Administradores y dems

personal de la entidad, diseado para proporcionar seguridad razonable
mirando el cumplimiento de los objetivos de la organizacin en estas
Promover la efectividad y eficiencia en las operaciones
categoras:
(incluyendo la salvaguarda de activos).
Soportar el cumplimiento con las leyes

y regulaciones aplicables
Asegurar la razonabilidad de los reportes

financieros
Evolucin reciente del control interno
COSO 2013
10
1.1.2. Control interno efectivo: Referentes

internacionales
COSO I
IIA
COSO II
(ERM)
SOX
Basilea
Cobit
11
1.1.3. Generacin del Control Interno

Un esquema comprensivo que nos genera:
Una definicin comn de Controles internos
Discusin de responsabilidades
Estndares para evaluar el sistema de control interno
Un modelo general de control interno
* Internal Control Integrated Framework,

Committee of Sponsoring Organizations
(COSO) of the Treadway Commission
12
1.1.3. Generacin del Control Interno

El control interno ayuda a una entidad a llegar a donde quiere llegar, evitar
trampas y sorpresas que pueden ocurrir en el transcurso.
Proceso continuo. Es un
medio no un fin en s
mismo.
Proporciona seguridad razonable.

Ejecutado por personas. No son
solo polticas y manuales.
13
Control Interno
El control interno no es un evento o una circunstancia, es
Proceso
una serie de acciones.

Constituye un medio para un fin, es administrado
mediante la planeacin, ejecucin y monitoreo.
Est entrelazado con las actividades de operacin de una
entidad y ES PARTE DE LA ESENCIA DE UNA
COMPAA.
Es
Personal
ejecutado por la Junta Directiva, Administradores, y

dems personal de la entidad.
La gente debe conocer sus responsabilidades y sus lmites
de autoridad.
14
Control Interno
Seguridad
Razonable
Existen limitaciones inherentes a todos los sistemas de

control interno (juicios humanos en toma de decisiones,
fallas humanas-errores y equivocaciones, colusin de
dos o ms personas, entre otros).
Objetivos
Misin, objetivos y estrategias de la Compaa para

alcanzarlos
15
1.1.4. Responsabilidades frente al sistema de

control interno
Riesgos
Sistema de Control Interno
Organizacin
Presidencia
Vicepresidencias
Gerencias
reas de Soporte
Dueos de Proceso
Todo el personal de
la organizacin
Asamblea de Accionistas
Junta Directiva
Comit
de
Auditora
Auditora Interna
Revisora Fiscal
Responsables del sistema de control interno
16
Responsabilidad de monitorear el sistema de control interno

16
Control Interno
Resumiendo:
Es un proceso que hace parte de los

dems sistemas y procesos de la
empresa
Proporciona una seguridad razonable,

ms que absoluta, de que se lograrn
los objetivos definidos.
Es concebido y ejecutado por

personas de todos los niveles de la
organizacin a travs de sus
acciones y palabras.
Orientado a objetivos es un medio,

no un fin en s mismo.
17
1.1.5. Evaluacin del Control Interno: Mtodo

COSO
Commitee of Sponsoring Organizations of the Treadway Commission en 1992
estableci el COSO I (The Internal Control Integrated Framework)

Asociacin Contable Estadounidense
Instituto Estadounidense de CPA
Instituto de Ejecutivos Financieros
Instituto de Auditores Internos
Instituto de Contadores Gerenciales
COSO
C comitte (comit)
O of (de)
S sponsorig (auspiciantes)
O organizations (organizaciones)
18
1.1.6. COSO I Referente para otras metodologas de

Implementacin y evaluacin de CI.
Otros organismos profesionales de los pases industrializados han definido su
enfoque sobre el control interno, basados en los criterios definidos en el
Informe COSO, como los siguientes:
Criteria of Control (COCO), del Instituto Canadiense de Contadores Certificados
(CICA de las siglas del ingls);

Cadbury del Instituto de Contadores del Reino Unido;
King del Instituto de Contadores de Australia;
Vienot de Francia;
Entre los ms difundidos.
Adicionalmente existen regionalmente estos documentos:
MICIL Marco Integrado de Control Interno para Latinoamrica (sntesis y
adaptacin de COSO I).
CORRE Control de los Recursos y los Riesgos en Ecuador (sntesis de: COSO I,
COSO II (ERM), MICIL).
19
1.1.7. COSO I Definicin de Control Interno

El control interno se define como un proceso, efectuado por el
consejo de administracin, la direccin y el resto de personal de una

entidad (todos), diseado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecucin de objetivos dentro
de las siguientes categoras:
El control interno consta de cinco componentes interrelacionados,
que se derivan de como la administracin maneja el ente, y estn

integrados a los procesos administrativos.
El control interno, no consiste en un proceso secuencia. Es un
proceso multidireccional repetitivo y permanente.

El control interno difiere por ente y tamao y por sus culturas y
filosofas de administracin.
20
1.1.8. COSO I Marco Integrado de Control

(Framework)
Actividades de Control
Actividad 1
Proceso 1
Informacin &
Comunicacin
Unidad B
Monitoreo
Unidad A
Cinco Componentes
Tres categoras de objetivos
Evaluacin de Riesgos
Ambiente de Control
NIVELES
DE LA
ORGANIZACIN
Unidades-Actividades-Procesos
21
COSO I: Ambiente de Control
Actividad 1
Proceso 1
Informacin &
Comunicacin
Unidad B
Integridad y Valores ticos.

Estructura Organizativa
Autoridad Asignada y Responsabilidad Asumida.
Administracin de los Recursos Humanos.
Competencia Profesional y Evaluacin del Desempeo
Individual.
Filosofa y Estilo de la Direccin.
Consejo de Administracin y Comits.
Rendicin de Cuentas y Transparencia.
Monitoreo
Unidad A
El Ambiente de Control da el tono de una

organizacin influenciando la conciencia
de control de sus empleados,
proporcionando disciplina y estructura. Es
el fundamento de los dems
componentes del control interno.
Ambiente de Control
22
COSO I: Evaluacin de Riesgos
Actividad 1
Proceso 1
Informacin &
Comunicacin
Unidad B
Monitoreo
Unidad A
La Valoracin de Riesgos es la
identificacin y el anlisis de los
riesgos relevantes que puedan
afectar la consecucin de los
objetivos. Los continuos cambios de
la economa, la industria, las
regulaciones y las condiciones de
operacin, requieren mecanismos
para identificar, tratar y administrar
los riesgos asociados al negocio.
Ambiente de Control
23
COSO I: Actividades de Control
Actividad 1
Proceso 1
Informacin &
Comunicacin
Unidad B
Monitoreo
Unidad A
Las Actividades de Control ayudan

a asegurar que se estn llevando
a cabo las directrices
administrativas y tomando las
acciones necesarias para
manejar los riesgos hacia la
consecucin de los objetivos de
la Entidad. Las actividades de
control se dan a todo lo largo y
ancho de la Entidad, en todos los
niveles y en todas la funciones.
Ambiente de Control
24
COSO I: Informacin & Comunicacin
Actividad 1
Proceso 1
Informacin &
Comunicacin
Unidad B
Monitoreo
Unidad A
Los sistemas de Informacin producen

reportes, contienen informacin
operacional, financiera y relacionada
con el cumplimiento, que hace posible
operar y controlar el negocio,
adicionalmente soportar la toma de
decisiones.
La Comunicacin efectiva debe fluir en
un sentido amplio, hacia abajo, a lo
largo y hacia arriba de la
organizacin, igualmente con las
partes externas como clientes,
proveedores, reguladores y
accionistas, entre otros.
Ambiente de Control
25
COSO I: Monitoreo
Actividad 1
Proceso 1
Informacin &
Comunicacin
Unidad B
Monitoreo
Unidad A
El Monitoreo ongoing (ocurre en el

curso de las operaciones), las
evaluaciones separadas
(supervisin o ejecucin de
trabajos de Auditora) o
combinaciones de ambas, deben
efectuarse sobre el sistema de
control interno, puesto que el
monitoreo es un proceso que
valora la calidad del desempeo
del sistema de control interno en
el tiempo.
Ambiente de Control
26
COSO I
27
COSO Una frase para recordar
Un buen control interno NO

garantiza el xito ...
PERO ... Un mal control interno
SI garantiza el
fracaso.
28
1.2. Marcos metodolgicos de gestin de riesgos
29
29
1.2.1. Marcos metodolgicos de Gestin de

Riesgos
A continuacin se lista los principales marcos metodolgicos sobre gestin de riesgos:
Gestin de riesgos corporativos.
Estndar AS NZS 4360:1999 de Gestin de Riesgos (Australiano Neozelands 1999)

Estndar AS NZS 4360:2004 de Gestin de Riesgos (Australiano Neozelands 2004)
COSO ERM /Enterprise Risk Management (2004)
Basilea II Gestin de Riesgos en Entidades Financieras (2004)
ISO 31000:2009 Gestin de Riesgos Principios y Directrices (2009)
ISO 73:2009, el vocabulario de gestin de riesgos
ISO/IEC 31010:2009 Risk management -- Risk assessment techniques
Gestin de riesgos de Tecnologa de la Informacin TI.
COBIT Control Objectives for Information and related Technology (ISACA)

IT Risk (ISACA)
ISO 27005 Gestin del Riesgo en la Seguridad de la Informacin
MAGERIT - Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin
(Gobierno de Espaa)
OCTAVE - Operational Critical Threat, Asset and Vulnerability Evaluation - Evaluacin de Amenazas y Vulnerabilidades de
Recursos Crticos Operacionales (Carnegie Mellon University)
NIST National Institute of Standards and Technology; Risk Management Guide for Information Technology Systems.
30
1.2.2. COSO II - ERM

A raz de los grandes problemas en varias organizaciones empresariales se
establecieron nuevas metodologas para lograr mayor compromiso de parte de toda
la organizacin desde su junta directiva, administracin y dems personal. [Gobierno
Corporativo]
Se cambiaron las reglas de planeacin y evaluaciones de controles internos por la
necesidad primaria de lograr una administracin de riesgos habindose completado el
COSO I por el ahora llamado COSO II (ERM)
El COSO II (ERM), es reconocido como el estndar para cumplir con la seccin 404
de la ley Sarbanes-Oxley.
Seccin 404: Exige al CEO y CFO, anualmente, declarar su responsabilidad de establecer, mantener y evaluar la
estructura de control interno (modelo tipo COSO) y procedimientos de reporte financiero.
Exige al Auditor Externo probar la validez de la declaracin de la Gerencia.
31
1.2.2.1 COSO II ERM : Fecha de

publicacin
En septiembre de 2004 se public la versin en ingls del COSO ERM (Enterprise
Risk Management Integrated Framework.

La traduccin al espaol del COSO ERM fue realizada por la firma auditora
PricewaterhouseCoopers PWC y la Federacin Latinoamericana de Auditores

Internos FLAI, y fue publicada en diciembre de 2005
32
1.2.2.2 COSO II ERM : Antecedentes

CMO SE INICI ERM?
ERM comenz en las empresas de servicios financieros,
seguros, servicios pblicos, petrleo, gas, e industrias
manufactureras qumicas
Por qu ah?
En estas industrias los riesgos estn bien documentados y medidos.
Comnmente se utilizan sofisticados modelos estadsticos.
Existe entendimiento y supervisin sobre la sensibilidad del mercado y riesgos
33
1.3. Definicin, objetivos y componentes de la
gestin de riesgos
34
34
1.3.1. COSO ERM Definicin

La Gestin de Riesgos Corporativos es un proceso efectuado por la Junta
Directiva, administracin y dems personal, aplicable a la definicin de

estrategias en toda la empresa y diseado para identificar eventos
potenciales que puedan afectar a la organizacin, administrar sus
riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable
sobre el logro de los objetivos.
1.
2.
3.
4.
ESTRATEGICO (esta categora no inclua COSO I).

Eficiencia y efectividad de las Operaciones (OPERACIONES).
Confiabilidad de la Informacin (REPORTES).
Cumplimiento (CUMPLIMIENTO).
35
1.3.2. COSO ERM Conceptos Fundamentales

Conceptos fundamentales:
Un proceso, es un medio para

un fin, no un fin en si mismo.
Efectuado por gente no es

solamente poltica, estudio y
forma, sino que involucra
gente en cada nivel de una
organizacin.
Aplicado en la definicin de la
estrategia
Aplicado a travs de la
administracin en cada nivel y
unidad (incluye asumir el
punto de vista de portafolio de
los riesgos a nivel de la
entidad)
Diseado para identificar los

eventos que potencialmente
afectan la entidad y para
administrar los riesgos dentro
del apetito por los riesgos.
Provee seguridad razonable

para la administracin y para
la junta de una entidad
Orientado al logro de los

objetivos en una o ms
categoras separadas pero al
mismo tiempo se sobreponen
unas con otras.
36
1.3.3. COSO ERM Componentes

El COSO - ERM est integrado por ocho componentes:
1. Ambiente Interno.
2. Establecimiento de Objetivos.
3. Identificacin de Eventos.
4. Evaluacin de Riesgos.
5. Respuesta al Riesgo.
6. Actividades de Control.
7. Informacin y Comunicacin.
8. Supervisin (Monitoreo).
37
1.3.4. COSO I vs COSO II (ERM)

COSO (Internal
Control )
Framework
Vs
COSO ERM (Enterprise

Risk Management)
Framework
Actividad 1
Proceso 1
Unidad B
Informacin &
Comunicacin
Unidad A
Monitoreo
Ambiente de Control
Se pas de tener 5 a tener 8 componentes

38
1.3.4. COSO I vs COSO II (ERM)

Control Interno COSO
Control interno es un proceso ejecutado
por el consejo directo, la administracin y
otro personal de una entidad, designado
para proporcionada seguridad razonable
referente al logro de objetivos en las
categoras:
2.
3.
Efectividad y eficacia de operaciones

Confiabilidad en reportes financieros
Cumplimiento con las leyes y
reglamentos aplicables
Monitoreo
Informacin &
Comunicacin
La administracin de riesgos empresariales

un proceso, ejecutado por el consejo
directivo, la administracin y otro personal
de una entidad, aplicado en el
establecimiento de estrategias en toda la
empresa, designado para identificar
eventos potenciales que pudieran afectar a
la entidad, y administrar los riesgos para
mantenerlos dentro de su apetito de riesgo,
proporcionar seguridad razonable referente
al logro de objetivos.
Unidad A
Unidad B
Proceso 1
Actividad 1
1.
Administracin de Riesgos
Empresariales ERM
Ambiente de Control
39
1.3.5. COSO II ERM : Componentes

Estableciendo el Tono de la organizacin, para influenciar la
conciencia de control de su gente
Factores que afectan el ambiente interno:
AMBIENTE INTERNO
Asignacin de
autoridad y
responsabilidad
Integridad y
valores ticos
Estructura
Organizacional
Junta Directiva
Comit de Auditora
Polticas y prcticas
de recurso humano
Estilo y filosofa de
la administracin
Compromiso hacia la
competencia
(habilidades y
conocimientos)
40

Principales consideraciones con relacin
a TI:
AMBIENTE INTERNO
TI se ve como una organizacin separada y

por ende tiene un ambiente de control
diferente
La complejidad de TI tambin afecta el
control interno Mayor nfasis
La Tecnologa puede introducir nuevos
riesgos o aumentar algunos lo cual puede
requerir nuevas actividades de control
Se requiere conocimiento especializado.
Confianza en proveedores crticos
La propiedad de los Controles de TI puede
no ser clara
41

Corresponde a un proceso para definir objetivos y
que estos apoyen y estn de acuerdo con la misin
de la entidad y sean consistentes con su inters por
los riesgos.
FORMULACION DE OBJETIVOS
Objetivos estratgicos
Objetivos relacionados
Objetivos seleccionados
Riesgo aceptado
Tolerancia al riesgo
El establecimiento de objetivos es un requisito
previo para el control interno Efectivo.
42

Eventos con impacto negativo tanto internos como
externos que afectan el logro de los objetivos,
distinguiendo entre riesgos y oportunidades:
Factores de influencia estrategia y objetivos

IDENTIFICACION DE EVENTOS
Metodologas y tcnicas
Acontecimientos independientes
Categoras de acontecimientos
Riesgos y Oportunidades
Se tienen eventos a nivel :
1. A nivel de la entidad
2. A nivel de actividad
Evento: Incidente o suceso generado por una fuente interna o externa, que afecta
a la aplicacin de una estrategia o el alcance de cualquier objetivo.
43

Incluye todas las actividades desarrolladas por la
administracin relacionadas con la evaluacin y
aseguramiento de los procesos y riesgos financieros.
Administrando los riesgos de la organizacin:
Establecimiento de metas y objetivos

- Factores crticos de xito
- Plan estratgico
EVALUACION DEL RIESGO
- Anlisis de competitividad
Identificacin y anlisis de riesgos

- Nivel entidad: Penetrantes
- Nivel de actividad (proceso)
- Anlisis y cuantificacin de riesgos
44

Corresponde a la seleccin ms apropiada para
cubrir los riesgos desarrollando un conjunto de
acciones para alinear los riesgos con las
tolerancias de riesgos de la entidad y el inters o
apetito por los mismos
Evaluacin de posibles respuestas (mitigar,

transferir, aceptar, evitar)
RESPUESTA AL RIESGO
Seleccin de respuesta
Manejo del cambio
45
RESPUESTA AL RIESGO
Mitigar
Transferir
Implementar
controles
(mitigar/reducir)
Compartir,
asociacin con
alguien.
Por ejemplo.
Definir,
implementar
controles
apropiados para
reducir la
probabilidad o el
impacto del
riesgo
Por ejemplo,
compartir el
riesgo con socios
o transferirlo
mediante
cobertura de
seguro, acuerdo
contractual u
otros medios.
Aceptar
Evitar
Monitorear
Eliminar
Reconocer
formalmente la
existencia del
riesgo y
monitorearlo.
Por ejemplo,
donde sea
factible, escoger
no implementar
ciertas actividades
o procesos que
generen un riesgo
(es decir, eliminar
el riesgo al
eliminar la causa)
46
RESPUESTA AL RIESGO
Alta
I
M
P
A
C
T
O
Baja
Riesgo
(Alto)
Riesgo (medio)
Transferir
Evitar
Bajo (Riesgo)
Aceptar
Riesgo
(Medio)
Mitigar
PROBABILIDAD
Alta
47

Principales consideraciones con relacin a TI:
Los riesgos de TI son penetrantes a toda la
organizacin, cuentas y procesos.
A nivel de entidad:
RESPUESTA AL RIESGO
Un sub-comit de planeacin de TI el cual

debera responder por el plan de
implementacin de controles de TI, su
seguimiento e integracin con el plan global
de la organizacin.
Evaluacin de los riesgos de TI
A nivel de actividades :
Evaluacin de riesgos como parte de
metodologas de desarrollo, y control de
cambios en Infraestructura y operaciones.
48
Las Actividades de Control son las polticas y los

procedimientos que ayudan a asegurar que se
estn llevando a cabo las directivas administrativas
necesarias para manejar los riesgos.
Las actividades de control deben estar

incorporadas en las operaciones del negocio.
Las actividades de control estn ligadas a la

evaluacin de riesgos, ya que stas sirven como
medio para que el riesgo sea administrado
apropiadamente.
Enfocadas a
correccin.
ACTIVIDADES DE CONTROL
la
prevencin,
deteccin
49

