AUDITORIA TECNOLOGIA INFORMATICA

FERNANDO RADA BARONA

PERFIL DEL AUDITOR DE TI

Contador Pblico
o
Ingeniero en
Informtica
TRABAJO EN EQUIPOS: DEFINICIONES
 Evolucin del enfoque de auditora
Valor hacia el negocio

Alineacin con la
visin y misin
empresarial

Econmia,
Eficiencia y Eficacia
de las operaciones

Finanzas y
Contabilidad

Enfoque en administracin de riesgos

Misin de la Auditora de TI
 Normas de Aseguramiento: Desarrollo del trabajo
Contratacin Planeacin
Actividades Sistema de control de calidad
preliminares - ISQC 1
aceptacin y Objetivo de la auditora.
continuidad Conceptos bsicos de
compromiso (NIA auditora financiera (NIA 200).
210) Control de calidad para
auditoras de estados
financieros (NIA 220).
Responsabilidades del auditor
en relacin con el fraude en
una auditora de estados
financieros (NIA 240).
Leyes y regulaciones en la
auditora (NIA 250).
Comunicacin con gobierno
corporativo y comunicacin
de deficiencias control interno
(NIA 260/265).
Planeacin de la auditora
(NIA
300).
Identificacin riesgos a
travs del entendimiento
de la entidad y su entorno -
valoracin riesgo (NIA 315).
Determinacin y uso de la
materialidad (NIA 320).
Ejecucin y Documentacin Conclusin y Reporte
Documentacin de auditora - incluye Evaluacin de la evidencia y
referenciacin (NIA 230). formacin de la opinin (NIA
Respuesta de los riesgos evaluados (NIA 700).
330). Modificaciones al informe
Entidades que usan organizaciones de del Auditor (NIA 705).
servicio (NIA 402). Otros relacionados con
Evaluacin de las representaciones el informe (NIA
errneas identificadas durante la auditora 706/710/720).
(NIA 450).
Evidencia de auditora (pruebas de
controles manuales y de TI) (NIA 500).
Evidencia de auditora -
Consideraciones especficas para tems
seleccionados (NIA 501).
Confirmaciones externas (NIA 505).
Saldos de apertura (NIA 510).
Procedimientos analticos (NIA 520).
Muestreo (NIA 530).
Estimados (NIA 540).
Partes relacionadas (550).
Eventos subsecuentes (NIA 560).
Empresa en marcha (NIA 570).
Representaciones de la administracin
(NIA 580).
Auditora de grupos (NIA 600).
Uso de trabajo del auditor interno (NIA 610).
Uso del trabajo de un experto (NIA 620).
reas especializadas
Auditora de estados financieros preparados
de conformidad con un marco de informacin
financiera con fines especficos. - NIA 800
Auditoras de un solo estado financiero o de
un elemento, cuenta o partida especfica de
un estado financiero. - NIA 805
AUDITORIA DE LOS SISTEMAS EN LA ETAPA DE PLANEACIN

NIA 300 - Planeacin de una auditora de estados financieros

NIA 315 - Identificacin y evaluacin del riesgo de errores
materiales a travs del conocimiento de la entidad y de su
entorno
NIA 320 - Materialidad en la planeacin y la ejecucin de la
auditora
NIA 330 - Procedimientos del auditor en respuesta a los
riesgos evaluados
NIA 402 - Consideraciones de auditora relativas a entidades
que utilizan organizaciones de servicio
NIA 450 - Evaluacin de los errores identificados durante la
auditora
 LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIN COMPUTARIZADA - SIC

El auditor deber considerar como

afecta a la auditora un ambiente de
Sistemas de Informacin
Computarizado - SIC.

El objetivo y alcance globales de

una auditora no cambia en un
ambiente SIC. Sin embargo, el uso
de una computadora cambia el
procesamiento, almacenamiento y
comunicacin de la informacin
financiera y puede afectar los
sistemas de contabilidad y de
control interno empleados por la
entidad.
LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIN COMPUTARIZADA - SIC

El auditor debera tener suficiente conocimiento del SIC para planear dirigir,
supervisar y revisar el trabajo desarrollado.

El auditor debera considerar si se necesitan habilidades especializadas en

SIC en una auditora.

Estas pueden necesitarse para:

Obtener una suficiente comprensin de los sistemas de contabilidad y de

control interno afectados por el ambiente SIC.
Determinar el efecto del ambiente SIC sobre la evaluacin del riesgo global y
del riesgo al nivel de saldo de cuenta y de clase de transacciones.
Disear y desempear pruebas de control y procedimientos sustantivos
apropiados.
LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIN COMPUTARIZADA - SIC

Si se necesitan habilidades especializadas, el auditor buscara la ayuda de un

profesional con dichas habilidades, quien puede pertenecer al personal del
auditor o ser un profesional externo.
Si se planea el uso de dicho profesional, el auditor debera obtener suficiente
evidencia apropiada de auditora de que dicho trabajo es adecuado para los fines
de la auditora, de acuerdo con NIA "Uso del trabajo de un experto".
Al planear las porciones de la auditora que pueden ser afectadas por el ambiente
SIC del cliente, el auditor debera obtener una comprensin de la importancia y
complejidad de las actividades de SIC y la disponibilidad de datos para uso en la
auditora.
Cuando el SIC es significativo, el auditor deber tambin obtener una
comprensin del ambiente SIC y de si puede influir en la evaluacin de los
riesgos inherentes y de control.
 LAS NIAs AMBIENTE DE SISTEMAS DE INFORMACIN COMPUTARIZADA - SIC
OBJETIVO

