Professional Documents
Culture Documents
Contador Pblico
o
Ingeniero en
Informtica
TRABAJO EN EQUIPOS: DEFINICIONES
Evolucin del enfoque de auditora
Valor hacia el negocio
Alineacin con la
visin y misin
empresarial
Econmia,
Eficiencia y Eficacia
de las operaciones
Finanzas y
Contabilidad
El auditor debera tener suficiente conocimiento del SIC para planear dirigir,
supervisar y revisar el trabajo desarrollado.
Para los propsitos de las NIA existe un SIC cuando la entidad, al procesar la informacin
financiera significativa para la auditora, emplea sistemas de informacin como equipos de
computo de cualquier tipo o tamao, ya sea operado por la propia entidad o por un tercero.
Por consiguiente, un ambiente SIC puede afectar:
Los procedimientos seguidos por un auditor para obtener una comprensin suficiente de
los sistemas de contabilidad y de control interno.
La consideracin del riesgo inherente y del riesgo de control a travs de la cual el auditor
llega a la evaluacin del riesgo.
El diseo y desarrollo por el auditor de pruebas de control y procedimientos sustantivos
apropiados para cumplir con el objetivo de la auditora.
IMPACTO DEL AMBIENTE SIC
ambiente.
SISTEMAS DE COMPUTADORAS EN LNEA
RIESGOS
Efecto de la
incertidumbre
sobre los
objetivos
NTC ISO 31000 /2011
ADMINISTRACIN DEL RIESGO
Definiciones
BENEFICIOS
PRINCIPIOS
Crea y protege el valor
Parte integral de todos los procesos de la
organizacin
Parte para la toma de decisiones
Aborda explcitamente la incertidumbre
Es sistemtica, estructurada y oportuna
Se basa en la mejor informacin disponible
Esta adaptada
Toma en consideracin los factores
humanos y culturales
Transparente e inclusive
Dinmica, reiterativa, y receptiva al cambio
Facilita la mejora continua
Evaluar riesgo, implica en primer lugar asumir a que se
est expuesto, cun probable es que me ocurra un
suceso, y si sucede que impacto o consecuencias
puede tener.
REDUCCIN DE RIESGO
Medidas personales
Contratacin, Capacitacin, Sensibilizacin, ...
Medidas organizativas
Normas y reglas, Seguimiento de control,
Auditora, ...
ADMINISTRACIN DEL RIESGO
Medidas de Proteccin
Verificacin de funcionalidad
Respaldado por coordinacin
Esfuerzo adicional y costos vs. eficiencia
Evitar medidas pesadas o molestas
Se pierde la informacin/conocimiento
Terceros tienen acceso a la
informacin/conocimiento
Informacin ha sido manipulada o est incompleta
Informacin/conocimiento o persona no est
disponible
Cambio de legitimidad de la fuente de informacin
ADMINISTRACIN DEL RIESGO
FACTORES EXTERNOS
FINANCIEROS ESTRATEGICOS
Eventos accidentales
Eventos operativos
Eventos financieroa
Eventos estratgicos
OPERACIONALES ACCIDENGTALES
FACTORES EXTERNOS
VISIN GENERAL GESTION DE RIESGOS
Proceso de Administracin de Riesgos
2. Identificar Riesgos
Monitorear
3. Anlisis de Riesgos
y Revisar
Anlisis Externo
1.3. Identificar Criterios de Calificacin
Aspectos financieros,
operacionales, competitivos, Objetivos
polticos (percepcin / imagen),
1.4. Identificar Objetos Crticos
sociales, clientes, culturales y Estrategias
legales
Stakeholders
Administracin de Riesgos
1. Establecer Marco General
Metodologa
1.1. Entender el Entorno
Polticas
Criterios de Calificacin y Tablas de Valoracin
1.2. Entender la Oganizacin
Universo de Objetos y Objetos Crticos Priorizados
Alta 3 15 30 60
Zona de riesgo Zona de riesgo Zona de riesgo
Moderado Importante. Inaceptable
Prevenir el riesgo Prevenir el riesgo Evitar el riesgo
Proteger la entidad Prevenir el riesgo
Compartirlo Proteger la entidad
Compartir
Media 2 10 20 40
Zona de riesgo Zona de riesgo Zona de riesgo
Tolerable Moderado. Importante
Aceptar el riesgo Prevenir el riesgo Prevenir el riesgo
Prevenir el riesgo Proteger la entidad Proteger la entidad
Compartirlo Compartirlo
Baja 1 5 10 20
Zona de riesgo Zona de riesgo Zona de riesgo
Aceptable Tolerable Moderado
Aceptar el riesgo Proteger la entidad Proteger la entidad
Compartirlo Compartirlo
Impacto Leve Moderado Catastrfica
Valor 5 10 20
Objeto n
Objeto 3
Objeto 2
Objeto 1
Criterio n
Administracin de Riesgos
Qu calificar - Objetos?