ACTIVIDADES DE CONTROL
Principales consideraciones con relacin a TI:

La informacin confiable es la base de la generacin de Estados Financieros
Existen dos grandes grupos de actividades de control:
Controles generales
relacionados con la
tecnologa
Controles de Aplicacin
Aplican a la mayora o todas las aplicaciones

de sistemas y ayudan a asegurar su
continuidad y operacin adecuada.
Incluyen pasos computarizados con la

aplicacin de software y manuales de
procedimientos relacionados para controlar
el procesamiento de varios tipos de
transacciones.
50
Controles generales relacionados con la

tecnologa
Marco de referencia COBIT
1.
2.
3.
4.
CobiT
Seguimiento de los procesos

Evaluar lo adecuado del control Interno
Obtener aseguramiento independiente
Proveer una auditora independiente
Seguimiento
1.Definicin del nivel de servicio

2.Admistracin del servicio de terceros
3.Adm. de la capacidad y el desempeo
4.Asegurar el servicio continuo
5.Garantizar la seguridad del sistema
6.Identificacin y asignacin de costos
7.Capacitacin de usuarios
8.Soporte a los clientes de TI
9.Admistracin de la configuracin
10.Administracin de problemas e
incidentes
11.Administracin de datos
12.Administracin de Instalaciones
13.Administracin de Operaciones
Req. Informacin
Efectividad, Eficiencia,
Confidencialidad,
Integridad, Disponibilidad,
Cumplimiento,
Confiabilidad
Recursos de TI
Datos, Aplicaciones
Tecnologa, Instalaciones,
Recurso Humano
Prestacin de
Servicio y Soporte
Tomar en consideracin que ahora se tiene COBIT 5
Planeacin y
Organizacin
1. Definir un plan estratgico de TI

2. Definir la arquitectura de informacin
3. Determinar la direccin tecnolgica
4. Definir la organizacin y relaciones de TI
5. Manejo de la inversin en TI
6. Comunicacin de la directrices
Gerenciales
7. Administracin del Recurso Humano
8. Asegurar el cumplir requerimientos
externos
9. Evaluacin de Riesgos
10. Administracin de Proyectos
11. Administracin de Calidad
Adquisicin e
Implementacin
1. Identificacin de soluciones
2. Adquisicin y mantenimiento de SW aplicativo
3. Adquisicin y mantenimiento arquitectura TI
4. Desarrollo y mantenimiento de Procedimientos
de TI
5. Instalacin y Acreditacin de sistemas
6. Administracin de Cambios
51
Controles de aplicacin
Son los controles embebidos en los programas para prevenir o detectar

transacciones no autorizadas.
Combinadas con controles manuales contribuyen al aseguramiento de la

integridad, validez y registro adecuado de la informacin.
Algunos Ejemplos:
Balanceo de transacciones (reconciliaciones detectando errores en la
entrada de datos)
Dgitos de chequeo
Listas predefinidas (Precios, Materiales, Proveedores)
Limites de rangos o de valores.
52
Relacin : Controles Generales Relacionados con la Tecnologa

y Controles de aplicacin
La relacin entre los controles
de aplicacin y los controles
generales relacionados con la
tecnologa es tal que los
Controles Generales son
normalmente necesarios para
soportar el funcionamiento de
los controles de aplicacin, y
ambos son normalmente
necesarios para asegurar el
procesamiento completo y
preciso de informacin.
Cambios en los programas.
Centro de datos y operaciones de red.
Seguridad de accesos.
Adquisicin, desarrollo y mantenimiento de
programas (sistemas)
Adquisicin, cambios y mantenimiento

de aplicaciones.
53

Informacin y Comunicacin representa el proceso
por medio del cual se asegura que la informacin
relevante es identificada y comunicada de manera
adecuada y oportuna a todo el personal de la
entidad.
INFORMACION Y COMUNICACION
54

El Monitoreo es el proceso que evala la calidad del
desarrollo del Control Interno en el tiempo, mediante una
evaluacin continua de los controles, tomando las
acciones correctivas necesarias.
Monitoreo Ongoing
Actividades regulares de la administracin
Corroboracin de informacin (interna vs externa)
Estructura organizacional apropiada
Actividades de supervisin de las funciones de
control
Verificacin de informacin
Informacin de auditores (externos e internos)
Reuniones peridicas
Auto control
Evaluaciones Separadas
Efectividad del Sistema de Control Interno
Efectividad de los procedimientos ongoing
Informacin de deficiencias
MONITOREO
Ongoing: trmino tcnico que significa estar actualmente en proceso,

en continuo movimiento, hacia delante
55
Beneficios COSO ERM
Permite a la Direccin de la empresa poseer una visin global del riesgo y accionar
los planes para su correcta gestin.
Posibilita la priorizacin de los objetivos, riesgos clave del negocio, y de los

controles implantados, lo que permite su adecuada gestin. Toma de decisiones
ms segura, facilitando la asignacin del capital.
Alinea los objetivos del Grupo con los objetivos de las diferentes unidades de
negocio, as como los riesgos asumidos y los controles puestos en accin.
Permite dar soporte a las actividades de planificacin estratgica y control interno.
Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas

prcticas de Gobierno Corporativo.
Fomenta que la gestin de riesgos pase a formar parte de la cultura del Grupo.
56
Beneficios COSO ERM
Reducir sorpresas y prdidas operativas
Proveer respuestas integradas a riesgos mltiples.
Aprovechar las oportunidades
La gestin de riesgos proporciona rigor para identificar los riesgos y seleccionar

entre las posibles alternativas de respuestas a ellos: mitigar, transferir, aceptar o
evitar.
57
Limitaciones de COSO ERM
COSO ERM no garantiza que la entidad ser exitosa y lograr todos sus objetivos
Limitaciones:
Cambios en polticas o programas del Gobierno
Competencia
Condiciones econmicas
Malas decisiones
Errores y equivocaciones
Gerentes incompetentes
Omisin o debilitamiento de control interno, colusin, ignorar el ERM
ERM no refleja una adecuada relacin costo-beneficio.
Transgregacin Gerencial: Un gerente puede eludir intencionalmente las prcticas

establecidas debido a fines inadecuados (inobservancia gerencial a las polticas o
procedimientos prescritos).
Colusin: Dos o ms personas pueden colaborar para quebrar controles

(confabulacin).
58
Mitos sobre COSO ERM
Es un cralo-todo con el que se pueden tomar decisiones basados en informacin

100% confiable y basada en informacin sin margen de error.
Slo sirve para catalogar o tomar un inventario de todos los riesgos que afectan a
una organizacin.
Con l, las auditoras sern infalibles.
ERS es sobre seguros
Es un proceso independiente y aislado del resto de la organizacin
Cuesta demasiado implementarlo
59
1.3.6. Nuevo marco de Control Interno COSO

2013
El paso 14 de mayo del 2013, se public la actualizacin de COSO I.
No ha sido una labor breve, El Committe ha efectuado las siguientes etapas:
2010. Evaluacin y encuestas a las partes interesadas.
2011. Diseo y estructura marco actualizado
2012. Exposicin pblica, evaluacin y mejoras
2013. Finalizacin.
De los 5 componentes de Control Interno no varan con respecto al Marco Original publicado en el
1992, sin embargo, los principios y puntos de enfoque han sufridos cambios claves en cada uno de
los componentes, esto a fin de mejorar y facilitar la implantacin y mantenimiento. A continuacin
se detallan los cambios:
Se aplica un enfoque basado en 17 principios
Aclara la necesidad de establecer los objetivos estratgicos como condicin previa a la fijacin de los objetivos de
Control Interno.
Refleja la relevancia incrementada de la Tecnologa de Informacin.
Fortalece los conceptos de Gobierno Corporativo.
Ampla el objetivo de reporte financiero, pasando a ser reporte en general.
Fortalece la consideracin de las expectativas contra el fraude
Considera los diferentes modelos de negocio y estructuras organizacionales.

60
Ral Gonzlez Carrin CISA , IA ISO27001 , ABCP , COBIT , MASIE

2013
A continuacin se detalla los 17 principios con los que se implementa un adecuado

Control Interno, relacionndolos con sus correspondientes elementos:
Entorno de Control
1.
La Organizacin ha de demostrar su compromiso con la integridad y los valores ticos.
2.
El Consejo de Administracin debe demostrar independencia en la gestin y ejercer la supervisin del

desarrollo y ejecucin del control interno.
3.
La alta direccin debe establecer, con la supervisin del Consejo de Administracin: la estructura,
lneas de reporting, autoridad y responsabilidad en la consecucin de objetivos.
4.
En sinfona con los objetivos, la Organizacin debe demostrar su compromiso para atraer, desarrollar,
y retener personas competentes.
5.
En la consecucin de los objetivos, la Organizacin debe disponer de personas responsables para

atender sus responsabilidades de Control Interno.
61

2013
6.
La Organizacin ha de especificar los objetivos con suficiente claridad para permitir la identificacin y
evaluacin de riesgos relacionados.
7.
La Organizacin debe identificar y evaluar sus riesgos.
8.
La Organizacin gestionar el riesgo de fraude.
9.
La Organizacin debe identificar y evaluar los cambios importantes que podran impactar en el Sistema
de Control Interno.
10.
La Organizacin ha de seleccionar y desarrollar actividades de control que contribuyan a la mitigacin

de los riesgos para el logro de sus objetivos.
11.
La Organizacin seleccionar y desarrollar Controles Generales sobre la Tecnologa de la

Informacin.
12.
La Organizacin implementa sus actividades de control a travs de polticas y procedimientos

adecuados.
62

2013
Informacin y Comunicacin
13. La Organizacin ha de generar la informacin relevante para respaldar el funcionamiento de los otros
componentes del Control Interno.

14. La Organizacin compartir internamente la informacin, incluyendo los objetivos y responsabilidades
para el control interno, necesaria para respaldar el funcionamiento de los otros componentes del
Control Interno.
15. La Organizacin comunicar externamente las materias que afecten al funcionamiento de los otros
componentes de Control Interno.
Actividad de Monitoreo
15.
La Organizacin llevar a cabo evaluaciones continuas e individuales, con el fin de comprobar si los
componentes del control interno estn presentes y estn funcionando.
16.
La Organizacin evala y comunica las deficiencias del control interno.
63

2013
Se destaca que para la evaluacin de riesgos se ha incluido los conceptos de: velocidad y
persistencia de los riesgos como criterios para evaluar la criticidad de los mismos:
Velocidad del riesgo: rapidez con la que impacta un riesgo en la organizacin una vez se ha
materializado , es decir, hace referencia al ritmo con el que se espera que la entidad experimente el
impacto.
Persistencia de un riesgo: duracin del impacto despus de que el riesgo se ha materializado.
Modificacin de Roles y Responsabilidades de los participantes del proceso (CEO ,

CFO, tipos de Comits por Campos de Accin, Otros participantes a parte de los
Auditores Externos Medio Ambiente, Comercio Justo, Seguridad Laboral, Proveedores Externos).
El nuevo COSO no nos obligar a introducir cambios inesperados en los

procedimientos de Control Interno aplicables en las Organizaciones, pues lo que
esta nueva edicin representa la materializacin formal de los cambios que
evolutivamente se haban observado necesarios introducir para hacer eficientes el
Control Interno de nuestras empresas, sin olvidar la inter-relacin que existe entre
el denominado COSO II (ERM) y el COSO I, que ahora se ve explcitamente
reconocida.
64
1.4. Riesgo y Control
65
1.4.1. Riesgo
Cualquier asunto
que podra evitar
alcanzar los
objetivos
66
1.4.1. Riesgo (cont)

En el sentido ms amplio significa:
Exposicin a la adversidad
frente a un resultado esperado o deseado
67

Segn Glosario:
Riesgo Es la posibilidad de que ocurra un acontecimiento que tenga un impacto en
el alcance de los objetivos. El riesgo se mide en trminos de consecuencias y
probabilidad.
Riesgo Residual Son los riesgos que permanecen despus de que la Direccin
haya realizado sus acciones para reducir el impacto y la probabilidad de un
acontecimiento adverso, incluyendo las actividades de control en respuesta de un
riesgo.
Interpretacin acadmica
Es una medida de incertidumbre que involucra el logro de los objetivos institucionales,
lo que incluye las consecuencias y probabilidad de que un evento negativo ocurra.
68

Segn diccionario.
Es la posibilidad o proximidad de un peligro o contratiempo //
cada uno de los hechos
desafortunados que puede cubrir un seguro // conjunto de
circunstancias que pueden
disminuir el beneficio empresarial// estar expuesto a que se
frustre el resultado deseado o a padecer alguna desgracia.
El riesgo es por si mismo una condicin de la existencia, es

inherente a cualquier recurso o actividad; por ello el riesgo no
se crea ni se destruye; solo se transforma
69

El problema como contingencia del riesgo
La gama de riesgos que se enfrentan en una entidad depende, entre otros,
de los siguientes factores:
El volumen de los recursos.
La complejidad de las actividades.
Estructura organizativa.
Magnitud de recursos y productos.
Giro de la empresa.
Nivel de tecnificacin alcanzado.
Lapso y momento evolutivo de la entidad.
Marco competitivo nacional e internacional.
La velocidad con que se desenvuelve la entidad.
70

DIFERENCIAS ENTRE PROBLEMAS Y RIESGOS
Caractersticas
Problema
Riesgos
Latencia en el tiempo
Temporal
Permanente
Controles insuficientemente aplicados Detectivos y correctivos Preventivos
Posibilidad de medicin
Existencia
Elemento generador
Ms cuantificable
Real
Agentes externos e
internos
Menos cuantificable
Posible
Por naturaleza
Asignacin de prioridad a su estudio y De acuerdo a

tratamiento
emergencia
Segn experiencia e
intuicin
Posibilidad de anlisis para

identificacin de causas y
repercusiones
Mayor
Menor
Evidencia
Momento de aparicin
Existente
Presente
Inexistente
Futuro
71

RIESGOS AGRUPADOS POR NIVEL JERRQUICO
Hechos / Causas
Riesgos / Efectos
Directivo
Indecisin
Desconocimiento del entorno
Desconocimiento de la entidad
Imprecisin organizativa
Estancamiento de la entidad
Sanciones legales
Inaplicabilidad de directrices
Conflicto interfuncional
Gerencial
Descoordinacin
Desvaloracin
Irresponsabilidad
Desinformacin econmica
Desactualizacin
Desestandarizacin
Descalificacin
Desorientacin
Incompetencia
Desacato
Desconocimiento
Deshosnetidad
Desinters
Desobligacin
Ineficiencia
Desmotivacin
Fuga de recursos
Incosteabilidad
Especialista
Inaplicabilidad
Discontinuidad
Inoperabilidad
Incompatibilidad
Incosteabilidad
Operativo
Conflicto operativo
Errores
Fraude
Merma
Accidentes
72
1.4.2. Riesgo Algunos conceptos

APETITO DE RIESGO: nivel de riesgo que una organizacin est
preparada para aceptar, tolerar o soportar en un momento

determinado de tiempo (cuantitativo o cualitativo).
EVALUACIN DE RIESGOS: actividades para determinar el nivel
de exposicin de un proceso frente a sus riesgos. Esto con el

propsito de desarrollar estrategias de mitigacin, a travs de la
instauracin y fortalecimiento de controles. Los riesgos pueden ser
operacionales, estratgicos, de reporte, regulatorios o cumplimiento
y de gobierno.
73
1.4.2. Riesgo Algunos conceptos

ADMINISTRACIN
DEL RIESGO: La cultura, procesos y

estructuras para administrar efectivamente eventos potencialmente
negativos. (Como no es posible eliminarlos totalmente, el objetivo es
reducirlos a un nivel aceptable).
74
1.4.3. Riesgo Tipos

RIESGO INHERENTE: nivel de riesgo propio de la actividad,
sin tener en cuenta el efecto de los controles.

Fallas
Efecto en
los
recursos
Riesgo
Inherente
75
1.4.3. Riesgo Tipos

RIESGO RESIDUAL: nivel resultante del riesgo despus de
aplicar los controles.

Riesgo
Inherente
Controles
Riesgo
Residual
76
1.4.4. Control
CONTROL: mecanismo que permite atenuar el riesgo
inherente, con el fin de disminuir la probabilidad de ocurrencia

y/o el impacto en caso de que dicho riesgo se materialice.
Caractersticas de los controles:
Estn embebidos en las operaciones

del negocio.
Estn enfocadas en prevencin,
deteccin o correccin.
Pueden ser manuales o automticos.
Ejemplos: backups, mecanismos de
seguridad, planes de evacuacin.
77
1.4.5. Control - Tipos

Se disean para cumplir varias funciones:
Preventivos: Anticipan eventos no deseados antes de que
sucedan.
Detectivos: Identifican los eventos en el momento en que
se presentan.
Correctivos: Aseguran que las acciones correctivas sean
tomadas para revertir un evento no deseado.
78
1.4.5.1 Control - Preventivo

Son ms rentables
Deben quedar incorporados en los
sistemas
Evitan costos de correccin o reproceso
79
1.4.5.2 Control - Detectivo

Son ms costosos que los preventivos
Miden la efectividad de los preventivos
Algunos errores no pueden ser evitados en la etapa
preventiva
Incluyen revisiones y comparaciones (registro de
desempeo)
Conciliaciones, confirmaciones, conteos fsicos de
inventarios,
anlisis
de
variaciones,
tcnicas
automatizadas,
Lmites de transacciones, passwords, edicin de
reportes y auditora interna.
80
1.4.5.3 Control - Correctivo

Acciones y procedimientos de correccin (la
recurrencia)
Documentacin y reportes que informan a la
Gerencia, supervisando los asuntos hasta que
son corregidos o solucionados
81
1.4.6. Control: Manual | Automtico

Manuales: Controles que son efectuados fuera de
cualquier aplicativo de TI (ej.: Control manual de

acceso al centro de cmputo)
Automticos: Controles automticos encontrados en
todos los tipos de ambientes, sin tener en cuenta la

plataforma tecnolgica, el aplicativo o sistema que
est siendo usado (ej.: validaciones, clculo, interfaz
entre aplicaciones, reportes, accesos).
82
1.4.7. Riesgo y Control Visin del Riesgo

Pasado
El monitoreo de riesgo es un funcin
exclusiva de los auditores internos.

El riesgo es un factor negativo a ser
controlado
Los riesgos son administrador en forma
aislada.
Presente y futuro
El monitoreo de riesgo es responsabilidad
de todos.
El riesgo puede considerarse tambin como
una oportunidad.
Los riesgos son administrados a travs de
un proceso integrado.
La medicin de riesgos es subjetiva
El riesgo es casi siempre cuantificado.
Las funciones de administracin de riesgos
La administracin de riesgos es
no estn estructuradas y son divergentes.
La revisin de riesgos se realiza
peridicamente por auditora interna.
implementada dentro de una estructura

integrada.
La revisin de riesgos acontece a travs de
auto evaluacin constante.