El propsito de esta Norma Internacional de Auditora (NIA) es establecer reglas y

suministrar criterios sobre los procedimientos a seguir cuando una auditora se lleva a cabo
en un ambiente (SIC)

Para los propsitos de las NIA existe un SIC cuando la entidad, al procesar la informacin
financiera significativa para la auditora, emplea sistemas de informacin como equipos de
computo de cualquier tipo o tamao, ya sea operado por la propia entidad o por un tercero.
Por consiguiente, un ambiente SIC puede afectar:

Los procedimientos seguidos por un auditor para obtener una comprensin suficiente de
los sistemas de contabilidad y de control interno.
La consideracin del riesgo inherente y del riesgo de control a travs de la cual el auditor
llega a la evaluacin del riesgo.
El diseo y desarrollo por el auditor de pruebas de control y procedimientos sustantivos
apropiados para cumplir con el objetivo de la auditora.
IMPACTO DEL AMBIENTE SIC

Importancia y complejidad del

procesamiento en cada operacin
importante de contabilidad (volumen,
generacin automtica de transacc.,
intercambio transaccional)
Estructura organizacional del ambiente SIC.
Disponibilidad de los datos
Posibilidad de utilizar herramientas de
auditora computadorizadas
RIESGOS DEL AMBIENTE SIC

Falta de rastros transaccionales.

Falta de procesamiento uniforme de
transacciones
Falta de segregacin de funciones.
Potencial para errores e
irregularidades.
Generacin automtica de
transacciones.
Dependencia de otros controles al
procesamiento por computadora.
AMBIENTE SIC MICROCOMPUTADORAS INDEPENDIENTES

Las microcomputadoras almacenan gran

cantidad de informacin y tambin pueden
actuar como terminales.
Controles similares a un ambiente SIC pero
no todos son aplicables.
Complejidad de las redes.
Evaluacin de la utilizacin de las
microcomputadoras.
Aspectos de seguridad propios de este

ambiente.
SISTEMAS DE COMPUTADORAS EN LNEA

Efecto del uso de este ambiente en

cuanto a grado en que el sistema en lnea
se utiliza para procesar transacciones
contables.
Actualizacin directa e instantnea de los
archivos de datos.
Controles relevantes en este ambiente:
o Controles de acceso.
o Cambios no autorizados a los datos.
o Programas no autorizados.
 AMBIENTE DE BASE DE DATOS

Efecto del uso de este ambiente que

independiza datos de programas y que
facilita el uso compartido de la informacin.
Dos elementos fundamentales: Base de
Datos y Programa Administrador (DBMS).
Tareas de administracin de la base de
datos.
Controles de la base de datos: propiedad de
los datos, acceso a los datos, segregacin de
funciones.
Enfoque para el desarrollo de aplicaciones.
RIESGO Y CONTROL INTERNO EN UN AMBIENTE SIC

Estructura organizacional (concentracin de funciones y de programas y

datos)

Naturaleza del procesamiento (ausencia de documentacin de entrada, falta

de rastros de E/S, facilidad de acceso a datos y programas)

Aspectos de diseo y de procedimiento (consistencia de funcionamiento,

controles programados, archivos de base de datos, vulnerabilidad de datos y
programas)

Controles generales de SIC (Controles de organizacin, desarrollo de

sistemas, controles de entrada de datos)

Controles de aplicacin (entrada, procesamiento, salida)

ADMINISTRACIN DEL RIESGO

RIESGOS

Efecto de la
incertidumbre
sobre los
objetivos
NTC ISO 31000 /2011
ADMINISTRACIN DEL RIESGO

Definiciones

Riesgo. Toda posibilidad de ocurrencia de aquella situacin que pueda

afectar el desarrollo normal de las funciones de la entidad y el logro de
sus objetivos.

Gestin del Riesgo: actividades, coordinadas para dirigir y controlar

una organizacin con respecto al riesgo.

Proceso para la gestin del riesgo: aplicacin sistemtica de las

polticas, los procesos y las prcticas de gestin a las actividades de
comunicacin, consulta , establecimiento del contexto y de
identificacin, anlisis, evaluacin, tratamiento, monitoreo y revisin
del riesgo.
 ADMINISTRACIN DEL RIESGO

BENEFICIOS

Aumenta la probabilidad de alcanzar los objetivos.

Fomentar la gestin proactiva.
Cumplimiento de los requisitos legales y reglamentarios.
Mejorar los controles.
Usar eficazmente los recursos.
Mejorar la prevencin de prdidas y la gestin de incidentes.
Establecer una base confiable par la toma de decisiones y la
planificacin.
GESTIN DEL RIESGO

PRINCIPIOS
Crea y protege el valor
Parte integral de todos los procesos de la
organizacin
Parte para la toma de decisiones
Aborda explcitamente la incertidumbre
Es sistemtica, estructurada y oportuna
Se basa en la mejor informacin disponible
Esta adaptada
Toma en consideracin los factores
humanos y culturales
Transparente e inclusive
Dinmica, reiterativa, y receptiva al cambio
Facilita la mejora continua
Evaluar riesgo, implica en primer lugar asumir a que se
est expuesto, cun probable es que me ocurra un
suceso, y si sucede que impacto o consecuencias
puede tener.

