El riesgo en los procesos de auditoría de sistemas y la automatización de la auditoría

--- title: 'El riesgo en los procesos de auditoría de sistemas y la automatización de la auditoría' author: Luis España y Mónica Lameda --- El riesgo en los procesos de auditoría de sistemas y la automatización de la auditoría === > [name=España, E. y Lameda, M.] [time=Oct 08, 2021 ] ![Uploading file..._vfg9sh3so]() aqui va la imagen Todos los procesos empresariales impulsados por la tecnología están expuestos a amenazas a la seguridad y la privacidad. Las tecnologías sofisticadas son capaces de combatir los ataques a la ciberseguridad, pero no son suficientes: las organizaciones deben asegurarse de que los procesos empresariales, las políticas y el comportamiento de la fuerza de trabajo también minimicen o mitiguen estos riesgos. ## Tabla de Contenidos [TOC] ## El Riesgo Informático. El riesgo informático se define como una **dificultad que interviene en el cumplimiento de una meta o así mismo una amenaza a la pérdida de documentos o información**. Este riesgo puede estar clasificado en ganancia o pérdida. Los medios que este riesgo informático presenta son: * **Probabilidad**: Mirar o plantear que probabilidades hay de que se presente amenazas frente a un trabajo que estemos realizando. * **Amenazas**: Son acciones que se presentan en una empresa ocasionando resultados negativos y pueden ser de carácter físico o lógico. * **Vulnerabilidades**: Es cuando la amenaza está presente pero no se hace visible o real. * **Activos**: Son los datos relacionados con el sistema de información. * **Impacto**: Los resultados de estas amenazas siempre resultan negativas. ## La Evaluación del Riesgo y las herramientas para evaluar el riesgo. La evaluación del riesgo se hace de manera cualitativa** generando una comparación en la cual se presenta el análisis de la probabilidad de ocurrencia del riesgo versus el impacto del mismo, obteniendo al final la matriz denominada “Matriz de Calificación, Evaluación y respuesta a los Riesgos”, con la cual la guía presenta la forma de calificar los riesgos con los niveles de impacto y probabilidad establecidos anteriormente, así como las zonas de riesgo presentando la posibles formas de tratamiento que se le puede dar a ese riesgo, tal como se muestra en la siguiente imagen: ![](https://i.imgur.com/t11rgcN.png) *Ilustración 1 “Matriz de Calificación, Evaluación y respuesta a los Riesgos” Fuente: Guía de Riesgos DAFP* ## ¿Cómo se puede identificar y evaluar los riesgos tecnológicos? Una vez que tenemos determinado un valor de riesgo para cada amenaza que puede afectar o comprometer el estado de seguridad de un activo de información se estima de acuerdo a confidencialidad, integridad y disponibilidad de la información y luego se designa qué niveles de riesgos son asumibles y con cuales deberemos tomar medidas, para esto se tiene la siguiente tabla: | Calificación del riesgo | Descripción | | ----------------------- | -------- | | Muy Alto (7-9) | El riesgo es totalmente inaceptable. Se deben tomar medidas inmediatas para reducir los riesgos y mitigar los riesgos | | Alto (5-6) | El riesgo es totalmente inaceptable. Las medidas inmediatas para reducir los riesgos y los riesgos de mitigación deberían implementarse lo antes posible | | Medio (3-4) | El riesgo puede ser aceptable en el corto plazo. Los planes para reducir los riesgos y mitigar los peligros debebrían incluirse en los planes y presupuestos futuros. | | Bajo (0-2) | El riesgo es totalmente inaceptable. Se deben tomar medidasinmediatas para reducir los riesgos y mitigar los riesgos | Con base en los hallazgos del análisis de riesgos, el siguiente paso en el proceso es identificar las medidas disminuyan los diversos niveles de riesgo. Estos se denominan dentro de la norma ISO 27001 como controles de riesgos para la seguridad de la información. El proceso de la Auditoría de Sistemas basado en Riesgos --- La auditoría basada en riesgos es una forma de conducir las auditorías internas y externas de diferentes tipos, a partir de la planeación y desarrollo en los riesgos críticos, es decir, los que pudieran causar mayor impacto negativo en la obtención de objetivos de la organización (estratégicos, operacionales, de información y de cumplimiento). El modelo de auditoría basado en riesgos, agrega valor a una organización de diferentes maneras. A continuación, se presentan algunas de ellas: * **Enfoque centrado en el negocio que ayuda a la organización a lograr sus objetivos**: La auditoría basada en riesgos une los diferentes elementos de la auditoría interna: objetivos, procesos, riesgos, controles, pruebas e informes. * **Enfoque de auditoría inclusivo que facilita la gestión de la gerencia**: Como resultado de que la organización está estrechamente involucrada en el proceso de riesgo y auditoría a través de talleres de riesgo, autoevaluaciones de riesgo y control, actividades de aseguramiento, etc., la administración puede relacionarse claramente con los beneficios del resultado de la auditoría. * **Nivel óptimo de aseguramiento que respalda el logro de los