83
1.4.8. Riesgo y Control Metodologa de

Gestin de Riesgos
Fuente: COSO ERM
84
1.4.9. Derivados del Proceso de

Administracin de Riesgos
1.
Mapa de Procesos (vinculado con los objetivos corporativos)
2.
Inventario de Riesgos (general y detallado por procesos).
3.
Anlisis sobre Impacto Probabilidad (votacin).
4.
Mapa de Riesgos.
5.
Matriz de Administracin de Riesgos (controles a implementarse para:

evitar, reducir, compartir o aceptar el riesgo)
85
1.4.10. Mapa de Procesos Ejemplo de una

compaa que lleva una red de pagos
Fuente: Deloitte.
86

compaa comercial
Fuente: Deloitte.
87

compaa minera
Procesos
estrategico
Procesos
CORE
Procesos
de
gerenciami
ento y
soporte
Planeacin estrategica -
Adquisicin de
Productos y
Servicios
Produccin y
explotacin de
minas
Administracin de
inventarios y
control de
produccin
Logstica y
fletes
Ventas y
facturacin
Recursos humanos
Contabilidad y reportes financieros
Tesorera
Tecnologa
Jurdica fiscal y tributaria
Medio ambiente salud y seguridad industrial
Activos fijos e inversiones
Fuente: Deloitte.
88

empresa de microfinanzas
89
1.4.14. Inventario de Riesgos Ejemplo de

una compaa que lleva una red de pagos
Fuente: Deloitte.
90
1.4.15. Inventario de Riesgos Ejemplo de

una empresa de microfinanzas
91
1.4.16. Modelo de Riesgos: Fuente Protiviti.
92
1.4.17. Modelo de Riesgos: The Risk Map

Deloitte & Touche
Fuente: Deloitte.
93
1.4.18. Categoras de Riesgos del IIA.
Fuente: IIA
94
1.4.18. Categoras de Riesgos del IIA.
Fuente: IIA
95
1.4.19. Categoras de Riesgos: Fuente

Deloitte & Touche
Fuente: Deloitte.
96
1.4.20. Procesos de votacin - Probabilidad

Ejemplo de criterios para definir la PROBABILIDAD de ocurrencia
Criterio
5. Esperado
4. Muy Probable
3. Probable
Descripcin
En la ausencia de cualquier control puede ocurrir desfalco o
errores severos en el ao o periodo.
En la ausencia de cualquier control, es muy probable que ocurra
desfalco o errores por lo menos una vez al ao o periodo.
En la ausencia de cualquier control, es probable que ocurra
desfalco o errores por lo menos una vez al ao o periodo
2. No Probable
En la ausencia de cualquier control, es baja la probabilidad de que

el desfalco o errores ocurran por lo menos una vez al ao o
periodo.
1. Leve
En la ausencia de cualquier control, no se espera el desfalco o los

errores en los prximos 1-2 aos o periodo.
Fuente: Deloitte.
97
1.4.21. Procesos de votacin - Impacto

Ejemplo de criterios para determinar el IMPACTO
Criterio
5. Crtico
Duracin
Impacto potencialmente
irreparable
4. Significativo Recuperable a largo plazo
3. Alto
Recuperable a corto plazo
2. Moderado Temporal
1. Bajo
Regulaciones y
requerimientos estatutarios
Fraude
Inhabilitado para cumplir con las

El fraude a nivel ejecutivo tiene un impacto material
regulaciones y requisitos estatutarios. directo a la organizacin y tambin al declive del
Prdida de concesin y/o prdida del precio accionario, el deterioro de la reputacin, el
negocio.
impacto legal y regulatorio, etc.
Significativos esfuerzos son
El fraude por lo empleados, agentes, vendedores u
necesarios para cumplir con
otras personas tiene un impacto directo a la
regulaciones y requisitos estatutarios. organizacin o a las unidades comerciales
Las multas son materiales y acarrean deteriorando la reputacin, impacto legal y regulatorio,
el deterioro de la reputacin.
etc.
Muchos recursos son necesarios para
cumplir regulaciones y requisitos
No es potencialmente susceptible al fraude
estatutarios. Gran distraccin para la
organizacin.
Algunos recursos son necesarios para
cumplir regulaciones y requisitos
estatutarios. Gran distraccin para la
organizacin.
Impacto limitado
Fuente: Deloitte.
98
1.4.22. Procesos de votacin - Evaluacin

Evaluacin
A
B
C
D
E
Probabilidad de ocurrencia
Esperado
5
Muy Probable
4
Probable
3
No Probable
2
Leve
1
BxF
AxH
CxI
Dx J
DxF
CxF
Actividad
1
2
3
4
5
6
Impacto
F
G
H
I
J
Crtico
Significativo
Alto
Moderado
Bajo
5
4
3
2
1
Calificacin
20
15
6
2
10
15
http://www.sivagroup.co/
99
1.4.22. Procesos de votacin - Evaluacin

1. Tormenta de ideas sobre riesgos y oportunidades
2. Identificar de raz las causas y las correlaciones
3. La mejor forma es tener sesiones de facilitacin
4. Calcular el impacto del riesgo usando la misma medida de los objetivos
5. Calcular los escenarios mnimo, mximo y probable
6. Preparar un programa de riesgo
7. Priorizar riesgos y oportunidades basados en su valor ponderado
8. Identificar los riesgos clave que requieren atencin estratgica
Tormenta de ideas
Peso/Clculo
Priorizar
Fuente: Deloitte.
100
1.4.23. Mapa de riesgos

Alta
I
M
P
A
C
T
O
Alto impacto
Alto impacto
Baja probabilidad
Alta probabilidad
Bajo (Riesgo)
Bajo impacto
Baja probabilidad
Baja
Riesgo (Alto)
Riesgo (medio)
Riesgo
(Medio)
Bajo impacto
Alta probabilidad
PROBABILIDAD
Alta
101
1.4.23. Mapa de riesgos

Posibilidad de que la
magnitud del Riesgo afecte
el cumplimiento de los
objetivos o la eficacia de
las estrategias de la
compaa
5
Riesgos
clave
Impacto
4
3
Nivel de exposicin para

que un riesgo se
materialice, considerando
la estructura de control
actual de la compaa
2
1
1
Riesgos no aceptables
Probabilidad
102
1.4.24. Matriz de riesgos Ejemplo de una

empresa de microfinanzas
103

empresa de comercial
Fuente: Deloitte.
104

compaa que lleva una red de pagos
Fuente: Deloitte.
105
1.4.27. Mapa de riesgos Ejemplo de un

mapa de riesgos IIA
Fuente: IIA
106

mapa de riesgos IIA
Fuente: IIA
107
1.4.27. Mapa de riesgos Ejemplo de un mapa de

riesgos de seguridad de la informacin
Fuente: Deloitte.
108
1.4.27. Mapa de riesgos Ejemplo de un mapa de

riesgos corporativos
Fuente: Deloitte.
109

mapa de riesgos de continuidad
Fuente: Deloitte.
110
2. GESTIN DE RIESGOS DE
TI
2.1. Algunos conceptos de Riesgos Tecnolgicos
111
2.1.1. Riesgos Tecnolgicos - Antecedentes

Riesgo tecnolgico: Su medicin como prioridad para el aseguramiento del
negocio
El empleo de la tecnologa es una de las decisiones ms comunes en la eleccin de
estrategias, incrementando la dependencia al uso de informacin electrnica

dentro de las organizaciones.
La tecnologa deja de ser un miembro pasivo y se convierte en un elemento
importante para la operacin de los negocios.
112
2.1.2 Relacin de la tecnologa con los

procesos de negocio
Para tener mayor claridad la relacin
del riesgo tecnolgico con el negocio,

se observa el flujo existente en la
figura, en la que se detallan los
vnculos directos entre los
componentes de la tecnologa, los
procesos, el logro de objetivos, el
cumplimiento de metas y hasta la
satisfaccin de los stakeholders.
Fuente: Gustavo A. Sols Montes, (CobiT User Convention-CobiT y la

113
administracin de riesgos).
2.1.3. Riesgos Tecnolgicos

La tecnologa se vuelve parte de la operacin y su funcionamiento no puede
aislarse de los dems elementos del proceso.

Todos los integrantes en conjunto tienen un solo objetivo.
Sin embargo, como en todo proceso, existe el factor llamado riesgo
El riesgo est presente en la tecnologa y como se puede observar en la siguiente
figura 2, est inmerso dentro de la operacin del negocio.
114
2.1.4. Distribucin de los riesgos Riesgo

Tecnolgicos

115
2.1.5. Riesgo tecnolgico Definicin

Riesgo tecnolgico: es aquella posibilidad de que ocurra un
evento relacionado con la tecnologa y que afecte
adversamente el logro de los objetivos del negocio.
Existen algunas guas o bases que se

pueden utilizar sobre los riesgos
tecnolgicos, como la que proporciona el
ITGI (Information Technology Governance
Institute). Aunque:
Depende de las caractersticas de cada una de las

compaas,
El tipo de tecnologa que est utilizando.
Procesos a los que sta est relacionada dentro de
la operacin.
(sin ser stos los nicos existentes, ya que dependen de

la operacin de cada empresa y de la constante
innovacin tecnolgica que existe).
116
2.1.6. Afectacin de la tecnologa con el

ambiente de control
Controles automticos
Controles Generales
Relacionados con la
Tecnologa
Fuente: Deloitte & Touche

117
2.1.8 Tipo de eventos de riesgos con los aspectos

de tecnologa relacionados (ejemplos)
Tipo de evento
Aspecto de TI
Fraude Interno
Manipulacin deliberada de los programas

Uso no autorizado de funciones para modificacin de programas.
Manipulacin deliberada de las instrucciones del sistema
Manipulacin deliberada del hardware
Cambios deliberados a los sistemas y aplicaciones por medio de
accesos internos no autorizados.
Uso indebido de software no autorizado o sin licencia
Evasin interna de los privilegios de acceso
118

Tipo de evento
Aspecto de TI
Fraude externo
Cambios deliberados a los sistemas y aplicaciones mediante

accesos externos no autorizados
Obtencin de acceso por parte de intrusos hacia documentos
fsicos o electrnicos
Evasin externa de los privilegios de acceso
Intercepcin de los canales de comunicacin
Contraseas comprometidas
Virus
Contratacin y
lugar de trabajo
Divulgacin de informacin sensitiva hacia terceros por parte de

los empleados
Administracin de proveedores
119

Tipo de evento
Aspecto de TI
Dao a activos
fsicos
Daos intencionales o accidentales a la infraestructura fsica de

tecnologa de informacin
Interrupcin del
negocio y fallas
en los sistemas
Mal funcionamiento de hardware o software

Fallas en las comunicaciones
Sabotaje de los empleados
Prdida de personal clave de tecnologa
Destruccin de archivos de datos o software
Robo de software o informacin sensitiva
Virus computacionales
Fallas en los respaldos de informacin
Ataques para denegar el servicio
Errores en la configuracin
120

Tipo de evento
Aspecto de TI
Administracin
de procesos,
ejecucin y
entrega
Errores en la manipulacin de datos electrnicos

Estaciones de trabajo sin atencin
Errores al realizar cambios
Entradas de datos incompletas a las transacciones del sistema
Errores de entrada o salida de datos
Errores de programacin o de pruebas
Errores de operacin
Errores de procesamiento manual
Fuente: ISACA, The IT Dimension of Basel II
121
2.1.9. Administracin de riesgos

La decisin de incorporar tecnologa en los procesos
del negocio, trae consigo la decisin de administrar el
riesgo tecnolgico correspondiente
quien no arriesga, no gana
122
2.1.9. Administracin de riesgos

Existen dos factores que no deben pasarse por alto al hablar de riesgo:
impacto (efectos que pueda tener para el negocio); y,
probabilidad (posibilidad de que ocurra el evento);
La combinacin de estos factores proporcionarn un panorama sobre las
consecuencias que pudiera llegar a sufrir el negocio.

Anlisis de riesgos. Es la etapa en la que se recopila la informacin acerca de la
exposicin de la operacin al riesgo tecnolgico, con el fin de tomar decisiones y
administrar los riesgos de forma apropiada.
123
2.1.10. Proceso de administracin de riesgo

124
2.1.11. Tratamiento de riesgo
125
2.1.12. Efecto esperado de las acciones de

tratamiento

126
2.1.13. Medicin de un riesgo tecnolgico

Para medir un riesgo tecnolgico es importante:
Cualitativo: magnitud de las consecuencias relacionadas con el riesgo
Cuantitativo: cantidad de ocurrencias relacionadas con el riesgo
Con cada una se puede hacer la medicin y determinar los valores que
proporcionen la severidad del impacto y la probabilidad de ocurrencia.

Con la administracin del riesgo se podr dar un tratamiento a cada uno de los
casos que se presenten, con base en su impacto y probabilidad.

Sin embargo, hay que preguntar:
quin va a medir los riesgos tecnolgicos? Y de quin es la responsabilidad?
127

La participacin de los stakeholders dentro de la medicin
del riesgo tecnolgico debe ser una prioridad para el
negocio?
Quiz la respuesta sera, si se trata de riesgos de tecnologa, que la responsabilidad
es de las reas de Tecnologas de Informacin (TI); aunque, surge otra pregunta
cmo va a determinar el personal de TI la magnitud del impacto al proceso de
negocio y a los objetivos de la empresa?, porque a pesar de formar parte de la
operacin, no conforma todo el proceso.
Por eso la participacin de los stakeholders dentro de la medicin del riesgo
tecnolgico debe ser una prioridad para el negocio, con la finalidad de identificar
con claridad los riesgos, las consecuencias, las actividades requeridas para su
administracin, as como medir y determinar la prdida (en nmeros), en caso de
que se materialice el riesgo.
128

Importancia de la participacin de los stakeholders:
Encuesta realizada por el ITGI a 200 profesionales de TI, en 14 pases
(incluyendo el continente americano), de la totalidad de encuestados:
Slo en 37% de las compaas, los stakeholders de las

unidades de negocio participan en el proceso de
administracin de riesgos tecnolgicos.
129
TI
2.2. Principales marcos para la Administracin de Riesgos
de TI
130
2.2. Principales marcos para la

Administracin de Riesgos de TI
COBIT Control Objectives for Information and related Technology (ISACA).
ISO 27005 Gestin del Riesgo en la Seguridad de la Informacin.
AS/NZS 4360 [Australia/Estndares Nueva Zelanda]
IT Risk (ISACA).
MAGERIT - Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin
(Gobierno de Espaa).
OCTAVE - Operational Critical Threat, Asset and Vulnerability Evaluation - Evaluacin de
Amenazasy Vulnerabilidades de Recursos Crticos Operacionales (Carnegie Mellon

University).
NIST National Institute of Standards and Technology; Risk Management Guide for Information
Technology Systems.
131
TI
132

Qu es?
El riesgo operativo es la posibilidad de ocurrencia de prdidas financieras
por eventos derivados de fallas o insuficiencias en los procesos, personas,

tecnologa de informacin y por eventos externos.
El riesgo operativo incluye el riesgo legal en los trminos establecidos en la
norma. (fallas o deficiencias en el cumplimiento de las disposiciones legales)

El riesgo operativo no trata sobre la posibilidad de prdidas originadas en
cambios inesperados en el entorno poltico, econmico y social.
133
Resolucin No JB-2005-834 de 20 de octubre del 2005

Factores del Riesgo Operativo
Con el propsito de que se minimice la probabilidad de incurrir en prdidas
financieras atribuibles al riesgo operativo, deben ser adecuadamente administrados

los siguientes aspectos, los cuales se interrelacionan entre s:
Factores de Riesgo
Definir criterios
Procesos
Identificar riesgos
Analizar riesgos
Evaluar riesgos
Monitorear y Revisar
Eventos Externos
Comunicar y Consultar
Tecnologa de
Informacin
Personas
Etapas de la
Administracin del
Riesgo Operativo
Mitigar riesgos
134

Factores del Riesgo Operativo [Procesos]
Con el objeto de garantizar la optimizacin de los recursos y la estandarizacin de
las actividades, las instituciones controladas deben contar con procesos definidos
de conformidad con la estrategia y las polticas adoptadas, que debern ser
agrupados de la siguiente manera:
Procesos gobernantes o estratgicos.
Procesos productivos, fundamentales u operativos.
Procesos habilitantes, de soporte o apoyo.
135

Ejemplo de una compaa comercial
136

Ejemplo de una compaa comercial
137

Ejemplo de una compaa minera
Procesos
estrategico
Procesos
CORE
Procesos
de
gerencia
miento y
soporte
Planeacin estrategica -
Adquisicin de
Productos y
Servicios
Produccin y
explotacin de
minas
Administracin de
inventarios y
control de
produccin
Logstica y fletes
Ventas y
facturacin
Recursos humanos
Contabilidad y reportes financieros
Tesorera
Tecnologa
Jurdica fiscal y tributaria
Medio ambiente salud y seguridad industrial
Activos fijos e inversiones
138

Las polticas deben referirse por lo

menos a:
informacin:
tipo de proceso (gobernante, productivo y de
1. diseo claro de los procesos.

2. descripcin en secuencia lgica y ordenada
de las actividades, tareas, y controles;

3. determinacin de los responsables de los
procesos.
4. difusin y comunicacin de los procesos.
5. actualizacin y mejora continua.
apoyo),
nombre del proceso,
responsable,
productos y servicios que genera el proceso,
clientes internos y externos,
fecha de aprobacin,
fecha de actualizacin,
adems de sealar si se trata de un proceso
crtico.
Las instituciones controladas debern

mantener inventarios actualizados de
los procesos existentes, que cuenten,
como mnimo con la siguiente
139

Factores del Riesgo Operativo [Personas]
Identificar apropiadamente las fallas o insuficiencias asociadas al factor personas,
tales como:
falta de personal adecuado,
negligencia,
error humano,
nepotismo de conformidad con las disposiciones legales vigentes,
inapropiadas relaciones interpersonales y ambiente laboral desfavorable,
falta de especificaciones claras en los trminos de contratacin del personal,
entre otros.
Se deber definir formalmente polticas, procesos y procedimientos que contemplen:

Procesos de incorporacin
Procesos de permanencia
Procesos de desvinculacin
140

Factores del Riesgo Operativo [Tecnologa de Informacin]
Contar con la tecnologa de informacin que garantice la captura, procesamiento,
almacenamiento y transmisin de la informacin de manera oportuna y confiable;

Evitar interrupciones del negocio; y,
Lograr que la informacin, inclusive aquella bajo la modalidad de servicios provistos
por terceros, sea ntegra, confidencial y est disponible para una apropiada toma
de decisiones.
141

Factores del Riesgo Operativo [Tecnologa de Informacin]
Se debe definir formalmente polticas, procesos y procedimientos que aseguren la
adecuada planificacin y administracin de la tecnologa de informacin, se debe

considerar al menos lo siguiente:
Soporte adecuadamente los requerimientos de operacin actuales y futuros de la entidad.
Satisfagan los requerimientos de la entidad.
Que el sistema de administracin de seguridad satisfaga las necesidades de la entidad para salvaguardar
la informacin contra el uso, revelacin y modificacin no autorizados, as como daos y prdidas.