ADMINISTRACIN DEL RIESGO

ADMINISTRACIN DEL RIESGO

REDUCCIN DE RIESGO

Medidas fsicas y tcnicas:

Construcciones de edificio, Control de acceso, Planta elctrica, Antivirus, Datos
cifrados, Contraseas inteligentes, ...

Medidas personales
Contratacin, Capacitacin, Sensibilizacin, ...

Medidas organizativas
Normas y reglas, Seguimiento de control,
Auditora, ...
ADMINISTRACIN DEL RIESGO

Medidas de Proteccin

Medidas dependiendo del grado de riesgo

Medio riesgo: Medidas parciales para mitigar dao
Alto riesgo: Medidas exhaustivas para evitar dao

Verificacin de funcionalidad
Respaldado por coordinacin
Esfuerzo adicional y costos vs. eficiencia
Evitar medidas pesadas o molestas

Fundado en normas y reglas

Actividades, frecuencia y responsabilidades
Publicacin
 ADMINISTRACIN DEL RIESGO
Cmo valorar la Probabilidad de Amenaza?
Consideraciones
Inters o la atraccin por parte de individuos externos
Nivel de vulnerabilidad
Frecuencia en que ocurren los incidentes

Valoracin de probabilidad de amenaza

Baja: Existen condiciones que hacen muy lejana la posibilidad del ataque
Mediana: Existen condiciones que hacen poco probable un ataque en corto
plazo, pero no son suficientes para evitarlo en el largo plazo
Alta: Ataque es inminente. No existen condiciones internas y externas que
impidan el desarrollo del ataque
ADMINISTRACIN DEL RIESGO

Cundo hablamos de un Impacto?

Se pierde la informacin/conocimiento
Terceros tienen acceso a la
informacin/conocimiento
Informacin ha sido manipulada o est incompleta
Informacin/conocimiento o persona no est
disponible
Cambio de legitimidad de la fuente de informacin
 ADMINISTRACIN DEL RIESGO

Cmo valorar la Magnitud de Dao?

Consideracin sobre las consecuencias de un impacto

Quin sufrir el dao?
Incumplimiento de confidencialidad (interna y externa)
Incumplimiento de obligacin jurdicas / Contrato / Convenio
Costo de recuperacin (imagen, emocional, recursos: tiempo, econmico)

Valoracin de magnitud de dao

Bajo: Dao aislado, no perjudica ningn componentes de organizacin
Mediano: Provoca la desarticulacin de un componente de organizacin. A largo plazo
puede provocar desarticulacin de organizacin
Alto: En corto plazo desmoviliza o desarticula a la organizacin
RIESGOS IMPORTANTES DE TI, IMPACTO Y RESPUESTA DE
AUDITORIA
 Clasificacin de Riesgo

Seguro, pero exceso de Inseguro, poca atencin

atencin
 CATEGORAS DE RIESGOS TECNOLGICOS
Una posible categorizacin de los riesgos asociados al uso de TI, basada en quin
tiene la responsabilidad de establecer y mantener los controles necesarios para su
gestin, podra ser: riesgos asociados al gobierno de TI, a la organizacin y gestin
de TI (procesos de gestin) y a la capa tcnica (implementaciones de tipo tcnico).

Riesgos asociados al gobierno de TI

El gobierno de TI reside en que la estructura organizativa, el liderazgo y los

procesos garantizan que las tecnologas de la informacin soportan las estrategias
y objetivos de una organizacin.
Los cinco componentes del gobierno de TI son:
La organizacin y estructuras de gobierno,
El liderazgo ejecutivo y soporte,
La planificacin estratgica y operacional,
La entrega y medicin del servicio y
La organizacin y gestin de riesgos de TI.

Las polticas y estndares establecidos por la organizacin, deben establecer las

formas de trabajo para alcanzar los objetivos. La adopcin y cumplimiento de estas
normas promueve la eficiencia y asegura la consistencia del entorno operativo de
TI.
CATEGORAS DE RIESGOS TECNOLGICOS

Algunos riesgos relacionados con el gobierno de TI son:

La ausencia de planificacin efectiva y de sistemas de monitorizacin del

cumplimiento de las normas.
La incapacidad de cumplir la misin de la organizacin.
La prdida de oportunidades de negocio y el escaso retorno de las
inversiones en TI.
La incapacidad para lograr los objetivos estratgicos de TI.
Las potenciales ineficiencias en los procesos operativos de la organizacin.
La falta de alineamiento entre los resultados de la organizacin y los
objetivos estratgicos.
 CATEGORAS DE RIESGOS TECNOLGICOS
Riesgos asociados a la organizacin y gestin de TI (procesos)

Una estructura organizativa de reporte y responsabilidad que permite implementar

un sistema eficaz de control, entre otras cosas, debe tener en cuenta:

