Académique Documents
Professionnel Documents
Culture Documents
La presente metodología ofrece un ordenamiento lógico de las Fases y actividades que deberán
cumplirse para realizar la evaluación de los controles en un sistema P.E.D. Se proveen los
elementos necesarios para la evaluación específica de los diferentes recursos que se utilicen en
las Transacciones o Procesos que conforman un sistema operativo. Esta característica permite
analizar cada recurso (elementos humanos o materiales que participan en el P.E.D.) en su
ambiente de funcionamiento e identificar las Amenazas potenciales a que está expuesto y los
Riesgos que podrían generarse si tales amenazas se materializan. Este análisis también permite la
identificación de los controles requeridos para la protección de todos los recursos considerados.
La identificación de controles permite precisión en las evaluaciones y ofrece un soporte para hacer
las recomendaciones pertinentes y realizar el seguimiento en la implantación de los controles
requeridos.
A ARCHIVOS MAGNETICOS
AI Archivos de Impresión
AI01 Liquidación de Nómina
AIO2 Cheques de Empleados
AM Archivos Maestros
AMO1 Datos Básicos Empleados
AMO2 Acumulados Anuales
AMO3 Conceptos de Pago
D Archivos Documentarios
DC Carpetas
DC01 Carpeta de Empleado
DC02 Reporte Nuevos Empleados
E Empleados
EA Empleados Administrativos
EA01 Gerente General
P Programa de Computador
PC Captura y Actualización
PC01 Creación/Cambio datos básicos
PI Impresión
PI01 Devengos y Deducciones
QS Servidor
QT Terminales
QT01 Terminal 5269
2.1. Identificación de las amenazas. Las amenazas son los “peligros” potenciales sobre los
recursos del sistema. Las amenazas generan los Riesgos. Una amenaza puede generar
uno o varios riesgos. Solo deben considerarse aquellas amenazas que sean
representativas de la situación o ambiente en que operan los Recursos. No es necesario
que el auditor “invente” las Amenazas. Existen listas de conceptos que pueden ser
utilizadas. El esfuerzo del Auditor debe encaminarse al análisis de las Amenazas que sean
aplicables al sistema considerado. La primera letra del Código de la Amenaza corresponde
al Grupo de los Recursos afectados.
2.2. Identificación de los riesgos. Los riesgos son los hechos que pueden ocurrir si llegan a
materializarse las amenazas a que están expuestos los recursos del sistema. La utilización
de recursos de computación (Software y Hardware) crea nuevos conceptos de riesgo en la
evaluación de un sistema de información. Los riesgos mas relevantes son: Daño físico o
destrucción de Recursos. Pérdida por Fraude o desfalco. Extravío de documentos fuente,
archivos o informes. Robo o hurto de dispositivos o medios de almacenamiento.
Interrupción de las operaciones del negocio. Revelación o pérdida de Integridad de los
datos. Ineficiencia de las operaciones. Errores u omisiones en documentos fuente, archivos
o informes del sistema.
01. FRAUDE/DESFALCO
02. PERDIDA / EXTRAVÍO
03. ROBO/ HURTO
04. INTERRUPCIONES
05. MULTAS / SANCIONES.
06. INEFICIENCIA.
07. DAÑO/DESTRUCCION.
08. ERRORES/OMISIONES
En el siguiente cuadro se presentan ejemplos de los conceptos descritos con los cuales podrá
aclararse un poco mas la diferencia entre Amenazas y los Riesgos.
2.3. Relación entre Recursos/Amenazas/ Riesgos. Este es uno de los aspectos mas
importantes en el proceso de evaluación. La relación entre estos elementos debe
establecerse a partir de la observación de los recursos en su ambiente real de
funcionamiento. Es importante obtener evidencias sobre la ocurrencia de Amenazas y
Riesgos en la realidad. Aunque son muchas las amenazas potenciales sobre los recursos,
es necesario asegurarse de considerar solo aquellas que sean aplicables en el ambiente
real en que estos operan. Debe tenerse presente que a cada terna de Re/Am/Ri,
considerada deben asignarse uno o mas controles.
3.1. Identificación de los controles requeridos. Los controles son las medidas orientadas a
Disuadir, Prevenir o Detectar las amenazas, corregir las situaciones generadas y recuperar
las pérdidas ocasionadas. Existen listas de controles que el Auditor puede utilizar. El
esfuerzo del Auditor debe orientarse a la selección de los controles aplicables según el
Recurso analizado y las Amenazas o Riesgos contra las que se desea protegerlo. El primer
dígito del Código del Control corresponde a la identificación del Grupo al que pertenece el
Recurso protegido. En este paso se crean los controles que el Auditor considera
necesarios.
3.2. Relación entre recursos, amenazas, riesgos y controles. La relación con los controles debe
establecerse para cada terna Rec/Amen/Riesgo. Identificada. Para cada terna pueden
existir uno o varios controles. Para establecer las relaciones ya deben estar creados los
controles. Se crean las relaciones con los controles que el Auditor considera necesarios.
Un mismo control puede ser aplicable a varios recursos. Para establecer la existencia y
suficiencia de los controles, el Auditor debe saber cuáles controles existen y cuáles no.
3.3. Análisis de la cobertura de los controles requeridos. El análisis de cobertura tiene como
propósito determinar si los controles que el Auditor identificó como necesarios proveen una
protección adecuada de los recursos. Para el análisis de cobertura se utilizan las Matrices
de relación. 1) MATRIZ DE RECURSOS/RIESGOS/CONTROL, matriz que se elabora a
partir del Informe de la Relación Recurso/Amenaza/Riesgo/Control. 2) MATRIZ DE
TRANSACCION /RIESGO/CONTROL, matriz que se elabora a partir del Informe de la
Relación Transacción/Riesgo/Control.