Garantizar la continuidad de las operaciones.
Garantizar que el proceso de adquisicin, desarrollo, implementacin y mantenimiento de las aplicaciones
satisfagan los objetivos del negocio.
Garantizar que la infraestructura tecnolgica que soporta las operaciones, sea administrada, monitoreada
y documentada de forma adecuada.
Seguridad en canales electrnicos
Cajeros automticos
Puntos de venta
Banca electrnica
Banca mvil
Sistemas de audito respuestas
Corresponsales no bancarios
142

Factores del Riesgo Operativo [Eventos Externos]
En la administracin del riesgo operativo, las instituciones controladas deben
considerar la posibilidad de prdidas derivadas de la ocurrencia de eventos ajenos a

su control, tales como:
fallas en los servicios pblicos,
ocurrencia de desastres naturales,
atentados y
otros actos delictivos,
Los cuales pudieran alterar el desarrollo normal de sus actividades. Para el efecto,
deben contar con planes de contingencia y de continuidad del negocio.
143

Factores del Riesgo Operativo [Resumen]
Internos
Eventos Externos
Inversin en Tecnologa
Desarrollo de sistemas
Proveedores
Seguridad en los sistemas

Capacidad/Fallas
Desastres naturales
Atentados
Procesos
Tecnologa de
informacin
Tasas o plazos
Procesamiento de
transacciones
Documentacin
Fraude de
empleados
Leyes laborales
Falta de personal
clave
Personas
144

Administracin del riesgo operativo
El diseo del proceso de administracin de riesgo operativo deber permitir
Identificar
Medir
Controlar
Monitorear
Exposiciones
145
TI
146
El Risk Intelligence Map es una recopilacin de situaciones (QUE) que pueden existir
en una organizacin, pueden existir ms.
La estructura del Risk intelligence Map se deriva de COSO ERM.
Fuente: Deloitte.
147
Fuente: Deloitte.
148
Fuente: Deloitte.
149
TI
2.5. Revisin marco COBIT 4.1
150
Evolucin
Fuente: ISACA.ORG
151
Relacin entre marcos y normas
Fuente: ISACA.ORG
152
Dnde encaja COBIT?
Fuente: ISACA.ORG
153
Procesos de Tecnologa de la Informacin COBIT

COBIT establece los procesos de gestin de la Tecnologa de la Informacin.
Estos procesos permiten realizar todas las actividades necesarias para lograr
efectividad y eficiencia en las operaciones de Tecnologa de la Informacin.

Adicionalmente, provee un modelo de madurez para identificar la situacin de la
Gestin de Tecnologa de la Informacin.
154
Marco de Trabajo COBIT

El Marco de Trabajo COBIT fue creado con las siguientes caractersticas
principales:
Enfocado al Negocio
Orientado a Procesos
Basado en Controles
Dirigido por Mediciones
COBIT es el acrnimo de Control Objectives for Information and related Technology.
155
COBIT: Premisa
El marco de trabajo COBIT est basado en la premisa que la tecnologa de la
informacin debe entregar la informacin que la empresa requiera, para alcanzar

sus objetivos.
El Marco de Trabajo COBIT ayuda a alinear la tecnologa de la informacin con el
negocio, enfocndose en los requerimientos de informacin del negocio y

organizando los recursos de TI. COBIT provee el marco de referencia y la gua para
implementar el gobierno de TI
Fuente: ISACA.ORG
156
COBIT: Principio
El Principio del Marco de Trabajo COBIT; es unir las expectativas que la alta
direccin tiene de tecnologa con las responsabilidades administrativas. El objetivo,

es facilitar el Gobierno de TI para entregar valor mientras se administran sus
riesgos tecnolgicos.
Fuente: ISACA.ORG
157
Marco de Trabajo COBIT 4.1

Como Marco de referencia de control y gobierno para TI, COBIT se enfoca en dos
reas claves:
Proveyendo la informacin requerida para soportar los objetivos y requerimientos
de la organizacin.
Tratando la informacin como resultado de la aplicacin combinada de recursos
relacionados con TI que necesitan ser administrados por procesos De TI.
Criterios de informacin
Efectividad
Eficiencia
Procesos de TI
Confidencialidad
Integridad
Requerimientos de
la organizacin
Disponibilidad
Enfoque de control
Confiabilidad
Conformidad
Consideraciones
Fuente: ISACA.ORG
158
Cubo COBIT 4.1

COBIT describe el ciclo de vida de TI con la ayuda de cuatro dominios:
Planear y Organizar
Adquirir e Implementar
Entrega y Soporte
Monitorear y Evaluar
Procesos son series de actividades con lmites de control naturales. Existen 34
procesos a travs de cuatro dominios. Estos procesos especifican lo que el negocio

necesita para cumplir sus objetivos. La entrega de informacin es controlada por los
34 procesos de TI.
Actividades son acciones que son requeridas para alcanzar resultados medibles.
Incluso, las actividades tienen ciclos de vida e incluyen muchas tareas discretas.
Fuente: ISACA.ORG
159
COBIT 4.1
Fuente: ISACA.ORG
160
Cubo COBIT 4.1: Dominios de TI

Planear y Organizar(PO)
Objetivos:
Formular estrategias y tcticas
Identificar como la TI puede contribuir a alcanzar los objetivos de la
organizacin.
Planear, comunicar y administrar la realizacin de la visin estratgica.
Implementar la infraestructura organizacional y tecnolgica.
Enfoque:
Estn la TI y la organizacin estratgicamente alineados?
Est logrando la organizacin un ptimo uso de sus recursos?
Todo mundo en la organizacin entiende los objetivos de TI?
Los riesgos de TI estn siendo entendidos y administrados?
La calidad de los sistemas de TI es apropiada para las necesidades de
la organizacin?
161

Adquirir e Implementar (AI)
Objetivos:
Identificar, desarrollar o adquirir, implementar e integrar las soluciones de
TI.
Cambios y mantenimiento de los sistemas existentes.
Enfoque:
Los nuevos proyectos entregarn soluciones que satisfagan las
necesidades de negocio?
Los nuevos proyectos se entregarn a tiempo y dentro del
presupuesto?
Funcionarn los nuevos sistemas apropiadamente cuando se
implementen?
Los cambios sern hechos sin afectar las actuales operaciones de
negocios?
162

Entrega y Soporte (DS)
Objetivos:
El proceso de entrega de los servicios requeridos.
La administracin de la Seguridad, continuidad, datos e instalaciones
operativas.
Servicio de soporte para usuarios.
Enfoque:
Los servicios de TI son entregados de acuerdo a las prioridades
institucionales?
Los costos de TI estn optimizados?
La fuerza laboral es capaz de utilizar los sistemas TI de forma
productiva y segura?
Son adecuadas la confidencialidad, integridad y disponibilidad de los
sistemas?
163

Monitorear and Evaluar (ME)
Objetivos:
Administracin del Desempeo
Monitoreo del Control Interno
Garantizar el cumplimiento regulatorio
Proveer gobierno de TI
Enfoque:
El desempeo de TI es medido para detectar problemas antes que sea
demasiado tarde?
La administracin asegura que los controles sean efectivos y
eficientes?
Puede vincularse el desempeo de TI a las metas de negocio?
Los riesgos, controles, incumplimientos y desempeo son medidos y
reportados?
164
Modelo de Madurez de COBIT
Nivel de Efectividad y Cumplimiento
Grado de Supervisin de la Gerencia

Nivel de Confianza en los Controles
Sofisticacin de las Actividades de Monitoreo
Estado empresarial actual
Estndar internacional
Mejor prctica en la industria
Estrategia empresarial
Nivel de Documentacin y Concientizacin
0 El proceso no es realizado.
1 El proceso es realizado sin planificacin.
2 El proceso se realiza siguiendo un patrn regular.
3 El proceso est documentado y comunicado.
4 El proceso es monitoreado y medido.
5 Las prcticas lderes son seguidas y automatizadas.
165
COBIT 5
Fuente: ISACA.ORG
166
Principales diferencias entre COBIT 4.1 y

COBIT 5
Existe un nuevo Dominio (ahora son 5), que se enfoca en aspectos de Gobierno de TI, denominado EDM Evaluar, Dirigir &
Monitorear y que cubre el antiguo proceso ME4 de COBIT 4.
La cantidad de procesos se ha incrementado de 34 a 37
Si bien los objetivos de control que corresponden a cada proceso de COBIT 4, se mantienen mayoritariamente dentro del
mismo Dominio, existen excepciones como las siguientes:
PO10 Administrar los proyectos, pas al Dominio BAI.
AI5 Procurar recursos de IT, pas al Dominio APO.
DS1 Definir y Administrar los niveles de servicio, pas al Dominio APO.
DS2 Administrar los servicios de Terceros, pas al Dominio APO.
DS3 Administrar el desempeo y la capacidad, pas al Dominio BAI.
DS6 Identificar y asignar costos, pas al Dominio APO.
DS7 Educar y Entrenar a los usuarios, pas al Dominio APO.
En el dominio APO Administrar, Planear y Organizar, se observa mayor reorganizacin interna de los objetivos de control,
es decir que un antiguo proceso de COBIT 4, ahora puede estar distribuido como parte de hasta 5 procesos del mismo
dominio en COBIT 5.
El proceso DS12 Administrar el Ambiente Fsico ahora forma parte del DSS5 Gestionar los Servicios de Seguridad
Existen nuevos procesos cuyo contenido es en su mayora producto de COBIT 5, como mencionamos
EDM1 Definir el Framework para el Gobierno
APO1 Definir el Framework para el Administracin
APO4 Gestionar Innovacin
APO13 Gestionar Seguridad (tambin hay un Proceso DSS05 Gestionar los Servicios de Seguridad)
BAI8 Gestin del Conocimiento

Fuente: ISACA.ORG
167
COBIT 5: Principios
COBIT 5 permite que la informacin y la tecnologa

relacionada pueda ser gobernada y administrada de
manera integral para toda la empresa, teniendo en
cuenta los intereses relacionados con TI de las partes
interesadas internas y externas.
Los 5 principios de COBIT y los facilitadores son de
carcter genrico y til para las empresas de todos
los tamaos, ya sea comercial, sin fines de lucro o en
el sector pblico.
Fuente: ISACA.ORG
168
TI
2.6. Metodologa para realizar un anlisis de riesgos de
Confidencialidad, Integridad y Disponibilidad
169
Objetivos
Brindar los conceptos bsicos relacionados con el
anlisis de riesgos de los activos de informacin
electrnica
Presentar la Metodologa de Anlisis de Riesgos
170
La seguridad informtica no es un esfuerzo

de una sola vez
IT Governance Institute, 2005
171
2.6.1. Conceptos bsicos

Activo de informacin : en medio electrnico, magntico, ptico, papel u otro que
almacena o procesa informacin
172
2.6.1. Conceptos bsicos

Inventario de activos de informacin electrnica:
Existen diferentes enfoques para obtener un inventario de activos de informacin
Especficamente nos interesa un inventario que permita relacionar:
Proceso de la compaa
Activo de la informacin
Tipo de activo
Dueo
Nivel de impacto por prdida de:
Confidencialidad
Integridad
Disponibilidad
173
2.6.2. Metodologa de Anlisis de Riesgos

Enfoque normativo
Las actividades a realizar se han definido con base en el
estndar ISO27001:2005
Porqu basarse en este estndar?
Conocer el nivel de seguridad existente en la informacin de

la compaa
Tener suficientes elementos para abordar inversiones futuras

siguiendo no slo criterios de capacidad sino tambin de
seguridad.
Provee un modelo para establecer y administrar un sistema

de gestin de la seguridad de la informacin (ISMS) efectivo
174

Enfoque normativo
PHVA
PDCA
175

Enfoque normativo
PLAN: Establecer el ISMS:
Definir el alcance del ISMS
Definir una poltica de ISMS
Definir un enfoque de anlisis de riesgos
Identificar los riesgos
Analizar y evaluar los riesgos
Identificar y evaluar las opciones de tratamiento de riesgos
Seleccionar los objetivos de control y los controles para el tratamiento de riesgos
Obtener la aprobacin del riesgo residual
Autorizar la implementacin y operacin del ISMS
Preparar una declaracin de aplicabilidad
Actividades de Anlisis de Riesgos que permiten identificar

los requerimientos de seguridad de la informacin del negocio
ISMS: Information Security Management System
176

La metodologa
La metodologa de evaluacin de riesgos es la siguiente:
FASE III:
FASE I:
Identificar y calificar
los activos de
informacin
FASE II:
Identificar y evaluar
los riesgos
Identificar y
seleccionar
alternativas de
tratamiento de los
riesgos
Fuente: Deloitte.
177

FASE I: Identificar y calificar activos de informacin
Esta fase se realiza por procesos de negocio de la compaa.
Mediante la realizacin de entrevistas con los dueos de la
informacin se ejecutan las siguientes actividades:
Obtener entendimiento de los procesos
Identificar la informacin necesaria para el desarrollo de los
procesos y la informacin generada por las actividades que
componen los procesos.
Identificar los activos de informacin que almacenan o
procesan la informacin identificada.
Determinar el nivel cualitativo (o cuantitativo) de impacto
asociado a la Confidencialidad, Integridad y Disponibilidad
para cada activo.
178

Se califica el nivel de impacto por prdida de confidencialidad, integridad y
disponibilidad para cada uno de los criterios:
Financiero prdidas
econmicas para la
compaa.
Eficiencia del proceso

Reejecucin o ejecucin
lenta de los procesos de
negocio.
Servicio al cliente
Afectacin de la imagen o
de la calidad del servicio a
los clientes de la compaa.
179

Los dueos de la informacin califican el nivel de impacto en una escala de 1 a 5,
siendo:
5 la calificacin ms alta (mayor impacto)
1 la calificacin ms baja (menor impacto)
Las calificaciones se promedian y se obtiene una calificacin nica por activo
Nivel de Impacto (1-5)
Activo
Confidencialidad
promedio
Integridad
promedio
Disponibilidad Calificacin
promedio
promedio
Activo 1
4.33
1.33
2.89
Activo 2
2.33
3.11
3.33
3.67
4.00
Activo n
180

Fuente: Deloitte.
181

La calificacin numrica se convierte a una escala de Alto, Medio y
Bajo
Las calificaciones de los activos de informacin electrnica puede
asimilarse como un fenmeno que sigue un modelo normal de
distribucin de probabilidad.
182

Con base en este hecho se clasifican los activos:
Clasificacin
Calificacin de impacto
Alto
Mayor o igual a +
Medio
Mayor a
Menor a +
Bajo
Menor o igual a -
: Media
: Desviacin estndar
Para cada uno de los activos que obtienen una clasificacin de impacto Alto se
ejecutan las Fases II y III de la metodologa que se definen en lminas siguientes.
183

Cuestionario identificacin de activos
Fuente: Deloitte.
184

Fuente: Deloitte.
185

Fuente: Deloitte.
186

Fuente: Deloitte.
187

Formulario 1 - Inventario de Activos de informacin por proceso con clasificacin
188

La metodologa
La siguiente fase es Identificar y evaluar los riesgos:
FASE III:
FASE I:
Identificar y calificar
los activos de
informacin
FASE II:
Identificar y evaluar
los riesgos
Identificar y
seleccionar
alternativas de
tratamiento de los
riesgos
189

FASE II: Identificar y evaluar los riesgos
El primer objetivo de esta etapa es la identificacin de

vulnerabilidades que pueden ser explotadas por una fuente
de amenaza para cada uno de los activos de informacin.
Para la identificacin de vulnerabilidades del sistema se

define y aplica de una lista de chequeo de requerimientos de
seguridad.
El tipo de vulnerabilidad varia dependiendo de la naturaleza

del activo.
190

Lista de Chequeo de Controles: Contiene los estndares bsicos
de seguridad y se utiliza para evaluar e identificar
sistemticamente las vulnerabilidades asociadas a los activos.
Son controles relacionados con:
Seguridad administrativa
Seguridad operativa
Seguridad tcnica
Es esencial mantener actualizadas las listas de chequeo para

reflejar cambios en el ambiente de control de una organizacin.
191

La valoracin del impacto de una vulnerabilidad se realiza utilizando la siguiente
clasificacin:
Nivel
Definicin
Alto
La explotacin de la vulnerabilidad
(1) puede causar una prdida, de alto costo, de importantes activos
y/o recursos tangibles
(2) puede violar, daar o impedir significativamente la misin, la
reputacin o los intereses de la organizacin
(3) puede causar muerte de personas o lesiones severas.
Medio
(1) puede causar la prdida costosa de los activos y/o recursos

tangibles
(2) puede violar, daar o impedir la misin, su reputacin o los
intereses de la organizacin
(3) puede causar lesiones en personas.
Bajo
(1) puede causar la prdida costosa de algunos activos y/o recursos

tangibles
(2) puede afectar perceptiblemente la misin, su reputacin o los
intereses de la organizacin.
192

Se deben identificar las amenazas y sus fuentes
Una amenaza es una posible accin que se ejecute para

explotar exitosamente una vulnerabilidad de un activo.
Dicha accin puede ser ejecutada de forma accidental o

intencional por un ente denominado fuente de amenaza
Se debe considerar toda amenaza que en determinado

momento podra causar dao a la informacin electrnica y a
su ambiente de procesamiento
193

Amenazas y fuentes de amenazas humanas comunes:
Fuente
Motivacin
Amenaza
Hacker, cracker
Reto, ego, rebelin
Hacking, ingeniera social, intrusin

de sistemas.
Criminales de la
computadora
Destruccin de informacin,
inters monetario, alteracin
no autorizada de datos.
Crimen informtico, accin

fraudulenta, soborno, spoofing.
Terroristas
Blackmail, destruccin,
explotacin, venganza.
Bomba, guerra industrial, ataque a

los sistemas, penetracin del
sistema.
Espionaje
industrial
Ventaja competitiva,
espionaje econmico
Robo de informacin, ingeniera

social, intrusin de la privacidad
personal.
Infiltrados
(empleados
deshonestos o
despedidos)
Curiosidad, ego, inteligencia,

inters monetario,
venganza.
Abuso de computadoras, fraude,

robo, ingreso de informacin
falsificada, cdigo daino, venta de
informacin.
194

Para establecer la probabilidad de amenaza que indique el

nivel de aprovechamiento de una vulnerabilidad se
consideran los siguientes aspectos:
Motivacin y capacidad de la fuente de amenaza.
Existencia y efectividad de los controles existentes.
Naturaleza de la vulnerabilidad a explotar.
195

Existencia de controles
rea de
Seguridad
Criterios de Seguridad
Seguridad
Administrativa
Segregacin de funciones
Continuidad
Capacidad de respuesta a incidentes
Investigaciones del personal y sus referencias
Capacitacin tcnica y de seguridad
Asignacin de funciones
Plan de seguridad de aplicacin o sistema
Seguridad
Operativa
Control de contaminantes aerotransportados