La segregacin de funciones: las personas involucradas en el desarrollo de los

sistemas estn separadas de las dedicadas a operaciones de TI.
La importancia de la gestin financiera de las inversiones.
La gestin y el control de los proveedores, especialmente con un alto grado de
externalizacin.
La gestin del entorno fsico, tanto del centro de proceso de datos, como de los
equipos de usuario
La asignacin de privilegios de acceso excesivos a determinadas funciones
clave, y evitar situaciones de fraude u omisiones inadvertidas en tiempo.
El diseo incorrecto de indicadores econmicos para medir el ROI.
La monitorizacin inadecuada de los proveedores externos.
El anlisis incorrecto de riesgos medioambientales de seguridad del centro de
proceso de datos.
 CATEGORAS DE RIESGOS TECNOLGICOS
Riesgos asociados a la capa tcnica (implementaciones de tipo tcnico)

La infraestructura tcnica abarca los sistemas operativos, el diseo de redes internas,

el software de comunicaciones, software de seguridad y proteccin y bases de datos,
entre otros. El objetivo es asegurar que la informacin es completa, adecuada y
exacta. Como ejemplos de riesgos relacionados con la capa tcnica se pueden citar:

Una inadecuada segregacin de funciones por asignacin de privilegios en el

sistema que permita realizar acciones conflictivas o fraudulentas.
Falta de un proceso adecuado de aprovisionamiento y gestin de usuarios, que
entorpezca el desarrollo de la operativa.
Ausencia de segregacin de accesos, sin control de la actividad de usuarios y
tcnicos.
Un inadecuado proceso de aplicacin de actualizaciones de la infraestructura, sin
pruebas previas, transfiriendo problemas y vulnerabilidades a produccin.
Adquisicin o mantenimiento de sistemas no establecidos formalmente, o
implantacin de sistemas no probados correctamente.
Cambios en los sistemas de gestin o aplicacin no probados y validados antes de
su pase a produccin
 FUENTES Y EVENTOS DE RIESGO

FACTORES EXTERNOS

FINANCIEROS ESTRATEGICOS

Eventos accidentales

Eventos operativos

Eventos financieroa

Eventos estratgicos

OPERACIONALES ACCIDENGTALES

FACTORES EXTERNOS
VISIN GENERAL GESTION DE RIESGOS
Proceso de Administracin de Riesgos

1. Establecer Marco General

2. Identificar Riesgos

Monitorear
3. Anlisis de Riesgos
y Revisar

4. Evaluar y Priorizar Riesgos

5. Tratamiento del Riesgo

Administracin de Riesgos
1. Establecer Marco General

1.1. Entender el Entorno

1.2. Entender la Oganizacin

1.3. Identificar Criterios de Calificacin

1.4. Identificar Objetos Crticos

Administracin de Riesgos
1. Establecer Marco General

1.1. Entender el Entorno

1.2. Entender la Oganizacin

Anlisis Externo
1.3. Identificar Criterios de Calificacin
Aspectos financieros,
operacionales, competitivos, Objetivos
polticos (percepcin / imagen),
1.4. Identificar Objetos Crticos
sociales, clientes, culturales y Estrategias
legales

Stakeholders
 Administracin de Riesgos
1. Establecer Marco General
Metodologa
1.1. Entender el Entorno
Polticas
Criterios de Calificacin y Tablas de Valoracin
1.2. Entender la Oganizacin
Universo de Objetos y Objetos Crticos Priorizados

1.3. Identificar Criterios de Calificacin

1.4. Identificar Objetos Crticos

 Administracin de Riesgos
Qu y Cmo calificar - priorizar?
Probabilidad Valor

Alta 3 15 30 60
Zona de riesgo Zona de riesgo Zona de riesgo
Moderado Importante. Inaceptable
Prevenir el riesgo Prevenir el riesgo Evitar el riesgo
Proteger la entidad Prevenir el riesgo
Compartirlo Proteger la entidad
Compartir
Media 2 10 20 40
Zona de riesgo Zona de riesgo Zona de riesgo
Tolerable Moderado. Importante
Aceptar el riesgo Prevenir el riesgo Prevenir el riesgo
Prevenir el riesgo Proteger la entidad Proteger la entidad
Compartirlo Compartirlo

Baja 1 5 10 20
Zona de riesgo Zona de riesgo Zona de riesgo
Aceptable Tolerable Moderado
Aceptar el riesgo Proteger la entidad Proteger la entidad
Compartirlo Compartirlo
Impacto Leve Moderado Catastrfica

Valor 5 10 20
Objeto n

Objeto 3
Objeto 2
Objeto 1

Qu y Cmo calificar - priorizar?

Administracin de Riesgos
Criterio 1
Criterio 2
Criterio 3
Criterio 4
Criterio 5
Criterio 6
Criterio 7
Criterio 8

Criterio n
 Administracin de Riesgos
Qu calificar - Objetos?

Cmo dividir la organizacin?

