Anlisis de Riesgos

Definicin
El potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos ocasionando prdida o dao a la organizacin.
Definicin de acuerdo al estndar internacional: ISO/IEC PDTR 13335-1

Naturaleza de Riesgo
Financiera Regulatoria Operativa Riesgos derivados de tecnologas especificas. Ej. En caso de una empresa de servicios, la disponibilidad del servicio y su confiabilidad.

Consideraciones de Anlisis de Riesgos

Forma parte de la planeacin de la auditoria de SI Su propsito es identificar los riesgos y las vulnerabilidades existentes, de manera que se puedan determinar controles para mitigarlos. El riesgo est relacionado con la presencia o ausencia de controles dentro de la organizacin. El auditor de SI deber evaluar el riesgo para determinar el enfoque de auditoria, as como la planeacin del trabajo de auditora a realizar.

Tipos de Riesgo
Riesgo Inherente.- Es la susceptibilidad que un balance contable o que las transacciones presenten error que pueda ser material de manera individual o agregada, asumiendo que no existen controles internos relacionados. Riesgo de Control.- Corresponde al riesgo que pueda ocurrir un error en un balance contable o transacciones que pueda ser material de manera individual o agregada, que no sea prevenido o detectado y corregido en un tiempo adecuado basado en la implementacin de un sistema de control interno. Riesgo de Deteccin.- Riesgo mitigado por procedimientos de control. Se puede denominar al riesgo permanente luego de la aplicacin de controles internos de manera que se mitigue el riesgo inherente.

Alto Riesgo
Asuntos relacionados con la confidenciabilidad, disponibilidad integridad de la informacin crtica, tambin con los sistemas y procesos que soportan dicha informacin.

Proceso de Evaluacin de Riesgo

Ciclo de vida:
Identificacin de los objetivos del negocio Identificacin de los activos de informacin Identificacin de los sistemas o recursos de informacin que soportan la informacin. Evaluacin de riesgos, donde se identifica:
Amenazas Probabilidad de ocurrencia Impacto resultante

Controles para mitigar los riesgos identificados (se mide analizando costo beneficio) Monitoreo de desempeo de administracin de riesgo

Anlisis de Riesgos
Al analizar los riesgos se deben identificar los riesgos y amenazas en el ambiente de IT y los sistemas de IT. De acuerdo al nivel de riesgo, el analizar el riesgo ayuda a considerar que areas debern ser revisadas por el auditor. Se considera un apoyo al auditor para identificar los controles en la planeacin de auditoria. As tambin, para identificar los objetivos de auditoria. Sirve de soporte a la auditoria basada en riesgos.

Controles internos
Los controles internos se identifican como polticas, procedimientos, practicas y estructuras organizacionales implementadas, de manera que se reduzca el riesgo. El propsito de los controles internos es brindar certeza de manera razonable de que se alcanzaran los objetivos del negocio correspondiente a una organizacin, de manera que se eviten los eventos no deseados. En caso de presentarse sean detectados y corregidos.

Quin es responsable de establecer los controles internos?

La junta directiva y la alta direccin son los responsables de establecer una cultura apropiada que brinde efectividad y eficiencia en el control interno. Toda persona dentro de una organizacin debe participar dentro de este proceso. Los controles internos deben responder a los objetivos del negocio y operativos, a su vez, deben considerar elementos de prevencin, deteccin y correccin.

Controles preventivos
Detecta los posibles problemas a ocurrir Monitorea el ingreso de los datos y las operaciones Procura predecir los problemas potenciales y tomar medidas para que no se generen Procura impedir que ocurra un error, omisin o acto malicioso Emplear personal calificado solamente Aplicar segregacin de funciones Implementar controles de acceso fsico y lgico Documentacin y procedimientos adecuados Validar la funcionalidad de los programas

Controles Detectivos
Como su nombre lo indica, detectan y reportan la ocurrencia de error, omisin o acto malicioso
Establecer puntos de verificacin en los jobs de produccin Control de eco en las telecomunicaciones Reportes peridicos de desempeo Funciones de Auditoria interna Revisin de log de accesos

Controles Correctivos
Procura minimizar el impacto de una amenaza Soluciona problemas hallados por los controles detectivos Identifica la(s) causa(s) de un problema Corrige errores provocados por un problema Modifica los sistemas de procesamiento para minimizar la posibilidad de ocurrencia del problema

Planificar procesos para contigencia Establecer procesos de respaldo Establecer procesos de segunda ejecucin de programas