Controles de suministro elctrico
Acceso y disponibilidad de los medios de datos
Distribucin y etiquetado externos de los datos
Proteccin de instalaciones
Controles ambientales
Estaciones de trabajo, porttiles y computadores personales
Seguridad
Tcnica
Comunicaciones
Criptografa
Control de acceso discrecional
Identificacin y autenticacin
Deteccin de intrusos
Reutilizacin de Objetos
Auditora de Sistemas
196

La clasificacin de la probabilidad de la amenaza se realiza de acuerdo con la
siguiente clasificacin:
Nivel
Alta
Condiciones
La fuente de amenaza est altamente motivada y es
suficientemente capaz
Los controles para prevenir que la vulnerabilidad sea
explotada son inefectivos.
Media La fuente de amenaza est motivada y tiene la

capacidad
Los controles son adecuados y pueden impedir el xito
en la explotacin de la vulnerabilidad.
Baja
La fuente de amenaza tiene una escasa motivacin y

capacidad
Los controles son adecuados para prevenir, o al menos
impedir significativamente, que la vulnerabilidad sea
explotada
197

El riesgo se puede expresar en funcin de:

La magnitud de impacto producido si una fuente de
amenaza explota con xito la vulnerabilidad
La probabilidad de que una fuente de amenaza procure
aprovechar una vulnerabilidad identificada
La aceptabilidad del riesgo consiste en establecer los riesgos

para los que deben ejecutarse acciones de tratamiento.
Para cada uno de los riesgos que obtienen una clasificacin

Inaceptable se ejecuta la fase final de la metodologa
198

La clasificacin de los niveles de riesgo se realiza de acuerdo con la siguiente
clasificacin:
Impacto
Probabilidad
Bajo
10
Medio
50
Alto
100
Alta
1.0
Bajo
10
Medio
50
Alto
100
Media
0.5
Bajo
5
Medio
25
Medio
50
Baja
0.1
Bajo
1
Bajo
5
Bajo
10
Bajo: 1 a 10
Medio: 11 a 50
Alto: 51 a 100
Fuente: Deloitte.
199

La ejecucin de acciones de tratamiento y su oportunidad dependen del nivel de
riesgo:
Nivel
Acciones Necesarias
Alto
Hay una necesidad fuerte de tomar acciones de

tratamiento.
Se debe ejecutar un plan de accin a corto plazo.
Medio Las acciones de tratamiento son necesarias y se debe
desarrollar un plan para incorporar estas acciones
dentro de un perodo de tiempo razonable
Bajo
Debe determinarse si las acciones de tratamiento son
requeridas o se acepta el riesgo.
Fuente: Deloitte.
200

La aceptabilidad de un riesgo se define en funcin del nivel de riesgo tambin.
Aceptabilidad
Criterio
Accin
Riesgo no
aceptable
Nivel de riesgo
mayor a 50 (Riesgo
Alto)
Se deben aplicar
opciones de
tratamiento del riesgo
Riesgo
aceptable
Nivel de riesgo
menor o igual a 50
(Riesgo Medio o
Bajo)
No se deben aplicar
opciones de
tratamiento del riesgo
Fuente: Deloitte.
201

Formulario 2 - Matriz de Amenazas - Vulnerabilidades - Riesgo
Fuente: Deloitte.
202

La metodologa
La fase final es identificar y seleccionar alternativas de tratamiento de los riesgos:
Identificar y
calificar los
activos de
informacin
Identificar y
evaluar los
riesgos
Identificar y
seleccionar
alternativas de
tratamiento de
los riesgos
203

FASE III: Seleccin de opciones de tratamiento de riesgos
Identificacin de opciones de tratamiento de riesgos para

cada uno de los riesgos considerados como inaceptables.
Se analizan la viabilidad y la eficacia de las opciones de

tratamiento de riesgo a aplicar
Seleccionar la opcin ms apropiada para la reduccin del

riesgo a un nivel tolerable.
204

Opciones de mitigacin del riesgo
Mitigar
Transferir
Implementar
controles
(mitigar/reducir)
Compartir,
asociacin con
alguien.
Por ejemplo.
Definir,
implementar
controles
apropiados para
reducir la
probabilidad o el
impacto del riesgo
Por ejemplo,
compartir el riesgo
con socios o
transferirlo
mediante cobertura
de seguro, acuerdo
contractual u otros
medios.
Aceptar
Evitar
Monitorear
Eliminar
Reconocer
formalmente la
existencia del
riesgo y
monitorearlo.
Por ejemplo, donde

sea factible,
escoger no
implementar ciertas
actividades o
procesos que
generen un riesgo
(es decir, eliminar
el riesgo al eliminar
la causa)
205

Identificacin y seleccin de controles
Definir los controles a implementar que podran mitigar los
riesgos identificados como inaceptables.

Consultar en la norma ISO27001 el inventario de los
posibles controles a implementar.

Seleccionar los controles a implementar en conjunto con los
dueos de la informacin de la compaa.
206

Factores a considerar al seleccionar los controles
207

El inventario de los posibles controles a implementar se
encuentra definido en la norma ISO27001.

La actividad de seleccin de los controles requiere la
participacin activa de los dueos de la informacin de la

compaa.
Se seleccionan controles:
Preventivos y detectivos
Tcnicos y Operacionales
Siguiente paso: priorizar e implementar los controles
seleccionados
208

Formulario 3 - Tratamiento de riesgos de nivel inaceptable
Fuente: Deloitte.
209
2.7. Continuidad del Negocio como parte de

la evaluacin de riesgos
Plan de recuperacin ante desastres PRD (DRP - Disaster
Recovery Planning):
Es un plan enfocado a TI diseado para restablecer la operabilidad de
un sistema objetivo, aplicacin o facilidades de cmputo en un sitio
alterno despus de una emergencia. Aplica a eventos mayores,
usualmente catastrficos que evitan el acceso a las instalaciones
principales por un periodo extendido de tiempo.
Fuente: Contingency Planning Guide for Information Technology
System
National Institute of Standards and Technology (NIST)
Planeacin de la continuidad del negocio (PCN BCP)
(I)
Tiene como objetivo proteger personas, activos y operaciones del
negocio.
(II) Busca garantizar la supervivencia de las actividades crticas de la
compaa ante un escenario de desastre.
PROCESO
Fuente: Disaster Recovery Institute International - DRII

Fuente: Deloitte.
210

Continuidad de negocio es ms que tecnologa
La no disponibilidad de un proceso de negocio se genera por la prdida total o parcial
de uno o ms de los siguientes elementos:
Personas
PROCESO
Servicios Terceros
Tecnologa
Informacin Fsica
Infraestructura
Fuente: Deloitte.
211

Escenarios que pueden afectar un proceso
Dependencia de personal clave para el desarrollo
del proceso
No acceso a las aplicaciones / sistemas de

informacin centrales que son clave para
desarrollar el proceso.
No disponibilidad de plataforma tecnolgica local
crtica para el desarrollo del proceso.
Personas
PROCESO
No disponibilidad de proveedores crticos para el
proceso
No disponibilidad de clientes crticos para temas
de tecnologa
Servicios Terceros
Informacin Fsica
Prdida o destruccin de informacin fsica
relevante para la ejecucin del proceso.
Tecnologa
Infraestructura
Prdida y destrucc in de las instalaciones

donde se lleva a cabo el proceso
No ac ceso a las instalaciones principales
donde se ejec uta el proc eso.
Fuente: Deloitte.
212

Aunque continuidad hace parte de la evaluacin de riesgo operativo, es necesario
identificar el riego operativos y el riesgo de continuidad:
Evento
Riesgo de
Continuidad
Interrupcin de las comunicaciones de la oficina
Imposibilidad de acceder a las instalaciones fsicas

del banco
Virus masivo en el personal (pandemia)
Cada del autorizador central
Destruccin del centro de cmputo
Riesgo
Operativo
Error en el Registro de operaciones en el sistema
Fraude
Operaciones inusuales o sospechosas
Sanciones legales o de regulacin
Fuente: Deloitte.
213

la evaluacin de Perodo
riesgos
en Contingencia
Operacin Normal
del Negocio
10 : 01....
7:30 - 10:00
Desarrollo del PCN
Pruebas
Interrupcin de
la Operacin
De sistemas
PRTI y PRPs
Ultimo backup
Operacin
Movilizacin / Restauracin funciones y
sistemas
crticos
Punto objetivo de
Recuperacin (RPO)
Restablecimiento
de la Operacin
De Sistemas y
Funciones del
Negocio
Tiempo objetivo de
Recuperacin (RTO)
Fuente: Deloitte.
214
Manejo de Crisis
Recuperacin de TI
Administracin
Conocimiento
Administracin de la
Calidad
Salvaguarda y Salud
Administracin de
Suministros
Fuente: Deloitte.

Respuesta a la
Emergencia
Gestin de la
Continuidad del Negocio
Recuperacin de
procesos
Visin integral de la Gestin de la Continuidad del Negocio:
Administracin de
Riesgos
215

Ciclo de vida de la GCN, segn el BCI:
La Gua de Buenas Prcticas GBP2010 todava abarca las

seis fases del ciclo de vida de la GCN pero ahora los
interrelaciona ms directamente a lo que se ha definido
como Prcticas Profesionales (PP). Las seis PPs estn
subdivididas en dos Prcticas de Gestin y cuatro
Prcticas Tcnicas:
Prcticas de Gestin
Poltica y Gestin del Programa
Integracin de la GCN en la Cultura Organizacional
Prcticas Tcnicas
Entendimiento de la organizacin
Determinacin de la Estrategia GCN
Desarrollo e Implementacin de la Respuesta GCN
Ejercicios, Mantenimiento y Revisin
Fuente: Gua de Buenas Prcticas. BCI 216

ISO 22301:2012
Es el nuevo estndar internacional para sistemas de gestin de

continuidad de negocio (BCMS)
BS 25999 se cre para establecer un punto de referencia uniforme
en buenas
prcticas, satisfaccin de las necesidades de los clientes, gobierno,
reguladores y otras partes interesadas. BS 25999 ha sido
aceptada en todo el mundo y ha sido la base de muchos otras
normas, y ha sido el material de partida para la creacin de la ISO
22301.
ISO 22301 especifica los requisitos para planificar, establecer,

implementar, operar, supervisar, revisar, mantener y mejorar
continuamente un sistema de gestin documentado para prepararse,
responder y recuperarse de los eventos no esperados que puedan surgir.
ISO 22301 establece lo siguiente:
Mayor nfasis en la definicin de objetivos, seguimiento, rendimiento
y mtricas;
Expectativas claras sobre la gestin de continuidad;
Cuidadosa planificacin y preparacin de los recursos necesarios
para garantizar la continuidad del negocio;
217

la
evaluacin
de
riesgos
Norma de referencia Continuidad del Negocio:
218
2.8. Norma PCI Introduccin

Payment Card Industry (PCI)
Tras una serie de violaciones de seguridad de alto perfil al utilizar tarjetas de pago
por los consumidores, estos se encuentran cada vez ms preocupados por la
seguridad de sus datos personales y financieros, y por ende del riesgo de fraude.
Impulsado por la necesidad de tranquilizar a los titulares de tarjetas, la industria ha

desarrollado la norma de seguridad de datos (PCI DSS), como una norma mnima
para todas las organizaciones que procesan, almacenan o transmiten datos de las
tarjetas.
En el mercado se ofrecen un conjunto completo de servicios para brindar la

seguridad necesaria y los procesos de gestin de fraude necesarios para su
cumplimiento, as como cubrir las necesidades actuales que pueden limitar el
impacto de la aplicacin versus los requisitos de la norma.
219
2.8. Norma PCI - Por qu?
Demostrar a los clientes que la administracin est tomando seriamente la

seguridad de la informacin, se tienen controles implementados y efectivos en la
transacciones que se generan por tarjetas de crdito y dbito.
Reflejar confianza para atraer futuros clientes, brindando una imagen robusta y
competitiva a nivel corporativo.
Demostrar que los controles operativos son correctamente controlados.
Ofrecer exencin de penalidades, tarifas o multas que puedan surgir luego de un

incidente de seguridad, proveyendo los controles adecuados donde corresponda y
las acciones apropiadas consecuentes.
Incrementar la conciencia de seguridad dentro de las organizaciones.
Aumentar la eficiencia y el ahorro en los potenciales costos de TI debido a los

requerimientos del DSS (ej. a travs del incremento de refuerzos administrativos,
controles de anti-virus, administracin de seguridad de usuario,etc.)
220
2.8. Norma PCI Haciendo una realidad
www.pcisecuritystandards.org
Visa proporciona las siguientes guas:
Guas para miembros, locatarios y proveedores de servicios
Procedimientos de Auditora de Seguridad
Glosarios
Cuestionarios de Auto evaluaciones
Procedimientos de escaneos de seguridad
Visa recomienda un enfoque que:
Realice un anlisis de flujo de datos
Realice un extensivo anlisis de brechas
Defina a detalle un plan de remediacin
Como se
relaciona el
PCI?
Anlisis de
Flujo de datos
Gap Analysis
Plan de
Remediacin
Implementacin
Validacin de
cumplimiento
221
2.8. Norma PCI Cmo cumplir
PCI DSS es un estndar de seguridad que comprende doce requisitos de alto nivel y se
divide en las siguientes categoras:
Crear y mantener una red segura
Proteger la informacin del titular de la tarjeta
Mantener un programa de administracin de la vulnerabilidades
Implementar medidas robustas de control de acceso
Supervisar peridicamente y realizar pruebas en las redes donde viaja la informacin
Mantener una poltica de seguridad de la informacin
PCI DSS demanda a travs de una variedad de reas y como cualquier programa de
remediacin refiere: personas, procesos, tecnologa y controles de gobierno.
222
2.8. Norma PCI Enfoque Metodolgico

Definicin de
alcance
Validar
requerimientos
Analizar
flujo de informacin
Seleccionar QSA &

evaluar proveedores
Anlisis de
Cumplimiento
Programa de
remedicacin
Auditora
Evaluar controles
existentes
Realizar el programa
Escanear la red
Realizar el anlisis de
nivel de cumplimiento
Implementar mejoras de
seguridad
Completar la Auditora de
Pre-certificacin
Definir un programa para

cumplir con lo que falte
Validar mejoras
Apoyar en la ejeucin de
la Auditora
Administracin del programa y Control de Calidad
Fuente: Deloitte.
223
2.8. Norma PCI Enfoque Metodolgico
Los objetivos y requerimientos de control se basan en las Mejores Prcticas de seguridad de la

informacin - pero son de amplio alcance:
Seguridad en
Redes
Proteccin de
datos de
tarjetas
Administracin Control de
de
Acceso
vulnerabilidades
Monitoreo de
la red
Polticas de
seguridad
Gente:
Concientizacin y entrenamiento de seguridad, uso de polticas aceptables, seguridad fsica, etc.
Procesos:
Admon del cambio, admon de cuentas de usuarios, desarollo aplicativo seguro, admon de incidentes, admon de llaves. etc.
Tecnologa:
Firewalls, encripcin de dase de datos, IDS, parches de S.O. configuracin de servidores, etc.
Gobierno:
polticas y estndares, cumplimiento de terceras partes, monitoreo de vulnerabilidades, etc.
El patrocinio no siempre es fcil, dada la variedad de actores involucrados
Algunas habilidades pueden ser necesarios para definir el programa de trabajo

la traduccin de las deficiencias de control en los proyectos
prioridad a los proyectos
Realizar el programa puede exigir un participacin activa de todos los involucrados
Fuente: Deloitte.
224
2.8. Norma PCI Barreras habituales en la

implementacin del programa
1.
Inadecuado o insuficiente patrocinio ejecutivo
2.
Gobierno pobre / falta de rendicin de cuentas
3.
Alcances no logrables
4.
Falta de inters de los interesados
5.
Centrados en la TI con vistas hacia las personas / elementos del proceso
6.
Dbil administracin de dependencias de programas internos y externos
7.
Inadecuada planeacin y diseo
8.
Insuficiente habilidades del equipo
9.
Competencia por los recursos
10.
Falta de gestin de riesgo
11.
Mantenerse al da en los cambios de PCI DSS
12.
Cambios dinmicos en el uso de la TI en la Institucin
13.
Interpretacin de requerimientos
14.
Subestimar la remediacin requerida / plazos no realsticos

Fuente: Deloitte.
225

La norma ISO/IEC 38500:2008 se public en junio de 2008, basndose en la norma
australiana AS8015:2005. Es la primera de una serie sobre el Gobierno de TI.
Su objetivo es proporcionar un marco de principios para que la direccin de las
organizaciones los utilicen al evaluar, dirigir y monitorear el uso de las tecnologas de
la informacin (TI's).
226

Alcance, aplicacin y objetivos
La norma se aplica al gobierno de los procesos de gestin de la TI en todo tipo de
organizaciones que utilicen tecnologa de informacin, facilitando unas bases para
la evaluacin objetiva del gobierno de TI.
Dentro de los beneficios de un buen gobierno de TI estara la conformidad de la
organizacin con:
los estndares de seguridad
legislacin de privacidad
legislacin sobre el spam
legislacin sobre prcticas comerciales
derechos de propiedad intelectual, incluyendo acuerdos de licencia de software
regulacin medioambiental
normativa de seguridad y salud laboral
legislacin sobre accesibilidad
estndares de responsabilidad social
227

Tambin la bsqueda de un buen rendimiento de la TI mediante:
apropiada implementacin y operacin de los activos de TI
clarificacin de las responsabilidades y rendicin de cuentas en lograr los objetivos
de la organizacin
continuidad y sostenibilidad del negocio
alineamiento de las TI's con las necesidades del negocio
asignacin eficiente de los recursos
innovacin en servicios, mercados y negocios
buenas prcticas en las relaciones con los interesados (stakeholders)
reduccin de costes
materializacin efectiva de los beneficios esperados de cada inversin en TI
228

Principios
La norma define seis principios de un buen gobierno corporativo de TI:
Responsabilidad
Todo el mundo debe comprender y aceptar sus responsabilidades en la oferta o demanda de TI.
Estrategia
La estrategia de negocio de la organizacin tiene en cuenta las capacidades actuales y futuras de la TI.
Los planes estratgicos de TI satisfacen las necesidades actuales y previstas derivadas de la estrategia
de negocio.
Adquisicin
Las adquisiciones de TI se hacen por razones vlidas, basndose en un anlisis apropiado y continuo,
con decisiones claras y transparentes. Hay un equilibrio adecuado entre beneficios, oportunidades,
costes y riesgos tanto a corto como a largo plazo.
Rendimiento
La TI est dimensionada para dar soporte a la organizacin, proporcionando los servicios con la calidad
adecuada para cumplir con las necesidades actuales y futuras.
Conformidad
La funcin de TI cumple todas las legislaciones y normas aplicables. Las polticas y prcticas al respecto
estn claramente definidas, implementadas y exigidas.
Conducta humana
Las polticas de TI, prcticas y decisiones demuestran respecto por la conducta humana, incluyendo las
necesidades actuales y emergentes de toda la gente involucrada.
229