Inters de la Direccin
Procesos Subprocesos Lista de Objetos
Proyectos a los cules se les
Unidades Orgnicas puede realizar
Sistemas - Aplicaciones Administracin
Geogrficamente de Riesgos
 Administracin de Riesgos
Qu calificar - Objetos?
Basado en Procesos (Negocio COBIT)

Basado en Sistemas

Basado en Proyectos

Basado en Infraestructura
 Administracin de Riesgos
Qu calificar - Objetos?
Basado en Procesos (Negocio COBIT)
Planeacin estratgica de sistemas
Basado en Sistemas
Desarrollo de sistemas
Evolucin o mantenimiento de sistemas
Integracin de paquetes de software
Capacitacin
Basado enenProyectos
Proceso de datos ambientes de trabajo en batch
Atencin a requerimientos de usuarios
Administrar servicios de terceros (incluye outsourcing)
Basado endeInfraestructura
Administracin proyectos

Administracin de la infraestructura informtica

Direccin y control del rea de tecnologa de informacin
Administracin de recursos materiales (equipo, tecnologa e instalaciones)
Administracin de recursos humanos
Administracin de recursos financieros
 Administracin de Riesgos
Qu calificar - Objetos?
Basado en Procesos (Negocio
COBIT)

Basado en Sistemas
Para un sistema en particular
Programas Archivos - Procedimientos
Basado en Proyectos
Eventos - Entrada Comunicacin Proceso Salida -
Distribucin
Basado en Infraestructura
 Administracin de Riesgos
Qu calificar - Objetos?
Basado en Procesos (Negocio
COBIT)

Basado en Sistemas

Basado en Proyectos
A Productos
Basado
Anlisis en Infraestructura
al Proceso
 Administracin de Riesgos
Qu calificar - Objetos?
Basado en Procesos (Negocio
COBIT)

Datos Sistemas de Informacin (Aplicaciones)

Basado en Sistemas
Tecnologa (Equipos SW de base y SMBD SW de Productividad
Metodologas)
Instalaciones Recursos Humanos
Basado en Proyectos
Elementos de Administracin
Recursos Financieros Proveedores

Basado en Infraestructura
 Administracin de Riesgos
Cmo calificar Criterios?
De Negocio Prdida financiera
Prdida de imagen
Discontinuidad del negocio
Incumplimiento de la misin
IIA
Exposicin financiera
Prdida y riesgo potencial
Requerimientos de la direccin
Cambios importantes en operaciones,
programas, sistemas y controles
Oportunidades de alcanzar beneficios
operativos
Capacidades del persona
Calidad del Control Interno
Competencia de la Direccin (entrenamiento, experiencia,
compromiso y juicio)
Integridad de la Direccin (cdigos de tica)
Cambios recientes en procesos (polticas, sistemas, o
direccin)
Tamao de la Unidad (Utilidades, Ingresos, Activos)
Liquidez de activos
Cambio en personal clave
Complejidad de operaciones
Crecimiento rpido
Regulacin gubernamental
Condicin econmica deteriorada de una unidad
Presin de la Direccin en cumplir objetivos
Nivel de moral de los empleados
Exposicin poltica / Publicidad adversa
Distancia de la oficina principal
 Administracin de Riesgos
Cmo calificar Criterios Seguridad Informtica

Confidencialidad
Los activos de un sistema computacional son accedidos solo por personas autorizadas
El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o an solo conociendo la
existencia de un objeto
SECRETO, RESERVA, PRIVACIDAD

Integridad
SOLO PERSONAS Disponibilidad
AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS

Previene la divulgacin no autorizada de datos

Administracin de Riesgos
Cmo calificar Criterios Seguridad Informtica

Los activos pueden ser modificados solo por partes

autorizadas o solo en formas autorizadas
La modificacin incluye escribir, cambiar, cambiar estados,
borrar y crear
PRECISIN, EXACTITUD, NO MODIFICADO,
Confidencialidad
MODIFICADO SOLO EN FORMAS ACEPTABLES,
MODIFICADO SOLO POR PERSONAS AUTORIZADAS,
MODIFICADO SOLO POR PROCESOS AUTORIZADOS,
CONSISTENCIA, CONSISTENCIA INTERNA,
SIGNIFICADO Y RESULTADOS CORRECTOS

ACCIONES AUTORIZADAS, SEPARACIN Y

PROTECCIN DE RECURSOS, Y DETECCIN Y
Integridad Disponibilidad
CORRECCIN DE ERRORES

CONTROL RIGUROSO DE QUIEN PUEDE ACCEDER

CUALES RECURSOS EN QUE FORMAS

Previene la modificacin no autorizada de datos

 Administracin de Riesgos
Cmo calificar Criterios Seguridad Informtica

Los activos son accesibles a partes autorizadas

Aplica a datos y servicios
PRESENCIA DE OBJETOS O SERVICIOS EN
FORMA UTIL, CAPACIDAD PARA CUMPLIR
LAS NECESIDADES DE SERVICIO, TIEMPO DE Confidencialidad
ESPERA LIMITADO, TIEMPO DE SERVICIO
ADECUADO

RESPUESTA OPORTUNA, TOLEREANCIA A

FALLAS, UTILIDAD, CONCURRENCIA
CONTROLADA (Soporte para acceso simultneo,
administracin de concurrencia y acceso exclusivo)
Integridad Disponibilidad
NEGACIN O REPUDIACIN DEL SERVICIO

Previene la negacin de acceso autorizado a datos

INDEPENDENCIA - TRASLAPO
 Administracin de Riesgos
2. Identificar Riesgos
2.1. Establecer el Contexto de Administracin de Riesgos

2.2. Desarrollar Criterios de Valoracin de Riesgos

2.3. Definir la Estructura

2.4. Identificar riesgos

2.5. Identificar causas

Administracin de Riesgos
Seguridad Informtica - Activos

Hardware

Software Datos

Medios de almacenamiento
Redes
Acceso
Gente clave
 Administracin de Riesgos
Seguridad en Redes Activos (Componentes)