Inters de la Direccin
Procesos Subprocesos Lista de Objetos
Proyectos a los cules se les
Unidades Orgnicas puede realizar
Sistemas - Aplicaciones Administracin
Geogrficamente de Riesgos
Administracin de Riesgos
Qu calificar - Objetos?
Basado en Procesos (Negocio COBIT)
Basado en Sistemas
Basado en Proyectos
Basado en Infraestructura
Administracin de Riesgos
Qu calificar - Objetos?
Basado en Procesos (Negocio COBIT)
Planeacin estratgica de sistemas
Basado en Sistemas
Desarrollo de sistemas
Evolucin o mantenimiento de sistemas
Integracin de paquetes de software
Capacitacin
Basado enenProyectos
Proceso de datos ambientes de trabajo en batch
Atencin a requerimientos de usuarios
Administrar servicios de terceros (incluye outsourcing)
Basado endeInfraestructura
Administracin proyectos
Basado en Sistemas
Para un sistema en particular
Programas Archivos - Procedimientos
Basado en Proyectos
Eventos - Entrada Comunicacin Proceso Salida -
Distribucin
Basado en Infraestructura
Administracin de Riesgos
Qu calificar - Objetos?
Basado en Procesos (Negocio
COBIT)
Basado en Sistemas
Basado en Proyectos
A Productos
Basado
Anlisis en Infraestructura
al Proceso
Administracin de Riesgos
Qu calificar - Objetos?
Basado en Procesos (Negocio
COBIT)
Basado en Infraestructura
Administracin de Riesgos
Cmo calificar Criterios?
De Negocio Prdida financiera
Prdida de imagen
Discontinuidad del negocio
Incumplimiento de la misin
Calidad del Control Interno
IIA Competencia de la Direccin (entrenamiento, experiencia,
compromiso y juicio)
Integridad de la Direccin (cdigos de tica)
Exposicin financiera Cambios recientes en procesos (polticas, sistemas, o
Prdida y riesgo potencial direccin)
Requerimientos de la direccin Tamao de la Unidad (Utilidades, Ingresos, Activos)
Cambios importantes en operaciones, Liquidez de activos
programas, sistemas y controles Cambio en personal clave
Oportunidades de alcanzar beneficios Complejidad de operaciones
operativos Crecimiento rpido
Capacidades del persona Regulacin gubernamental
Condicin econmica deteriorada de una unidad
Presin de la Direccin en cumplir objetivos
Nivel de moral de los empleados
Exposicin poltica / Publicidad adversa
Distancia de la oficina principal
Administracin de Riesgos
Cmo calificar Criterios Seguridad Informtica
Confidencialidad
Los activos de un sistema computacional son accedidos solo por personas autorizadas
El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o an solo conociendo la
existencia de un objeto
SECRETO, RESERVA, PRIVACIDAD
Integridad
SOLO PERSONAS Disponibilidad
AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS
INDEPENDENCIA - TRASLAPO
Administracin de Riesgos
2. Identificar Riesgos
2.1. Establecer el Contexto de Administracin de Riesgos
Hardware
Software Datos
Medios de almacenamiento
Redes
Acceso
Gente clave
Administracin de Riesgos
Seguridad en Redes Activos (Componentes)
Hardware
Servidores, estaciones cliente, dispositivos de comunicacin (router, bridge,
hub, gateway, modem), dispositivos perifrico, cables, fibras
Software (o Servicios)
Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones,
herramientas (administrativas, mantenimiento, backup), software bajo desarrollo
Datos
De la organizacin: bases de datos, hojas electrnicas, procesamiento de palabra, e-