Modelo
La direccin debe gobernar la TI mediante tres tareas principales:
Evaluar
Examinar y juzgar el uso actual y futuro de la TI, incluyendo estrategias,
propuestas y acuerdos de aprovisionamiento (internos y externos).
Dirigir
Dirigir la preparacin y ejecucin de los planes y polticas, asignando las
responsabilidades al efecto.
Asegurar la transicin correcta de los proyectos a la produccin, considerando
los impactos en la operacin, el negocio y la infraestructura. Impulsar una cultura
de buen gobierno de IT en la organizacin.
Monitorizar
Mediante sistemas de medicin, vigilar el rendimiento de la TI, asegurando que
se ajusta a lo planificado.
230

Objetivos de la implantacin de la ISO 38500:
Garantizar la excelencia en los procesos de negocio y/o servicio como factor esencial del
desarrollo de la actividad empresarial, mediante el empleo de administradores y trabajadores
Idneos y debidamente calificados.
Garantizar la elaboracin y puesta en prctica de las polticas de gobernabilidad de la

empresa.
Diagnosticar los cambios organizativos y estructurales que se requieran en la empresa y

contribuir a perfeccionar los mtodos y estilos de administracin en funcin de propiciar una
mayor participacin, compromiso, espritu creativo e innovador y motivacin de todos los
dirigentes y trabajadores para la formacin de una cultura organizativa propia de la empresa.
Preparar a la empresa para que sea capaz de reaccionar con rapidez y eficiencia ante los
cambios del entorno y las demandas cuantitativas y cualitativas.
Cumplir con las leyes y regulaciones de la actividad en que se desempee.
Gestionar los riesgos de forma eficiente.
231
3. ESTNDAR INTERNACIONAL
DE AUDITORA
3.1. Norma ISA 315 Identificacin y evaluacin del riesgo
de error material a travs del conocimiento y la compresin
de la entidad y de su entorno
232
Norma ISA 315

Norma ISA 315 NIA 315 Identificacin y evaluacin del
riesgo de error material a travs del conocimiento y la

compresin de la entidad y de su entorno
Qu Podra Salir Mal?
233
Norma ISA 315 (revisin de la norma)

OBJETIVO A LOGRAR
Qu debe entender (evaluar) el Auditor?
La Entidad y su Entorno:
Factores relevantes
Naturaleza de la Entidad
Seleccin y Aplicacin Polticas
Objetivos y Estrategias y los Riesgos de
Negocios Relacionados
Medicin y Revisin del Desempeo
Financiero
Control Interno (Componentes)
234

REQUERIMIENTOS:
A. Procedimientos de evaluacin de riesgos.
El propsito es proveer una adecuada base (evidencia) para la identificacin y evaluacin de riesgos. (Se
deben de enmarcar dentro del resto de procedimientos de auditora).
Los procedimientos para la evaluacin de riesgos son:

Preguntas a la Direccin y a otro personal de la entidad (efectividad del control interno, proceso de
transacciones, polticas contables, litigios, garantas, estrategias, etc.) orientadas a identificar riesgos.
Procedimientos de revisin analtica (a nivel de compaa, de ms detalle o de ratios).
Observacin e inspeccin (lecturas de informes, visitas o centros, trazar transacciones, inspeccionar
registros, etc).
Los procedimientos se llevan a cabo mientras se obtiene el conocimiento del negocio. Otros procedimientos
tambin pueden ser tiles: preguntas a asesores legales y expertos y obtencin de informacin externa
(informes analistas, prensa, reguladores, etc.)
El auditor debe considerar la informacin obtenida en el proceso de aceptacin o continuidad del cliente, o
en el desarrollo de servicios anteriores.

La informacin obtenida de aos anteriores debe ser verificada para determinar posibles cambios.
235

B. El conocimiento de la entidad y su entorno, incluido su control interno.
El conocimiento de la entidad y su entorno consiste en los aspectos siguientes:
a)
b)
c)
d)
e)
Sector o industria, regulacin y otros factores incluido el plan de contabilidad aplicable.

Naturaleza de la entidad (direccin, propietarios, planes, estructura financiera, etc.)
La seleccin y aplicacin de polticas contables, incluyendo las razones en sus cambios e idoneidad y consistencia.
Objetivos, estrategias y riesgos relacionados con el negocio.
Medida y revisin de la actuacin de la entidad, ya sean internas (control presupuestario) o externas (analistas).
Con respecto al conocimiento del control interno la norma establece:

a)
b)
c)
d)
El auditor debe obtener conocimiento del CI relevante a su auditora.

Los controles relevantes son lo que solos o en combinacin pueden prevenir, detectar o corregir errores que afecten a
las compaas.
El conocimiento requerido del CI abarca su diseo y grado de implantacin. Para ello no es suficiente con preguntas
sino que hemos de hacer procedimientos para ver que los controles relevantes estn implantados (se usan).
El auditor debe obtener un conocimiento de los componentes del CI: del ambiente de control, procesos de identificacin
y evaluacin de riesgos, del sistema de informacin y de comunicacin, de las actividades de control y de supervisin.
236

C. Identificacin y evaluacin del riesgo de manifestaciones errneas significativas
La identificacin y evaluacin de riesgos ha de ser a nivel de estados financieros (riesgos inherentes) y a
nivel de manifestacin (transacciones, saldos de cuentas y revelaciones). Es necesario considerar tanto la

magnitud del riesgo como la probabilidad de provocar un efecto en las compaas.
Identificacin: Conocimiento del negocio (incluido control interno) y su entorno, de los controles relacionados
a los riesgos y considerando las clases de transacciones, saldos de cuentas y revelaciones en las
compaas.
Si el auditor no ha identificado riesgos no significa que no existen (significa que estn mitigados por la
seguridad de la entidad). En estos casos hay que responde igualmente al riesgo de auditora.
237

Riesgos que requieren consideracin especial:
a)
El auditor como parte de su evaluacin debe determinar, segn su juicio, que riesgos requieren especial
consideracin (se llaman significativos)
b)
Transacciones rutinarias o poco complejas son menos probables de causar un riesgo significativo ya que
tienen menor riesgo inherente. Por otro lado los riesgos del negocio son ms probables de causar un
riesgo significativo
c)
El auditor ha de considerar: fraude, riesgos econmicos, de legislacin, complejidad de transacciones,

partes relacionadas, subjetividad en estimaciones o incertidumbres, transacciones inusuales o fuera de su
normal actividad.
d)
El auditor debe evaluar el control interno relacionado con los riesgos especiales y ver si los controles
implantados estn operando
El auditor debe responder a los riesgos de carcter especial
238

Hay riesgos para los cuales los procedimientos substantivos no proporcionan una base suficiente de
evidencia (principalmente en procesos muy informatizados de compras, ventas, cobros y pagos, o en

compaas que ofrecen servicios o productos va internet).
Para estos casos el auditor debe evaluar el diseo y grado de implantacin y efectividad de los
controles de la entidad
La evaluacin de riesgos ha de revisarse durante todo el transcurso de la auditora (ej. desarrollando
pruebas sobre los controles puede detectarse que no operan efectivamente, tambin en pruebas
substantivas podemos detectar ms errores que los previstos en nuestra evaluacin inicial). En estos casos
se debe modificar la estrategia de auditora.
D. Comunicacin
El auditor debe comunicar a la Direccin los riesgos significativos identificados para los cuales no hay
controles o estos son inadecuados y las debilidades de control interno.
239

E. Documentacin
El auditor debe documentar:
a) Las conversaciones con el equipo de auditora relativas a la identificacin y evaluacin de riesgos.
b)
El conocimiento del negocio obtenido para evaluar los riesgos, las fuentes de informacin utilizadas y los
procedimientos de evaluacin aplicados.
c)
Los resultados de la identificacin y evaluacin.
d)
Los riesgos identificables, los controles relacionados a riesgos especiales o donde los procedimientos
sustantivos no son suficientes para la obtencin de la evidencia requerida.
240

FACTORES INDICATIVOS DE RIESGO SIGNIFICATIVO
Operaciones en regiones econmicamente inestables.

Operaciones expuestas a mercados voltiles.
Alto grado de regulacin compleja.
Problemas de liquidez, incluyendo prdidas de clientes importantes.
Problemas en la disponibilidad de capital y crdito.
Cambios en la industria o en la cadena de suministros.
Expansin en nuevas localidades o en nuevas lneas de negocio.
Cambios en la entidad por reorganizaciones o adquisiciones.
Entidades o segmentos de negocio que probablemente se vendern.
Alianzas complejas y joint ventures.
Transacciones fuera de balance, propuestas especiales y otros complejos contratos financieros.
Transacciones significativas con partes relacionadas.
Carencia de personal cualificado.
Cambios en personal clave incluyendo personal ejecutivo.
Debilidades en el control interno, especialmente directivos.
Instalacin de nuevos sistemas de informacin.
Investigaciones en las operaciones de la entidad por los reguladores.
Historia de errores y de ajustes de finales de periodo.
Gran nmero de transacciones no rutinarias (intercompaas) y grandes ingresos a final de ao.
Procedimientos de medicin complejos, con estimaciones e incertidumbres.
241

Generalmente, TI beneficia el Control Interno de la Entidad al habilitar a una Entidad para:
Aplicar consistentemente reglas de negocios predefinidas y realizar clculos complejos en
el procesamiento de grandes volmenes de transacciones o datos.
Mejorar la oportunidad, disponibilidad, y exactitud de la informacin.
Facilitar el anlisis adicional de la informacin.
Mejorar la habilidad de monitorear el desempeo de las actividades de la Entidad y sus
polticas y procedimientos.
Reducir el riesgo de violacin de los Controles.
Mejorar la habilidad de lograr una segregacin de funciones eficaz al implementar controles
de seguridad en las aplicaciones, bases de datos, y sistemas operativos
[ISA 315.A55]
242

La tecnologa de informacin plantea tambin riesgos especficos para el Control Interno de la entidad, por
ejemplo:
Otorgar confianza a sistemas o programas que procesan errneamente datos o procesan datos
incorrectos, o ambas cosas.
Acceder a los datos sin que se est autorizado para ello, lo que puede provocar la destruccin de
informacin o hacer movimientos en la informacin que no sean apropiados o no estn autorizados,
incluyendo la incorporacin de informacin de transacciones no autorizadas o inexistentes. Existe
un riesgo en particular, y que puede ser de trascendencia, cuando varios usuarios pueden acceder
a una base de datos comn.
Contar con privilegios de acceso ms all de los necesarios para realizar las funciones que tengan
asignadas el personal de tecnologa de informacin, con el riesgo de afectar la segregacin de
funciones.
Cambiar los datos almacenados en archivos maestros, sin que se cuente con la autorizacin
correspondiente.
Hacer cambios no autorizados a los sistemas o a los programas.
Generar fallas por no hacer los cambios necesarios en los sistemas o programas.
Intervenir manualmente, de manera inapropiada, los sistemas.
Perder, potencialmente, informacin o no poder acceder a los datos.

[ISA 315.A56]
243
Norma ISA 315 - International Standards onAuditing

Los elementos manuales en el Control Interno pueden ser ms adecuados cuando se
requiere juicio y discrecin como en las siguientes circunstancias:
Transacciones grandes, inusuales o no recurrentes
Circunstancias donde los Errores son difciles de definir, anticipar o pronosticar
En circunstancias cambiantes que requieren una respuesta de control fuera del alcance de
un Control automatizado existente
Al monitorear la efectividad de los Controles automatizados.
[ISA 315.A57]
244

Los elementos manuales en el Control Interno pueden ser menos confiables que los
elementos automatizados porque pueden ser violados o ignorados, y tambin son ms
propensos a Errores y equivocaciones simples. Por lo tanto, no puede asumirse la
consistencia de aplicacin de un elemento de Control manual.
Los elementos de Control manual pueden ser menos adecuados para las circunstancias
siguientes:
Transacciones de alto volumen o recurrentes o en situaciones donde los Errores que pueden
anticiparse o pronosticarse pueden prevenirse, o detectarse y corregirse, por los parmetros
de Control que son automatizados
Actividades de Control donde pueden disearse y automatizarse adecuadamente las maneras
especficas de realizar el Control.
[ISA 315.A58]
245

El alcance y naturaleza de los riesgos para el Control Interno varan dependiendo de la
naturaleza y caractersticas del sistema de informacin de la Entidad.
La Entidad responde a los riesgos que surgen del uso de TI o del uso de elementos
manuales en el Control Interno al establecer Controles eficaces a la luz de las
caractersticas del sistema de informacin* de la Entidad.
[ISA 315.A59]
* Un sistema de informacin tiene una infraestructura (componentes fsicos y equipos informticos), programas informticos, personal,
procedimientos y datos. Muchos sistemas de informacin hacen uso extenso de la tecnologa de informacin.
246

Controles Generales Relacionados con la Tecnologa y Controles de Aplicacin
Los dos grupos amplios de las Actividades de Control de los sistemas de informacin son:
Los Controles Generales Relacionados con la Tecnologa, los cuales son polticas y procedimientos
que se relacionan con muchas aplicaciones y sustenten el funcionamiento eficaz de los Controles de
Aplicacin ayudando a asegurar la operacin correcta continuada de los sistemas de informacin, los CG
que mantienen la integridad de la informacin y seguridad de la misma comnmente incluyen controles
sobre lo siguiente:
Centro de datos y operaciones de red
Adquisicin, cambio y mantenimiento del software de sistemas
Cambio en el programa
Seguridad de acceso
Adquisicin, desarrollo y mantenimiento del sistema de aplicacin.
Los Controles de Aplicacin, los cuales se aplican al procesamiento de las aplicaciones individuales,
generalmente operan a nivel de un proceso de negocios Estos Controles ayudan a asegurar que las
transacciones ocurrieron, se autorizaron se registraron y procesaron de manera completa y exacta.
[ISA 315.A96] [ISA 315.A97]
247
La relacin entre los controles de aplicacin y los controles generales relacionados con la tecnologa es tal
que los Controles Generales de la Tecnologa son normalmente necesarios para soportar el funcionamiento
de los controles de aplicacin, y ambos son normalmente necesarios para asegurar el procesamiento
completo y preciso de informacin.
Cambios en los programas.
Centro de datos y operaciones de red.
Seguridad de accesos.
Adquisicin, desarrollo y mantenimiento de
programas (sistemas)
Adquisicin, cambios y mantenimiento

de aplicaciones.
248
Participacin de los Especialistas de TI en

una auditora enfocada en riesgos
Las reas donde un especialista en Tecnologa de Informacin puede ser
involucrado incluyen las siguientes:
Obtener una comprensin del sistema de informacin, incluyendo evaluar el

diseo de los Controles y determinar si se han implementado.
Identificar y evaluar los riesgos, incluyendo aquellos relacionados con el
procesamiento computarizado.
Disear el plan para las Pruebas de Controles.
Disear las Pruebas de Controles.
Realizar las Pruebas de Controles.
Disear, desarrollar y usar el Anlisis Exploratorio de Datos.
Otros aspectos tcnicos de la computadora del Compromiso de Auditora.
Fuente: Deloitte.
249
DE AUDITORA
3.2. Controles Generales Relacionados con la Tecnologa
250
Controles Generales Relacionados con la

Tecnologa
Los Controles Generales Relacionados con la Tecnologa se definen como las polticas y
procedimientos que se relacionan con muchas aplicaciones y soportan el funcionamiento

efectivo de los controles de aplicacin ayudando a asegurar la operacin apropiada continua
de los sistemas de informacin.
Los Controles Generales Relacionados con la Tecnologa comnmente incluyen los controles
sobre:
Centro de datos y operaciones de red;
Adquisicin, cambio y mantenimiento del software de sistemas;
Cambio en el programa;
Seguridad de acceso; y,
Adquisicin, desarrollo y mantenimiento del sistema de aplicacin.
251

Tecnologa
Centro de datos y operaciones de red:
Consideraciones:
Actualizan los trabajos por lotes (batch jobs) la informacin producida por la entidad
usando TI utilizada dentro de los controles relevantes?
Hay aplicaciones web / con interfase web en las que los usuarios tienen acceso para
actualizar las transacciones financieras relacionadas con cuentas/revelaciones materiales?
Si una persona tiene acceso fsico a la consola, pueden circunscribirse controles de
acceso lgico para obtener acceso?
Factores de revisin:
Planeamiento de ejecucin de procesos (incluido los respaldos)
Ejecucin y control de procesos (da a da).
Hardware y Software utilizados (schedulers, consolas de monitoreo, medios de
almacenamiento, etc.)
Recursos que se encuentran en el centro de cmputos.
Respaldos de Informacin.
Control de acceso fsico.
Controles ambientales (deteccin y eliminacin de humo/fuego, fuentes alternas de poder ,
etc.).
252

Tecnologa
Adquisicin, cambio y mantenimiento del software de sistemas:
Consideraciones:
Qu tan frecuentes son las actualizaciones de seguridad liberadas por el proveedor?
Hay aplicaciones relevantes administradas por el usuario (por ejemplo, Excel)
almacenadas en los servidores?
Planificacin, instalacin, prueba y monitoreo de todos los cambios realizados sobre la
plataforma (hardware y software de base)
Instalacin de Parches
Mantenimiento y Soporte
Monitoreo y evaluacin de performance, disponibilidad y fiabilidad de la plataforma
253

Tecnologa
Cambio en el programa y adquisicin, desarrollo y mantenimiento del
sistema de aplicacin:
Consideraciones:
Tiene la entidad la habilidad para modificar el cdigo de la aplicacin, incluyendo el cdigo
que genera los informes?
Est planeando la entidad alguna liberacin significativa antes del cierre del ao fiscal?
Usa la entidad alguna forma de software de administracin de bibliotecas/libreras?
Cambios en el programa
Metodologa de cambios en las aplicaciones
Control de ambientes de pruebas y produccin
Disponibilidad de documentacin tcnica y de usuario.
Adquisicin, desarrollo y mantenimiento del sistema de aplicacin

Implementacin de aplicaciones adquiridas
Cambios en aplicaciones adquiridas
Disponibilidad de la documentacin tcnica
254

Tecnologa
Seguridad de acceso:
Consideraciones:
Se autentican los usuarios y administradores directamente en la aplicacin?
Tienen la capacidad los usuarios de acceder directamente a la base de datos fuera de la
aplicacin?
Normas, Polticas y Procedimientos de seguridad (Red, SO, Aplicaciones y BD)
Seguridad Lgica
Control de acceso a plataformas tecnolgicas
Administracin de usuarios
Respuestas ante incidentes de seguridad (virus, hacking)
255

Tecnologa
rea de los Controles
Generales Relacionados
con la Tecnologa
Seguridad de Acceso
Problemas / Riesgos que Surgen de TI
Elementos de
Tecnologa (slo
Ejemplo de Controles
para fines ilustrativos)
Los usuarios inapropiadamente crean,

eliminan o modifican las transacciones
o datos financieros dando como
resultado informacin producida por la
entidad invlida, incompleta o
incorrecta usando TI.
Aplicacin
La administracin aprueba la naturaleza

y alcance de los privilegios de acceso de
los usuarios para los accesos de los
usuarios nuevos y modificados.
Y/O
La administracin aprueba los cambios a
los privilegios de acceso asignados a los
perfiles/funciones estndar de
aplicacin.
Y/O
Los usuarios con acceso para ejecutar y
aprobar las transacciones crticas de
informacin financiera tienen
autorizacin y son apropiados.
Y/O
Se realiza un examen de accesos para
detectar y corregir los conflictos de
Segregacin de Funciones.
256