Hardware
Servidores, estaciones cliente, dispositivos de comunicacin (router, bridge,
hub, gateway, modem), dispositivos perifrico, cables, fibras

Software (o Servicios)
Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones,
herramientas (administrativas, mantenimiento, backup), software bajo desarrollo

Datos
De la organizacin: bases de datos, hojas electrnicas, procesamiento de palabra, e-
mail
De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria,
configuracin y parmetros de la red
De los usuarios: datos procesados personal, archivos de propiedad del usuario
 Administracin de Riesgos
Seguridad en Redes - Riesgos

R1 = Acceso no autorizado a la red o sus recursos

R2 = Divulgacin no autorizada de informacin
R3 = Modificacin no autorizada a datos y/o software
R4 = Interrupcin de las funciones de la red (no disponibilidad
de datos o servicios)
R4a = incluyendo perdida o degradacin de las
comunicaciones
R4b = incluyendo destruccin de equipos y/o datos
R4c = incluyendo negacin del servicio
R5 = Acciones engaosas en la red (no saber quien)
 Administracin de Riesgos
2. Cmo escribir Riesgos?
Riesgo
Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podran llegar a impactar el
logro de los objetivos"

Consecuencia
Resultado de un evento o
situacin expresado
cualitativa o
cuantitativamente
Evento
Situacin que podra llegar a
ocurrir en un lugar
determinado en un momento
dado
Causa
Evento primario fundamento
u orgen de una consecuencia
 Administracin de Riesgos
2. Cmo escribir Riesgos?
Riesgo
Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podran llegar a impactar el
logro de los objetivos"

Consecuencia, Evento,
Impacto, Amenaza
Exposicin
o Resultado

+ Causa,
Evento primario
o Situacin
Administracin de Riesgos
Seguridad en redes Impactos Significativos

Violacin de la privacidad
Demandas legales
Perdida de tecnologa propietaria
Multas
Perdida de vidas humanas
Desconcierto en la organizacin
Perdida de confianza
Administracin de Riesgos
Seguridad Informtica - Amenazas

Naturales
Accidentales
Deliberadas
 Administracin de Riesgos
Seguridad Informtica Amenazas Naturales

Origen Amenaza directa Impacto inmediato

Terremotos, Interrupcin de potencia, R4, R4a, R4b
tormentas temperatura extrema debido
elctricas a daos en construcciones,

Fenmenos Perturbaciones R4, R4a

astrofsicos electromagnticas

Fenmenos Muerte de personal crtico R4, R4c

biolgicos
 Administracin de Riesgos
Seguridad Informtica Amenazas Accidentales

Origen Amenaza directa Impacto inmediato

Error del Usuario Borrado de archivos, Formateo de R3, R4

drive, mal empleo de equipos, errores
de entrada

Error del Configuracin inapropiada de R1: R2, R3, R4, R5

Administrador parmetros, borrado de informacin

Fallas de equipos Problemas tcnicos con servidores de R3, R4, R4b

archivos, servidores de impresin,
dispositivos de comunicacin,
estaciones cliente, equipo de soporte
(cintas de back-up, control de acceso,
derrame de caf)
Administracin de Riesgos
Seguridad Informtica Involucrados

Amateurs
Hackers
Empleados maliciosos
Rateros
Crackers
Vndalos
Criminales
Espas (gobiernos
forneos)
Terroristas
 Administracin de Riesgos
Seguridad Informtica Vulnerabilidades
Caractersticas o debilidades en el sistema de seguridad que
pueden ser explotadas para causar daos o perdidas (facilitan la
ocurrencia de una amenaza)

Interrupcin: un activo se pierde, no est disponible, o no se

puede utilizar
Intercepcin: alguna parte (persona, programa o sistema de
computo) no autorizada accede un activo
Modificacin: una parte no autorizada accede y manipula
indebidamente un activo
Fabricacin: Fabricar e insertar objetos falsos en un sistema
computacional
 Administracin de Riesgos
Seguridad Informtica Vulnerabilidades
Interrupcin Intercepcin
(Negacin del Servicio) (Robo)

Hardware

Actos Involuntarios/Accidentales Intencionales/Voluntarios que limitan la

Software disponibilidad Datos
Destruccin
Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas, Ataques
fsicos, Bombas

Robo
 Administracin de Riesgos
Seguridad Informtica Vulnerabilidades

Borrado accidental o destruccin de

programas

Robo - Copia ilcita de programas

Hardware
Causar fallas o errores
Salvar una copia mala de un programa
Software destruyendo una buena, Programas
Datos
modificados (cambio de bits, de
instrucciones bombas lgicas, efectos
colaterales)
Interrupcin (Borrado) Caballos de Troya, Virus, Puerta falsa,
Intercepcin Fuga de Informacin
Modificacin
 Administracin de Riesgos
Seguridad Informtica Vulnerabilidades
Robo

Confidencialidad lneas
derivadas, recipientes de basura,
soborno a empleados claves,
inferencia, preguntando, compraHardware

Programas maliciosos Tcnica

Software
de salami, utilidades del sistema Datos
de archivos, facilidades de
comunicacin defectuosas
Interrupcin (Perdida)
Reprocesamiento de datos
Intercepcin
utilizados, adicionar registros en
una base de datos Modificacin
Fabricacin
 Administracin de Riesgos
3. Analizar Riesgos
3.1. Valorar Riesgo Inherente

3.2. Determinar Controles Existentes

3.3. Identificar Nivel de Exposicin

Valorar el posible dao que puede ser

causado
Administracin de Riesgos
Cmo valorar riesgo?