objetivos del negocio**: La auditoría basada en riesgos garantiza que los riesgos más importantes para la organización (vinculados a los objetivos clave) son auditados y que la administración asume la responsabilidad de la mitigación y el monitoreo de estas áreas de alto riesgo de forma continua. * **Mejor priorización de hallazgos y recomendaciones**: Los hallazgos y las recomendaciones pueden clasificarse para proporcionar el mayor valor agregado en términos de los riesgos mitigados relacionados con el logro de los objetivos comerciales. * **Mejora de la mitigación de riesgos**: La auditoría basada en riesgos resalta los riesgos clave que están controlados de manera inadecuada o sobre controlada, mejorando así la mitigación de riesgos y la eficiencia general del negocio. * **Uso más efectivo de los recursos de auditoría**: Con la auditoría basada en el riesgo, el plan de auditoría está determinado por la naturaleza y la cantidad de riesgos sobre los cuales el comité de auditoría requiere garantías. Se diferencia del enfoque alternativo, por el cual los recursos disponibles determinan las auditorías que pueden realizarse. También garantiza que los recursos se destinen a auditar los riesgos más significativos Es importante tener en cuenta que, para que una auditoría agregue valor y mejore las operaciones de la compañía, es importante que el auditor comprenda los objetivos comerciales de la organización y los riesgos que amenazan o deben tomarse (oportunidades) para alcanzar estos objetivos. Saber dónde se encuentran los mayores riesgos, hace que sea más fácil para el auditor interno enfocar su esfuerzo de auditoría en las áreas donde se puede agregar el mayor valor. ## Técnicas y Herramientas de Auditoría Asistidas por Computador La norma SAP 1009 (Statement of Auditing Practice) denominada Técnicas de Auditoría Asistidas por Computadora (TAAC's), plantea el uso de dichas técnicas en la auditoría de sistemas. Estas son un conjunto de técnicas y herramientas utilizados en el desarrollo de las auditorías informáticas con el fin de mejorar la eficiencia, alcance y confiabilidad de los análisis efectuados por el auditor, a los sistemas y los datos de la entidad auditada. Incluyen métodos y procedimientos empleados para efectuar su trabajo, que pueden ser administrativos, analíticos, informáticos, entre otros; los cuales, son de suma importancia para el auditor informático cuando este realiza una auditoría, sin dejar a un lado las técnicas tradicionales como son la inspección, observación, confirmación, revisión, etc... Las TAAC’s incluyen distintos tipos de herramientas y de técnicas, las que más se utilizan son los software de auditoría generalizado, software utilitario, los datos de prueba y sistemas expertos de auditoría. Se pueden utilizar para realizar varios procedimientos de auditoría incluyendo: * Pruebas de detalles de transacciones y balances (Recálculos de intereses, extracción de ventas por encima de cierto valor, etc.) * Procedimientos analíticos: identificación de partidas o fluctuaciones significativas. * Pruebas de controles generales, tales como configuraciones en sistemas operativos y diferentes aplicativos, procedimientos de acceso al sistema (usuarios y perfiles definidos), comparación de códigos y versiones. * Programas de muestreo para extraer datos. * Pruebas de cumplimiento de los controles informáticos sobre aplicaciones (por ejemplo, el uso de verificaciones de datos para comprobar el funcionamiento de un procedimiento o prueba previamente programados) > Algunos softwares son: `Easy2Analyse (QDAC.net)` `ESKORT Computer Audit (SESAM)` `InfoZoom` `Interactive Data Extraction and Analysis (IDEA)` `Cristal Reports` ## Proceso de Administración y monitoreo durante un proceso de Auditoría Asistida por Computador El uso de las TAACs proporciona un medio para mejorar el grado de análisis de la información, a fin de cubrir los objetivos de las revisiones de auditoría, y reportar los hallazgos con relevancia en el nivel de confiabilidad de los registros generados y mantenidos en sistemas computacionales. El objetivo del proceso administrativo es verificar, evaluar y promover el cumplimiento y apego al correcto funcionamiento de las fases o elementos del proceso y lo que incide en ellos. Es su objetivo también evaluar la calidad de la administración en su conjunto. La implementación del monitoreo consiste en la evaluación del control interno de las operaciones para identificar riesgos, y con base en estos, diseñar los procedimientos automatizados de auditoría, que permitan formular propuestas para administrar estos riesgos y realizar revisiones periódicas a estas operaciones, para vigilar su cumplimiento tanto por la misma área como por auditoría interna. A juicio del auditor en TI se seleccionan las herramientas que mejor se adapten al tipo de sistema que se va a auditar. --- ###### Tags: `Auditoría de Sistemas` `Riesgos Informáticos` `Evaluación de riesgos` `TAACs` `Automatización de la auditoria` > [name=España, E. y Lameda, M.] [time=Oct 08, 2021 ] :::info **Te gustó este artículo?** Deja un comentario :::