Tecnologa
con la Tecnologa
Seguridad de Acceso
Elementos de
Tecnologa (slo
Los usuarios hacen modificaciones

inapropiadas a las configuraciones,
algoritmos y programas del sistema
afectando la confiabilidad de la
informacin producida por la
entidad usando TI y/o de los
controles automatizados.
Aplicacin, Base
de Datos, Sistema
de Operacin, y
Red
El acceso es autenticado a travs de IDs y

passwords nicos de los usuarios u otros
mtodos como un mecanismo para validar
que los usuarios tengan la autorizacin para
obtener acceso al sistema. Los parmetros de
los passwords cumplen con las polticas y
estndares profesionales y/o de la compaa
(por ejemplo, longitud y complejidad mnima
del password, caducidad y bloqueo de la
cuenta).
Y/O
El acceso de nivel privilegiado (por ejemplo,
administradores del sistema, administradores
de la seguridad, acceso de emergencia, sper
usuarios) est autorizado y restringido de
manera apropiada.
Y/O
El acceso para los usuarios despedidos se
elimina de manera oportuna de acuerdo con
la poltica documentada de la compaa.
Revisin de perfiles, implementacin de
atributos y aprobacin, cambio de usuarios
con revisin y aprobacin.
257

Tecnologa
con la Tecnologa
Elementos de
Tecnologa (slo
Seguridad de Acceso
La administracin no detecta las

modificaciones inapropiadas a los
programas, algoritmos,
configuraciones, transacciones
financieras y los datos que subyacen la
informacin producida por la entidad
usando TI y/o los controles
automatizados.
Aplicacin, Base
de Datos, Sistema
de Operacin, y
Red
El registro (logeo) est dentro del sistema y

los registros (logs) son monitoreados o
auditados regularmente para detectar
actividades no autorizadas o inapropiadas.
Seguridad de Acceso
Los usuarios obtienen acceso no

autorizado directamente a los datos a
travs de la base de datos o el sistema
operativo para cambiar
intencionalmente, o sin intencin, los
datos o informes que subyacen la
informacin producida por la entidad
usando TI y/o los controles
automatizados.
Base de Datos,
Sistema de
Operacin, y Red
El acceso a los objetos/tablas/datos de la base

de datos y a los archivos/directorios sensibles
del sistema operativo est limitado al
personal autorizado, con base en sus
responsabilidades del trabajo / funcin
asignada, y es aprobado por la
administracin.
Y/O
El acceso de nivel privilegiado (por ejemplo,
administradores del sistema, administradores
de la seguridad, acceso de emergencia, sper
usuarios) est autorizado y restringido de
manera apropiada.
258

Tecnologa
con la Tecnologa
Elementos de
Tecnologa (slo
Aplicacin, Base
de Datos, Sistema
de Operacin, y
Red
Seguridad de Acceso
Los mecanismos de seguridad son

inadecuados, inefectivos o
inconsistentes debido a la falta de
polticas y estndares de seguridad
establecidos. Esto incrementa el riesgo
de acceso no autorizado afectando los
datos que subyacen la informacin
producida por la entidad usando TI y/o
los controles automatizados.
Seguridad de Acceso
El personal (interno y externo) obtiene Red

acceso no autorizado a la aplicacin o a
los datos a travs de la red e
intencionalmente, o sin intencin,
cambia los datos, programas o informes
que subyacen la informacin producida
por la entidad usando TI y/o los
Centro de Datos y
Operaciones de Red
Las polticas y estndares de seguridad de la

informacin estn documentadas, se revisan
y actualizan de manera peridica y contienen
los requerimientos apropiados de acuerdo
con las normas profesionales.
La red est configurada para segmentar las

redes internas y externas y para limitar el
acceso a las aplicaciones de internet.
Y/O
El servidor de las aplicaciones web est
configurado para validar de manera segura
las sesiones de los usuarios.
259

Tecnologa
con la Tecnologa
Adquisicin, Desarrollo
y Mantenimiento del
Sistema de Aplicacin
Cambio en el Programa
Adquisicin, Desarrollo
y Mantenimiento del
Sistema de Aplicacin
Cambio en el Programa
Elementos de
Tecnologa (slo
Los cambios en la aplicacin y en la

base de datos no estn debidamente
autorizados y probados, y la
implementacin de dichos cambios
impacta en la confiabilidad de los
controles automatizados y/o en la
confiabilidad de los datos usados para
emitir la informacin producida por la
entidad usando TI.
Aplicacin y Base
de Datos
Los cambios en la aplicacin (incluyendo la

interface y la base de datos) son aprobados y
probados de manera apropiada antes de que
se muevan al ambiente de produccin.
Los programadores u otros usuarios

promueven cambios invlidos o
inapropiados en el ambiente de
produccin sin el conocimiento de la
administracin. Esto da como resultado
modificaciones inapropiadas en los
programas, aplicaciones, algoritmos,
configuraciones del sistema y los datos
que subyacen la informacin producida
por la entidad usando TI y/o los
Aplicacin y Base
de Datos
El acceso para implementar los cambios

(incluyendo los cambios en la interface y en
la base de datos) en el ambiente de
produccin de la aplicacin est
apropiadamente restringido y segregado del
ambiente de desarrollo.
Y/O
La administracin genera un reporte del
sistema sobre los cambios en la produccin y
revisa los cambios regularmente para
averiguar que sean apropiados y aprobados
por la administracin.
260
DE AUDITORA
3.3. Controles de aplicacin
261
3.3.1. Ejemplos de controles de aplicacin

Se aplican al procesamiento de las aplicaciones individuales, generalmente operan a
nivel de un proceso de negocios. Estos Controles ayudan a asegurar que las
transacciones ocurrieron, se autorizaron se registraron y procesaron de manera
completa y exacta.
Lista de datos predefinida: el usuario solo puede seleccionar de una lista de
datos aceptables. Por ejemplo: lista de cdigos de producto con inventario

disponible.
Pruebas de lgica: control basado en rangos de datos o en pruebas
alfanumricas. Por ejemplo: edades negativas o muy altas, cantidad de dgitos de la

tarjeta de crdito.
262

Clculos: una rutina del sistema realiza procesamiento matemtico de los datos
con base en una configuracin. Por ejemplo, clculo de depreciacin, clculo de

intereses.
Controles manuales basados en tecnologa(CGI): controles hbridos donde la
tecnologa provee parte del control y el control se completa con una actividad
manual, tales como los reportes generados por el sistema de informacin que
deben ser revisados manualmente por un usuario para identificar excepciones o
desviaciones de razonabilidad. Por ejemplo: reporte de la edad de la cartera,
reporte de ventas por regional y por agente comercial.
263

Controles automticos en la aplicacin
Restricciones de acceso lgico (a travs de identificacin y password)
Validaciones de campos (de consistencia, que se impida ingresar nmeros
negativos, validaciones contra campos predefinidos p.ej. que se completan

automticamente sin intervencin del usuario, campos de opcin mltiple p.ej.
limitacin a determinados tipos de documento- o contra archivos maestros p.ej.
Clientes vlidos, proveedores vlidos, etc.-)
264

Validaciones (balanceos de totales o entre debe y haber, integridad en el
completamiento de la informacin que no se omitan campos clave)
Requerimientos de aprobacin de un tercero y no poder avanzar en el proceso sin
dicha aprobacin, requerimientos de aprobacin complejos segn condiciones

como monto o a travs de sistemas de workflow o estrategias de liberacin.
265

Validaciones y clculos contra otros archivos (p.ej. No permitir el procesamiento de
un pedido de ventas si el monto del mismo supera el lmite de crdito asignado a

dicho cliente)
266
3.3.2. Procesos del Negocio

Secuencia de actividades desarrolladas por una organizacin para procesar o tramitar
transacciones que permiten la ejecucin de una funcin propia del negocio.
Proceso 1
Insumos
Processamento
Produto
Proceso 2
Insumos
Processamento
Produto
267

Agrupar las actividades semejantes
Los procesos no se limita a un rea o departamento. Un proceso puede
pasar por mas de un rea
rea A
rea B
rea C
rea D
PROCESO
268

Los procesos de negocio es un conjunto
de:
Transacciones
Controles
Una serie de pasos, acciones o tareas a
seguir para lograr un cierto objetivo del
negocio.
Una secuencia de actividades realizadas
por una entidad para procesar las clases
de transacciones relacionadas entre s.
Contabilidad Financiera
Ingresos (RE)
Gastos (EX)
Inventario (IM)
Activo Fijo (FA)
Nmina y Personal (PR)
Tesorera (TR)
269
3.3.3. Pruebas en los procesos del

negocio
Nuestro entendimiento de los procesos de negocio de cada uno de los
procesos debe incluir:
Polticas y procedimientos
Aplicaciones y controles significativos
Entradas, procesos y salidas
Procedimientos para manejar excepciones
Controles organizacionales y sistemticos
para asegurar un nivel apropiado de
segregacin de funciones
Reportes usados o creados durante el
proceso
270
3.3.4. Cmo identificar controles?

En la mayora de las ocasiones tenemos que ir ms all de la simple definicin
del control, y no perder de vista cuales son los riesgos que queremos
minimizar.
Tenemos que entender qu hay detrs de ese control, puede ser un control
de accesos, un control que est programado en el sistema (puede estar ligado

a polticas de la empresa) y por lo tanto tiene una dependencia directa al
control de cambios de dicho sistema. Adems se podran tener controles
manuales como aprobaciones y dems
271
3.3.5. Documentar pruebas de control

Al DOCUMENTAR una prueba de Procesos de Negocio
No se trata de acumular impresiones de pantalla (print screen) de las
aplicaciones de los clientes.
Slo hay que obtener soporte de aquella documentacin que realmente nos
corrobora la existencia de un control.
En la mayora de los casos, deber de describirse el proceso y control que ha
sido probado, indicando:
Lo que se revis
Cmo y con quin se revis
Los resultados de la revisin
La documentacin soporte
Conclusin de la prueba de control
272
3.3.6. Enfoque de arriba hacia abajo

Enfoque de Arriba Hacia Abajo (top-down) :
Un enfoque eficiente para identificar los Controles Relevantes. Primero, buscamos los
Controles de Alto Nivel que utiliza la alta Administracin, despus los Controles
Detallados utilizados por los niveles ms bajos de la Administracin y por otros, segn
sea apropiado.
Beneficios del Enfoque de Arriba Hacia Abajo (top-down) :

Se identifican los controles de ms alto nivel, que creemos sern eficientes para
proporcionar Seguridad Razonable y lograr uno o ms Objetivos de Control.
Normalmente reduce el nmero de Controles a identificarse, evaluarse y probarse.
Se realizan indagaciones con los niveles ejecutivos de la administracin.
Si los Controles de Alto Nivel no son eficaces para los propsitos de la auditora, se
identifican los controles del siguiente nivel de la Administracin en los cuales ellos
confan.
273
3.3.6. Enfoque de arriba hacia abajo

Nmero de Objetivos de Control cubiertos
Controles
Ms datos, menos detalles
- Alto Nivel
- Supervisin
- Operativos
Conjunto distinto de datos,

mayor detalle
Controles detallados
transacciones especificas
3.3.7. Controles relevantes

Son aquellos controles identificados, para los Objetivos de
Control relevantes, en los cuales pretendemos confiar, si
estamos planeando:
1. Obtener Seguridad de Control o
2. Probar la eficacia operativa de los Controles.
275
DE AUDITORA
3.4. Riesgos & Controles en Procesos de Negocios
276
Proceso de Negocio : Ingresos

Administracin de
Maestro de clientes
Calculo de precio
de las ordenes
de venta
Requerimiento
del cliente
Administracin de
crdito de clientes
Desarrollo de la
solucin para el
cliente
Procesamiento de
ordenes y
Contratos
Entrega del
bien o servicio
Recoleccin,
empaque y despacho
de ordenes
Maestro de
clientes
Generacin
de la orden de venta
Maestro de
bienes o serv
Desarrollo
de la solucin
para el cliente
Entrega del
bien o servicio
Facturacin
Maestro de
precios
Riesgos clave
1
Informacin invlida e incompleta.
Personal no autorizado con acceso a actividades en el

proceso.
Registros duplicados en el sistema.
Inadecuada segregacin de funciones.
Recaudo y
cartera
Verificacin que lo vendido, sea lo entregado y lo que se

factura y recauda.
Consideraciones de controles automticos clave

1
Segregacin de funciones y personas autorizadas a cada una

de las actividades del proceso
Administracin de maestros claves del ciclo: clientes, bienes

o servicios, precios
Valdiacin de entrada en campos mandatorios en el registro

de las ordenes de venta, en la remisin de despacho y en la
factura.
Facturacin
Proceso de recibo
del pago
Administracin
del recaudo
277
Ingresos
Procesamiento
de la Cobranza
Cliente
Administracin
del Inventario
Administracin y
Procesamiento
de Pedidos
Facturacin,
Devoluciones sobre
Ventas y Ajustes
Mayor
General
Mantenimiento
Archivo Maestro
de Clientes
278
Ingresos
Pruebas principales
Validar los usuarios con acceso a las opciones crticas de ingresos. Verificacin a travs de logs de auditora
que slo los usuarios autorizados lo han realizado en el tiempo.
Validar los controles automticos establecidos en el flujo de transacciones de ingresos, tales como:
Validar los controles de retencin de pedidos debido a morosidad o lmite en el cupo de crdito.
Verificar los controles en la liberacin de las rdenes de venta retenidas.
Verificar los controles sobre la modificacin de las listas de precios.
Verificar que los precios son cargados a la factura automticamente.
Verificar que no es posible ingresar precios manualmente en los pedidos.
Validar los controles en la asignacin de porcentajes de descuento.
Validar que las facturas son alimentadas con la informacin del pedido.
Validar que el valor de los descuentos es calculado automticamente.
Verificar que la informacin de precios no pueda ser modificada directamente en la factura.
Verificar controles en devoluciones.
Verificar controles en la emisin de notas crdito y dbito.
Validar que el sistema calcula automticamente el valor de la factura.
Validar los controles en la contabilizacin de facturas.
Verificar que al ingresar el pago al sistema se actualiza automticamente la cartera del cliente.
Validar los controles de la interfaz de ingresos.
Cruzar los pedidos con las entregas y las facturas de venta, con el fin de identificar discrepancias entre estos.
Validar la integridad de datos en la maestra de clientes.
279
Ingresos
Pruebas principales
Verificar si existen saltos o duplicados en los documentos que intervienen en el flujo de transacciones de
ingresos.
Realizar el re clculo del reporte de cartera por edades.
280
Proceso de Negocio : Gastos

Requerimiento
de la persona
en la ca.
Administracin
de los
proveedores
Pago
Generacin de
la orden de compra
Creacin y
Mantenimiento
de ordenes
Verificacin /
registro de
La factura
Pago
Registro
de la factura
del proveedor
Compra de
materiales
y servicios
Recepcin del
material o
servicio
Recepcin
del bien o servicio
Maestro de
proveedores
Maestro de
materiales
Transferencia electrnica
de fondos
Riesgos clave
Personal no autorizado con acceso a actividades en el

proceso.

Administracin de maestros claves del ciclo: proveedores y

materiales
3
4
5

Inexistencia aprobacin/libreracin de orden de compra,
de la entrada al almacen, de la factura para pago y del
pago
Valdiacin de entrada en campos mandatorios en el registro

de las ordenes de compra, entrada del bien o servicio,
factura del proveedor
Pagos sin que el bien se haya recibido.
Autorizadores en la banca electrnica
Libreacin de ordenes de compra, entrada a almacen,

recepcin del servicio, facutra para pago y pago
281
Gastos
Mayor
General
Proveedor
Mantenimiento
Archivo Maestro
de Proveedores
Compras
Activos
Fijos
Administracin
del Inventario
Processing
Procesamiento
Accounts
de Cuentas
Payable
por Pagar
Procesamiento
de Gastos
Tesorera
282
Gastos
Pruebas principales
Validar los usuarios con acceso a las opciones crticas de gastos. Verificacin a travs de logs de auditora que
slo los usuarios autorizados lo han realizado en el tiempo.
Verificar los controles automticos establecidos en el flujo de transacciones de gastos, tales como:
Validar que no es posible realizar ordenes de compra a proveedores inactivos.
Revisin de controles presupuestales que impidan compras que superen el presupuesto establecido.
Validar que la orden de compra se genera a partir de una requisicin aprobada.
Validar la existencia de flujos de aprobacin de ordenes de compra a travs del sistema.
Validacin de controles sobre la modificacin de rdenes de compra ya aprobadas.
Verificacin de los controles para el recibo de mercancas y rdenes de compra como tolerancias en
cantidades, concordancia en el proveedor, entre otros.
Validar que no es posible modificar campos crticos desde la orden de compra autorizadas hasta la generacin
de la cuenta por pagar.
Validar que no es posible radicar dos veces la misma factura.
Validar que no es posible borrar una factura ya pagada.
Verificar si automticamente el sistema al cierre realiza una provisin de las rdenes de compra sin recibo y
sin factura.
Validar que una vez se realiza el pago la factura queda cancelada en el sistema.
Verificar que no es posible realizar el pago de una misma factura ms de una vez.
Validar los controles de la interfaz de gastos.
Verificar los controles en el proceso de transferencia electrnica de fondos.
283
Gastos
Pruebas principales
Cruzar las rdenes de compra cumplidas con las entradas de almacn y las cuentas por pagar generadas, con
el fin de identificar posibles diferencias.
gastos.
Validar si los proveedores que no han sido utilizados por un periodo de tiempo se revisan e inactivan.
Verificar la integridad de datos de la maestra de proveedores.
284
Proceso de Negocio Activos Fijos

General ledger
Aprobacin del
Capex (presupuesto)
Adquisicin
del activo
Creacin de la orden interna

Activo en construccion, o proyecto
Personal no autorizado con acceso a actividades en

el proceso.
Proceso de
depreciacin
Mejoras del activo,

adiciones, dada de
baja
Maestro de
Activos fijos
Riesgos clave
Depreciacin
de activo fijo
Disposicin del
activo fijo
Adquisicin del
activo
Registro del activo fijo
Proceso de depreciacin configurado pero no se

revisan sus resultados

Administracin de maestro de activos fijos
Configuracin de variables para el proceso de depreciacin
Activos dados de baja administrativamente pero no

registrado este hecho en el sistema
285
Activos Fijos
Proveedor
Depreciacin de
Activos Fijos
Bajas de
Activos Fijos
Comprador
Tesorera
Adquisicin de
Activos Fijos
Mantenimiento
del Registro de
Activos Fijos
Mayor
General
Administracin
de Activos Fijos
286
Activos Fijos
Pruebas principales
Validar el clculo de la depreciacin para una muestra de activos.
Verificar la parametrizacin de las vidas tiles de los activos.
Verificar que los activos totalmente depreciados o paralizados no se siguen depreciando.
Validar los usuarios con acceso a las opciones crticas de activos fijos. Verificacin a travs de logs de auditora
Validar los controles de la interfaz de activos.
287
Proceso de Negocio Inventarios

Mantenimiento del
Maestro de
materiales
Maestro de
materiales
Planeacin de
la produccin
Administracin del
inventario (salidas,
entradas, dadas de
baja,
Desperdicios)
Empaque y entrega
Planeacin
de la
produccin
Riesgos clave
Administracin
del inventario
Empaque y
entrega

el proceso.