mail
De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria,
configuracin y parmetros de la red
De los usuarios: datos procesados personal, archivos de propiedad del usuario
Administracin de Riesgos
Seguridad en Redes - Riesgos
Consecuencia Evento
Resultado de un evento o Situacin que podra llegar a
situacin expresado ocurrir en un lugar
cualitativa o determinado en un momento
cuantitativamente dado
Causa
Evento primario fundamento
u orgen de una consecuencia
Administracin de Riesgos
2. Cmo escribir Riesgos?
Riesgo
Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podran llegar a impactar el
logro de los objetivos"
Consecuencia, Evento,
Impacto, Amenaza
Exposicin
o Resultado
+ Causa,
Evento primario
o Situacin
Administracin de Riesgos
Seguridad en redes Impactos Significativos
Violacin de la privacidad
Demandas legales
Perdida de tecnologa propietaria
Multas
Perdida de vidas humanas
Desconcierto en la organizacin
Perdida de confianza
Administracin de Riesgos
Seguridad Informtica - Amenazas
Naturales
Accidentales
Deliberadas
Administracin de Riesgos
Seguridad Informtica Amenazas Naturales
Amateurs
Hackers
Empleados maliciosos
Rateros
Crackers
Vndalos
Criminales
Espas (gobiernos
forneos)
Terroristas
Administracin de Riesgos
Seguridad Informtica Vulnerabilidades
Caractersticas o debilidades en el sistema de seguridad que
pueden ser explotadas para causar daos o perdidas (facilitan la
ocurrencia de una amenaza)
Hardware
Robo
Administracin de Riesgos
Seguridad Informtica Vulnerabilidades
Confidencialidad lneas
derivadas, recipientes de basura,
soborno a empleados claves,
inferencia, preguntando, compraHardware
Probabilidad x
Impacto
Frecuencia x
Impacto
$ Inherente
Nivel de
exposicin
Residual
Administracin de Riesgos
Controles en Seguridad
Controles
Administrativos
Politcas, Estndares,
Procedimientos,
Guas,
Controles Tcnicos
Entrenamiento
Acceso lgico,
controles,
encripcin,
dispositivos de seguridad, Controles fsicos
Identificacin y autenticacin
Proteccin de instalaciones,
Guardias, candados,
Monitoreo,
Controles ambientales
Administracin de Riesgos
Controles en Seguridad
Medidas protectoras acciones, dispositivos, procedimientos o tcnicas que
reducen una vulnerabilidad
Polticas
Controles de Hardware
IDENTIFICAR
OPCIONES DE Transferir total o Evitar
Reducir Reducir
parcialmente
TRATAMIENTO probabilidad consecuencia
EVALUAR
OPCIONES DE Recomendar estrategias de tratamiento
TRATAMIENTO
Monitorear
Seleccionar estrategia de tratamiento
y Revisar
PREPARAR
Preparar planes de tratamiento para reducir, transferir o evitar el riesgo,
PLANES DE financiando cuando sea apropiado
TRATAMIENTO
Transferir total o
Reducir Reducir Evitar
parcialmente
probabilidad consecuencia
IMPLEMENTAR
PLANES DE Porcin Porcin
TRATAMIENTO retenida transferida
NO Riesgo residual SI
Retener
aceptable?
Variables:
Cantidad de involucrados
Esfuerzo de Aseguramiento
Hardware Valor del activo
Duracin del Activo
Esfuerzo de deteccin de
incidentes
Software Datos Impacto en los objetivos del
negocio
Efectividad de la medida
Nivel de sofisticacin
Facilidad de uso
NIA 300
Planeacin de Auditora de
Estados Financieros
Planeacin de una Auditora de Estados Financieros
Objetivo
El auditor debe planear la auditora para realizar un trabajo efectivo y
apropiado.
Obtener un entendimiento del negocio de la entidad.
Entender y evaluar el diseo e implementacin de los controles.
Evaluar los riesgos de que ocurran errores significativos en los estados
financieros y planear una estrategia de auditora en respuesta a dichos
riesgos.
Desarrollar nuestro enfoque de auditora planeado con respecto a las
cuentas y revelaciones significativas
Propsito.
Identificacin y Evaluacin de
los Riesgos de
Representacin Errnea de
Importancia Relativa Mediante
el Entendimiento de la
Entidad y su Entorno
Procedimientos de evaluacin de Riesgos
Qu es el Control Interno?