Probabilidad x
Impacto
Frecuencia x
Impacto
$ Inherente
Nivel de
exposicin
Residual
 Administracin de Riesgos
Controles en Seguridad

Controles
Administrativos

Politcas, Estndares,
Procedimientos,
Guas,
Controles Tcnicos
Entrenamiento
Acceso lgico,
controles,
encripcin,
dispositivos de seguridad, Controles fsicos
Identificacin y autenticacin
Proteccin de instalaciones,
Guardias, candados,
Monitoreo,
Controles ambientales
 Administracin de Riesgos
Controles en Seguridad
Medidas protectoras acciones, dispositivos, procedimientos o tcnicas que
reducen una vulnerabilidad

Conf. Integ. Disp. Interr. Interc. Mod. Fab.

Encripcin
Administracin de la Configuracin
(Control de Cambios a Programas)

Polticas

Controles de Hardware

Controles Fsicos (candados y

guardas)
 Valorar prioridades de riesgo
VALORAR Y
PRIORIZAR
RIESGOS SI
Riesgo aceptable? Aceptar

Riesgo residual no aceptable NO

IDENTIFICAR
OPCIONES DE Transferir total o Evitar
Reducir Reducir
parcialmente
TRATAMIENTO probabilidad consecuencia

Considerar factibilidad, costos y beneficios, y niveles de riesgo

EVALUAR
OPCIONES DE Recomendar estrategias de tratamiento
TRATAMIENTO
Monitorear
Seleccionar estrategia de tratamiento
y Revisar
PREPARAR
Preparar planes de tratamiento para reducir, transferir o evitar el riesgo,
PLANES DE financiando cuando sea apropiado
TRATAMIENTO

Transferir total o
Reducir Reducir Evitar
parcialmente
probabilidad consecuencia
IMPLEMENTAR
PLANES DE Porcin Porcin
TRATAMIENTO retenida transferida

NO Riesgo residual SI
Retener
aceptable?

Asegurar la efectividad costo/beneficio de los controles

 Administracin de Riesgos
Dnde invertir?
Principio de la Adecuada Proteccin: Los tems deben ser protegidos solo hasta
que ellos pierden su valor y deben ser protegidos de manera consistente con su
valor

Variables:
Cantidad de involucrados
Esfuerzo de Aseguramiento
Hardware Valor del activo
Duracin del Activo
Esfuerzo de deteccin de
incidentes
Software Datos Impacto en los objetivos del
negocio
Efectividad de la medida
Nivel de sofisticacin
Facilidad de uso
NIA 300

Planeacin de Auditora de
Estados Financieros
Planeacin de una Auditora de Estados Financieros

La planeacin le permite obtener un entendimiento del marco de referencia

legal y determinar procedimientos de evaluacin del riesgo, aspectos
importantes para el desarrollo de la auditora, teniendo en cuenta que la
planeacin es un proceso continuo e interactivo .

Objetivo
El auditor debe planear la auditora para realizar un trabajo efectivo y
apropiado.
Obtener un entendimiento del negocio de la entidad.
Entender y evaluar el diseo e implementacin de los controles.
Evaluar los riesgos de que ocurran errores significativos en los estados
financieros y planear una estrategia de auditora en respuesta a dichos
riesgos.
Desarrollar nuestro enfoque de auditora planeado con respecto a las
cuentas y revelaciones significativas
Propsito.

Establecer normas y proporcionar lineamiento sobre la

planeacin de auditoria de Estados Financieros y es
aplicable a auditorias recurrentes.

Desarrollar una estrategia general y un enfoque detallado

para la naturaleza, oportunidad y alcance esperados de la
auditora.
Objetivos de la planeacin

Obtener un entendimiento del negocio de la entidad.

Entender y evaluar el diseo e implementacin de los

controles.
Evaluar los riesgos de que ocurran errores significativos
en los estados financieros y planear una estrategia de
auditora en respuesta a dichos riesgos.
Desarrollar nuestro enfoque de auditora planeado con
respecto a las cuentas y revelaciones significativas.
Actividades preliminares del trabajo

Efectuar procedimientos sobre la continuacin de la

relacin con el cliente y el trabajo especfico de
auditora.
Evaluar el cumplimiento de los requisitos ticos,
incluyendo la independencia.
Establecer un entendimiento de los trminos del
trabajo.
 Componentes de la planeacin de auditoria

La estrategia general de auditora:

Establece el alcance, la oportunidad y la direccin de la auditora

Determinar las caractersticas del trabajo que definen su alcance
(Estructura y Requisitos de emisin de informes)
Considerar los factores importantes que determinarn cmo concentrar
los esfuerzos del equipo de trabajo, como: - Identificar reas en las
que se presenten mayores riesgos y errores importantes - Saldos de
cuentas importantes - Evaluacin de si el auditor pudiera planear
obtener evidencia sobre la eficacia del control interno

En el proceso de establecer una estrategia general, el auditor se

cuestiona:
Uso apropiado y cantidad de miembros del equipo con experiencia en
reas de alto riesgo
Participacin de expertos en asuntos complejos
Administracin, direccin y supervisin de los miembros del equipo
NIA 315