Administracin de maestro de materiales
288
Administracin del
Inventario
Proveedor
Recepcin y
Almacenamiento
de Materias Primas
Gastos
Requisicin
de Materiales
Mantenimiento
Archivo Maestro
del Inventarioz
Administracin
del Inventario
Producin
del Inventario
Manejo de
Productos
Terminados
Mayor
General
Cliente
Embarque de
Productos
Terminados
Ingresos
289
Administracin del
Inventario
Pruebas principales
Validar los usuarios con acceso a las opciones crticas de inventarios. Verificacin a travs de logs de auditora
Validar los controles automticos establecidos en el flujo de transacciones de inventarios, tales como:
Validar la existencia de monitoreo sobre los niveles mnimos de inventario.
Verificar los controles que impidan los cambios en cantidades y/o precios despus de recibida la mercanca y
registrada en el aplicativo.
Validar que la orden de compra se genera a partir de una requisicin aprobada.
Verificar el control que exija que toda entrada de almacn tenga asociada una orden de compra.
Validar los controles entre la recepcin de mercancas y la orden de compra.
Validar el adecuado uso de las tolerancias.
Validar los controles en la creacin de productos (cantidad de materias primas utilizadas, cantidad de horas de
mano de obra, cantidad de horas mquina).
Revisar la contabilizacin de la orden de produccin y la adecuada parametrizacin de las cuentas contables
que afecta.
Validar los controles en el registro de devoluciones de producto.
Verificar los controles en el registro de productos terminados.
Validar los controles establecido para la salida de mercanca de las bodegas de producto terminado.
Validar los controles automticos en el proceso de ordenes de venta y embarque.
Validar los controles existentes en la interfaz de inventarios.
Validar como registran donaciones o muestras (costo cero) y como afecta el inventario y el costo promedio del
inventario.
Validar que todas las salidas de almacn tengan asociada una requisicin.
290
Administracin del
Inventario
Pruebas principales
inventarios.
Verificar la correspondencia entre las ordenes de trabajo y las ordenes de produccin.
Obtener los informes de ventas e informes de embarques con el fin de verificar si podra existir prdida por
embarques no facturados.
Identificar los cambios realizados en el maestro de inventarios, identificando: usuario, cdigo o nmero del
cambio.
Validar los controles de la interfaz de inventarios.
291
Proceso de Negocio Nmina
Maestro de
empleados
Reclutamiento
Liquidacion de la
nmina
Registro de
novedades
Retiro
Reclutamiento
Maestro de
empleados
Riesgos clave
Registro de
Novedades
Liquidacin de
la nmina

el proceso.

Administracin de maestro de empleados
23
Configuracin parmetros para procesamiento de la nmina
Retiro
292
Nminas y Personal
Contratacin
de Personal
Empleado
Terminacin de
Contratos del
Personal
Mantenimiento
Archivo Maestro
de la Nmina
Registro
de Tiempos
Clculo de
la Nmina
Desembolsos de
la Nmina
Mayor
General
293
Nminas y Personal
Pruebas principales
Validar los usuarios con acceso a las opciones crticas al aplicativo de nmina y personal. Verificacin a travs
de logs de auditora que slo los usuarios autorizados lo han realizado en el tiempo.
Validar los controles automticos establecidos en el flujo de transacciones de nmina y personal, tales como:
Validar que la liquidacin definitiva de un empleado se calcula automticamente en el sistema y que se tengan
en cuenta todas las novedades pendientes por liquidar del empleado.
Validar si al momento de realizar la liquidacin definitiva del empleado, su estado cambia de activo a inactivo.
Verificar que no sea posible reactivar un empleado retirado, si es posible verificar que el sistema cuenta con un
historial que permita evidenciar las reactivaciones.
Verificar los controles del sistema sobre los topes de anticipos a empleados.
Validar los controles en el ingreso de novedades de empleados.
Verificar los controles en el proceso de liquidacin de la nmina y aportes de seguridad social.
Validar la interfaz de nmina.
Verificar los controles en el proceso de pago de nmina por transferencia electrnica de fondos.
Obtencin y verificacin de los parmetros del sistema con los cuales se realiza automticamente la liquidacin
de la nmina y la seguridad social.
Validacin de la integridad de los datos en la maestra de empleados.
294
Proceso de Negocio Tesorera

Administracin
de efectivo
Adminsitracin de
inversiones
Administracin de crditos/
Obligaciones financieros
Adminsitracin de
Efectivo
Administracin
de inversiones
Administraci
n de crditos
/ obligaciones
fras.
Maestro de
Maestros de
bancos Proveedores y clientes
Riesgos clave
1

el proceso.

Administracin de maestros de bancos, proveedores, clientes
23
Configuracin parmetros para procesamiento de la

valoracin de inversions
Acceso a la banca electrnica
295
Tesorera
Prstamos,
Arrendamientos
Financieros Y
Compras a Plazos
Administracin
Del Efectivo
E Inversiones
Mayor
General
Derivados
296
Tesorera
Pruebas principales
Validar los usuarios con acceso a las opciones crticas de tesorera. Verificacin a travs de logs de auditora
Verificar que los intereses de los prstamos se calculan correctamente por el sistema teniendo en cuenta el
plazo y la tasa de inters parametrizada.
297
Proceso de Negocio Financiero Contable

Administracin
De transacciones
Maestro de
Cuentas contables
Registros por las
Transacciones de ciclos de
negocios
Administrar
El GL
/ plan de cuentas
Realizacin de
cierre
Registros directos
a finanzas como
reversiones, ajustes, JE.
Emisin de
reportes
Procesamiento
de cierre y
consolidacin
Consolidacin
Riesgos clave
Emisin
de reportes

el proceso.

Administracin de maestro de cuentas contables
Configuracin de variables para el proceso de consolidacin y

cierre (secuencia de pasos)
298
Financiero Contable
Pruebas principales
Validar los usuarios con acceso a las opciones crticas de contabilidad financiera. Verificacin a travs de logs
de auditora que slo los usuarios autorizados lo han realizado en el tiempo.
Verificar que no se permitan ingresar asientos de diario en periodos cerrados.
Validar las interfaces con el mdulo de contabilidad (nmina, gastos, activo fijos, ingresos, inventarios)
Validar que no se permita el ingreso de asientos de diario descuadrados.
Corroborar los medios de aprobaciones para los asientos de diarios.
Validar que no se permita eliminar asientos de diario
299
Contratacin
de Personal
Empleado
Terminacin de
Contratos del
Personal
Registro
de Tiempos
Desembolsos de
la Nmina
Mantenimiento
Archivo Maestro
de la Nmina
Clculo de
la Nmina
Recepcin y
Almacenamiento
de Materias Primas
Proveedor
Gastos
Prstamos,
Arrendamientos
Financieros Y
Compras a Plazos
Requisicin
de Materiales
Mayor
General
Producin
del Inventario
Administracin
del Inventario
Administracin
Del Efectivo
E Inversiones
Mantenimiento
Archivo Maestro
del Inventarioz
Manejo de
Productos
Terminados
Mantenimiento
Archivo Maestro
de Proveedores
Administracin
del Inventario
Tesorera
Processing
Procesamiento
Accounts
de
Cuentas
Payable
por
Pagar
Compras
Activos
Fijos
Cliente
Procesamiento
de Gastos
Embarque de
Productos
Terminados
Proveedor
Ingresos
Derivados
4. METODOLOGA PARA
AUDITORA DE TECNOLOGA
BASADA EN RIESGOS
Metodologa Deloitte & Touche
301
Metodologa
La Metodologa de Deloitte denominada Information & Technology (IT) Risk Management Framework and Diagnostic ITRM
Framework, est construida usando diferentes disciplinas, las mismas que combinadas proveen las bases de una metodologa
robusta.
Fuente: Deloitte
Metodologa
La Metodologa ITRM se basa en el Mtodo de Auditora Interna el cual incorpora Normas para la Prctica Profesional que
son emitidos por el Instituto de Auditores Internos (el "Estandar IIA").
La metodologa ITRM adopta los conceptos de la Administracin de Riesgos

Empresariales (ERM) con el objetivo de desarrollar un plan de auditora interna basado en
los riesgos de TI.
De igual forma, la metodologa crea un vnculo de creacin de valor, alcanzando los
objetivos de consultora y aseguramiento de la funcin de Auditora Interna.
Fuente: Deloitte
Metodologa
Fase 1
Obtener el
conocimiento y
realizar entrevistas
Fase 2
Definir
Universo de
Auditora
Fase 3
Desarrollar y
aplicar el
modelo de
riesgo
Fase 4
Priorizar el
Universo de
Auditora
Fase 5
Desarrollar plan
de auditoria con
enfoque basado
en riesgos
Los beneficios clave del enfoque de Deloitte son:

Asegurar una comprensin clara desde el principio, incluyendo los objetivos del proyecto y los
resultados previstos
Integracin con la evaluacin de riesgos del negocio
Creacin de un cronograma y etapas para facilitar la gestin de proyectos
Flexibilidad para adaptarse a las preocupaciones y requisitos de la compaa
Fuente: Deloitte
Fase 1 Obtener Entendimiento / Entrevistas

Fase 1
Obtener un
entendimiento y
Fase 2
Definir
Universo de
Auditora
Fase 3
Desarrollar y
aplicar el
modelo de
riesgo
Fase 4
Priorizar el
Universo de la
Auditora
Fase 5
Desarrollar un
plan de auditoria
con un enfoque
basado en
riesgos
Principales actividades y entregables

Requerimientos y entrevistas:
- Planes estratgicos y anuales; presupuestos, planes operativos, etc.
- Polticas y procedimientos; organigramas
- Lista de proyectos
- Lista de aplicacin y sistemas de documentacin, diagramas de redes, etc.
- Informes de Auditora Interna,
- Resultados Anteriores de la evaluacin de riesgos
- Identificar al personal a ser entrevistado
Obtener una comprensin de las actuales estrategias de negocio, los objetivos, retos y
preocupaciones
Realizar comunicacin del proyecto inicial y ejecutar las entrevistas
Fuente: Deloitte
Fase 2 Definir Universo de Auditora

Fase 1
Fase 2
Obtener un
entendimiento y
Definir Universo
de Auditora
Fase 3
Desarrollar y
aplicar el
modelo de
riesgo
Fase 4
Priorizar el
Universo de la
Auditora
Fase 5
Desarrollar un
plan de auditoria
con un enfoque
basado en
riesgos

Desarrollar el universo de auditora
Dividir los procesos de TI en fases. Se podra utilizar los procesos de COBIT como su
universo de auditora:
- Planificacin y Organizacin
- Adquisicin e Implementacin
- Entrega y Soporte
- Seguimiento
Fuente: Deloitte
Fase 3 Desarrollar y aplicar el modelo de

riesgo
Fase 1
Fase 2
Obtener un
entendimiento y
Definir Universo
de Auditora
Fase 3
Desarrollar y
aplicar el modelo
de riesgo
Fase 4
Priorizar el
Universo de la
Auditora
Fase 5
Desarrollar un
plan de auditoria
con un enfoque
basado en riesgos

Desarrollar el modelo de riesgo
- Determinar los factores de riesgo
- Peso de los factores de riesgo
Aplicar el modelo de riesgo al universo de auditora
Identificar las reas de auditora recomendadas
Fuente: Deloitte

riesgo
Existen dos dimensiones clave para determinar los riesgos, el impacto potencial y la probabilidad de ocurrencia - deben tenerse en
cuenta al desarrollar y clasificar el modelo de riesgo. El modelo de riesgo es una herramienta para ayudarle a evaluar y cuantificar
el riesgo y por lo general incluyen los factores de riesgo, el peso de cada factor, la puntuacin de riesgo global, y una determinacin
de la categora de riesgo (es decir, alta, media, baja).
Alto
Riesgo
Alto
Impacto de
Riesgo
Ocurrencia I
Medio
Riesgo
Bajo
Bajo
Alto
Probabilidad de ocurrencia L
Fuente: Deloitte

riesgo
Evaluaciones de riesgos de TI se llevan a cabo para identificar las reas de mayor riesgo relativo a TI de una
organizacin. La evaluacin del riesgo se realiza basado en factores de riesgo, que pueden incluir:
Factores de riesgo organizacionales:
Factores de riesgo COBIT:
Consideraciones sobre el Ambiente de Control
Eficacia
Importancia estratgica; Materialidad
Eficiencia
Importancias de organizacin, de procesos de negocio o cambios en los sistemas de

informacin
Confidencialidad
Complejidad y Madurez de Procesos y Sistemas
Disponibilidad
Calidad y Rendimiento del personal, rotacin
Complejidad de la tecnologa
Contabilidad financiera y presentacin de informes
Cumplimiento
Rendimiento histrico
Fiabilidad de la informacin
Integridad
El uso de las tecnologas emergentes

Ambiente regulatorio y legal
Ambiente externo del negocio, impacto en el cliente
Fuente: Deloitte
Fase 4 Priorizar el Universo de la Auditora

Fase 1
Fase 2
Obtener un
entendimiento y
Definir Universo
de Auditora
Fase 3
Desarrollar y
aplicar el
modelo de
riesgo
Fase 4
Priorizar el
Universo de la
Auditora
Fase 5
Desarrollar un
plan de
auditoria con un
enfoque basado
en

Finalizar el universo de auditora de TI
Analizar clasificacin y las puntuaciones de los riesgos
Identificar las reas de auditora recomendadas
Proponer el plan de auditora interna de TI (1 ao, 3 aos)
Fuente: Deloitte

Segmento auditable
Impacto
Probabilidad
Riesgo
100
100
Bajo
170
160
Medio
250
260
Alto
Seguridad de la empresa
250
240
Alto
Recuperacin de desastres
130
160
Medio
Infraestructura
70
60
Bajo
Recursos de Informacin
Gobierno TI
Estrategia y Planeacin TI
Programa de Gestin
Arquitectura
Operaciones
Aplicaciones
Soporte
Fuente: Deloitte

Anlisis de riesgos
Enterprise Security
300
Applications
Impacto
Program Management
Gobierno TI
Disaster Recovery
Programa de
Gestin
150
Aplicaciones
Infrastructure
Seguridad
de la empresa
Recuperacin
de desastres
0
Infraestructura
0
150
300
Probabilidad
Fuente: Deloitte
Fase 5 Desarrollar plan de auditora

Fase 1
Fase 2
Obtener un
entendimiento y
Definir Universo
de Auditora
Fase 3
Desarrollar y
aplicar el
modelo de
riesgo
Fase 4
Priorizar el
Universo de la
Auditora
Fase 5
Desarrollar un
plan de auditoria
con un enfoque
basado en riesgos

Creacin de un plan de auditora basado en los resultados:
- Dar prioridad a los recursos
- Integrar el plan de auditora con el financiero o en el plan de auditora operacional
- Realizar la determinacin del alcance y la planificacin a nivel de tarea
- Presentar el Plan de Auditora Interna al comit de Auditora
Ejecutar el plan de auditora
Elaborar un Informe Detallado con las principales hallazgos identificados y sus riesgos
asociados
Elaborar un Informe Ejecutivo con el resumen de los principales hallazgos
Fuente: Deloitte
MUCHAS GRACIAS
Copyright 2013 Ing. Ral Gonzlez Carrin

All rights reserved.

Auditoria de Tecnología Basada en Riesgos 160813 (ESTUDIANTES) X

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditoria de Tecnología Basada en Riesgos 160813 (ESTUDIANTES) X

Uploaded by

Copyright:

Available Formats

AUDITORA DE

Copyright 2013 Ing. Ral Gonzlez Carrin

Auditora de Tecnologa Basada en Riesgos

Auditora de Tecnologa Basada en Riesgos

3. Estndar internacional de auditora

Auditora de Tecnologa Basada en Riesgos

Es el efecto de la incertidumbre en la consecucin de los objetivos [ISO 31000:2009]

direccin tratar efectivamente a la incertidumbre y sus

Si bien ambas tendencias favorecen el crecimiento

econmico y las inversiones, tambin implican

1.1.1. Control Interno: Evaluacin y

Es un proceso realizado por la Junta Directiva, Administradores y dems

Soportar el cumplimiento con las leyes

Asegurar la razonabilidad de los reportes

Evolucin reciente del control interno

1.1.2. Control interno efectivo: Referentes

1.1.3. Generacin del Control Interno

Una definicin comn de Controles internos

Estndares para evaluar el sistema de control interno

Un modelo general de control interno

* Internal Control Integrated Framework,

1.1.3. Generacin del Control Interno

trampas y sorpresas que pueden ocurrir en el transcurso.

Proporciona seguridad razonable.

una serie de acciones.

ejecutado por la Junta Directiva, Administradores, y

Existen limitaciones inherentes a todos los sistemas de

Misin, objetivos y estrategias de la Compaa para

1.1.4. Responsabilidades frente al sistema de

Responsables del sistema de control interno

Responsabilidad de monitorear el sistema de control interno

Es un proceso que hace parte de los

Proporciona una seguridad razonable,

Es concebido y ejecutado por

Orientado a objetivos es un medio,

1.1.5. Evaluacin del Control Interno: Mtodo

estableci el COSO I (The Internal Control Integrated Framework)

1.1.6. COSO I Referente para otras metodologas de

(CICA de las siglas del ingls);

1.1.7. COSO I Definicin de Control Interno

consejo de administracin, la direccin y el resto de personal de una

que se derivan de como la administracin maneja el ente, y estn

proceso multidireccional repetitivo y permanente.

1.1.8. COSO I Marco Integrado de Control

Tres categoras de objetivos

COSO I: Ambiente de Control

Integridad y Valores ticos.

El Ambiente de Control da el tono de una

COSO I: Evaluacin de Riesgos

COSO I: Actividades de Control

Las Actividades de Control ayudan

COSO I: Informacin & Comunicacin

Los sistemas de Informacin producen

El Monitoreo ongoing (ocurre en el

COSO Una frase para recordar

Un buen control interno NO

1.2.1. Marcos metodolgicos de Gestin de

Estndar AS NZS 4360:1999 de Gestin de Riesgos (Australiano Neozelands 1999)

Gestin de riesgos de Tecnologa de la Informacin TI.

COBIT Control Objectives for Information and related Technology (ISACA)

1.2.2. COSO II - ERM

1.2.2.1 COSO II ERM : Fecha de

Risk Management Integrated Framework.