4.2 Plan de pruebas de los controles. Una vez seleccionados los Recursos o
Transacciones mas relevantes se organiza el trabajo de las pruebas. La preparación del Plan
asegura un trabajo más ordenado y objetivo. La elaboración del Plan incluye la selección del Tipo
de prueba a realizar. Deben solicitarse con anticipación al área respectiva, todos los elementos
necesarios para la prueba.
4.4 Análisis de resultados. Los resultados deben analizarse para determinar: a) Si el resultado
es concluyente o se requieren pruebas adicionales. b) El nivel de cobertura de los Controles
existentes. Para el análisis de Resultados deben utilizarse las Matrices de Relación. La
comparación de las Matrices de Controles Requeridos y Controles Existentes es de gran ayuda en
la sustentación de las recomendaciones. Los controles se califican como Eficaces, Aceptables o
Débiles, según los resultados de las pruebas. Los resultados de la Pruebas dan lugar a las
RECOMENDACIONES de la Auditoria.
Los elementos presentados en el cuadro anterior no están asociados en relación uno a uno de
manera directa o sea que pueden combinarse de diferentes formas.
Por ejemplo:
Es muy importante tener en consideración que la identificación de una Amenaza siempre lleva
implícita la identificación de uno o varios riesgos potenciales. Además, siempre que para un
Recurso se identifiquen Amenazas o Riesgos será necesario identificar uno o varios controles para
su protección.
No es muy significativo hablar de Amenazas sobre Recursos sin la identificación de los controles
correspondientes.
CONTROLES MANUALES. Son los que deben ser aplicados por los recursos humanos que
participan en la administración del sistema operativo.
CONTROLES AUTOMATICOS. Normalmente, son los controles incorporados en los programas de
computador.
CONTROLES DISUASIVOS. Son medidas orientadas a desanimar a las personas para que no
lleven a cabo acciones que podrían transformarse en amenazas para los recursos protegidos.
CONTROLES PREVENTIVOS. Son las medidas encaminadas a evitar una amenaza. Los controles
preventivos están ubicados en tal forma que entren en operación cuando los controles disuasivos
no han funcionado.
CONTROLES IMPLANTADOS. Son las medidas resultantes de la evaluación aceptadas por los
administradores del sistema y efectivamente colocadas en práctica.
CONTROLES
PREVENTIVOS
AMENAZA
CONTROLES
DETECTIVOS
RECURSO
CONTROLES
CORRECTIVOS
RIESGO
CONTROLES
IMPACTO IMPACTO RECUPERATIVOS
Los siguientes ejemplos ilustran de manera más amplia los conceptos analizados.
Ejemplo 1.
CONTROLES APLICABLES.
DISUASIVOS.
Manual de seguridad que establece los comandos del sistema y las personas autorizadas
para utilizarlos.
Código de Ética de los operarios del sistema.
PREVENTIVOS.
Verificación automática de acceso a los comandos del sistema.
DETECTIVOS.
Verificación periódica del contenido de los archivos magnéticos.
CORRECTIVOS.
Copias de respaldo de los archivos magnéticos.
RECUPERATIVOS.
Pólizas de seguros que cubren los costos asociados con la reconstrucción de archivos
magnéticos.
EJEMPLO 2.
CONTROLES.
MATRICES DE RELACION.
Las matrices de relación, conocidas como Matrices de Controles, constituyen una herramienta de
gran valor en el proceso de evaluación, especialmente cuando se pretende determinar la
suficiencia en la cobertura de los controles identificados para proteger los recursos de una
transacción o la Transacción como un todo.
Su gran valor radica en que permite visualizar de manera gráfica al interrelación existente entre los
Recursos o las Transacciones, los Riesgos identificados para el sistema y los controles que el
Auditor considera deben existir para su protección. Así mismo, una vez realizada la verificación de
los controles existentes, las Matrices permiten visualizar la situación real de la exposición de los
Recursos o las Transacciones.
Es importante tener en cuenta que el análisis de cobertura de los controles no puede hacerse
tomando en cuenta la cantidad de controles ubicados en cada celda de cruce. Existen casos en
que la situación no amerita un control especial o casos en los cuales un solo control puede ser
suficiente para proteger la situación detectada. El análisis utilizando matrices de relación de be
estar complementado con la evaluación de la suficiencia y propósito de cada control identificado.
QT
AM
TERMINOLOGÍA.
OPERACIONES. Son los hechos económicos o administrativos resultantes del desarrollo social
de una determinada empresa.
TRANSACCIONES. Son los eventos lógicos que suceden durante la “vida” de una operación. Una
transacción puede dividirse en procesos y estos a su vez pueden dividirse en sub-procesos.
PROCESOS. Son las etapas o pasos ordenados que conforman una Transacción.
RECURSOS. Son los elementos humanos o materiales que participan en la realización de los
procesos que conforman una Transacción. La protección de los Recursos del Sistema Operativo es
un objetivo del sistema de control.
AMENAZAS. Es el “peligro” potencial a que están expuestos los recursos.
RIESGOS. Son los eventos resultantes de la ocurrencia o materialización de las amenazas.
Normalmente los riesgos son amparados bajo la cobertura de una póliza de seguros.
CONTROLES. Son las medidas, normas y procedimientos q que se disponen para proteger los
recursos contra las amenazas a que están expuestos y contra los riesgos que estas puedan
generar.
Los controles también están orientados a corregir las situaciones resultantes y recuperar las
pérdidas provenientes.