Identificacin y Evaluacin de
los Riesgos de
Representacin Errnea de
Importancia Relativa Mediante
el Entendimiento de la
Entidad y su Entorno
Procedimientos de evaluacin de Riesgos

Su propsito es proveer una adecuada base (evidencia) para

la identificacin y evaluacin de los riesgos:

Investigaciones con la Administracin y otro personal de la

Entidad.(Efectividad del Control Interno, Proceso de transacciones)
Procedimientos Analticos.(Hechos o transacciones inusuales)
Observaciones e Inspecciones.(Inspeccin de documentos)
Otros procedimientos.(Preguntas a asesores legales)
Informacin Obtenida en Proceso de Aceptacin o
Continuidad del Cliente y la Informacin obtenida de Aos
Anteriores.
El Conocimiento de la Entidad y su Entorno Incluido el Control Interno

Enfocado en los siguientes aspectos:

Factores de la Industria, de Regulacin y otros Factores

Externos.(Relacin con proveedores y clientes)
Naturaleza de la Entidad.(Operaciones de la Entidad)
Objetivos, Estrategias y Riesgos del Negocio.(Reputacin errnea de
importancia relativa de EE.FF.)
Medicin y Revisin del Desempeo Financiero de la
Entidad.(Identifica deficiencias en Control Interno)
El control Interno
Control Interno

Qu es el Control Interno?

Proceso diseado y efectuado por los encargados del

Gobierno Corporativo, la Administracin y otro personal, para
proporcionar seguridad razonable, sobre el logro de los
Objetivos de la Entidad respecto de la Confiabilidad de la
informacin financiera, efectividad y eficacia de las
operaciones y cumplimiento de las leyes.
 Componentes del Control Interno

Ambiente de Control.(Incluye funciones gobierno

Corporativo y Admn.)
Evaluacin de Riesgos de la
Entidad.(Evaluar diseo de ambiente de control de la entidad)
Actividades de Control) .( Polticas y
procedimientos)
Informacin y Comunicacin.(Manuales o TI )
Monitoreo .(Evala la efectividad del desempeo del control
interno)
Identificacin y Evaluacin del Riesgo de Imprecisiones o
Errores Significativos

A nivel de EE.FF. (Riesgos Inherentes) y a nivel de manifestacin (Transacciones,

Saldos de cuentas y revelaciones).

Identificacin: Conocimiento del Negocio y su Entorno.

Si el auditor no ha identificado riesgos: No significan que no
existan.(Recurrir al riesgo de la auditoria)

Existen riesgos para los cuales los procedimientos sustantivos

no proporcionan base suficiente de evidencia.(Compaas que
ofrecen servicios o productos por internet)
Evaluacin del riesgo que debe ser revisado durante todo la
auditoria.(Desarrollo de pruebas de controles y sustantivas)
Riesgos que Requieren Consideracin Especial

El auditor, como parte de la evaluacin, debe determinar

qu riesgos requieren especial consideracin.(Significativos)
Transacciones rutinarias o poco complejas.(Poca probabilidad de
riesgo significativo)

Asuntos fuera de la normal actividad del negocio.(Fraude,

riesgos econmicos de legislacin, transacciones complejas e inusuales)
El auditor debe evaluar el control interno relacionado
con los riesgos especiales.(Ver si los controles implantados estn operando)
Comunicacin al Gobierno Corporativo y a la
Administracin

El auditor debe comunicar las debilidades de la importancia

relativa del diseo o implementacin del control interno.
Documentacin:

Conversaciones y discusiones entre el equipo de trabajo,

relacionado con la identificacin y evaluacin de
riesgos.(Error o Fraude)
Elemento clave del conocimiento del negocio.(Aspectos de Entidad y su
entorno)

Riesgos identificados y evaluados de representacin

errnea de importancia relativa.(en EE.FF. Y Aseveracin)
Riesgos identificados y controles evaluados.
Factores Indicativos de Riesgo Significativo

Operaciones en regiones inestables econmicamente.

Problemas en la disponibilidad del crdito y capital.

Problemas de liquidez, incluyendo perdidas de clientes
importantes.
Cambios en las industrias.
Expansin de nuevas localidades o lneas de negocios.
Cambios en la Entidad.(Reorganizacin o Adquisicin)
Carencia de personal calificado.
Debilidades en el control interno.
Instalacin de nuevos sistemas de informacin.
Entre otros.
NIA 402-EMPRESA DE SERVICIOS - OBJETIVO

El propsito de esta Norma Internacional de

Auditora (NIA) es establecer reglas y suministrar
criterios al auditor cuyo cliente utilice empresas de
servicios. Esta NIA tambin describe los informes
del auditor de la empresa de servicios que pueden
ser obtenidos por el auditor del cliente.
NIA 402-EMPRESA DE SERVICIOS - OBJETIVO

Naturaleza de los servicios prestados por la organizacin

de servicios.
Trminos del contrato entre el cliente y la organizacin
de servicios.
Aseveraciones de los estados contables que son
afectados por el uso de la organizacin de servicios.
Grado de interaccin de los sistemas del cliente y de la
organizacin de servicios.
Capacidad y fuerza financiera de la organizacin de
servicios y como afectara la falta de servicio.
Utilizacin del informe del auditor de la organizacin de
servicios.