Etapa 3_ Identificacion

7/21/2019 Etapa 3_ Identificacion

1/76

MANUAL DEL USUARIO DE AUDIRISK

Versin 2012

ETAPA 3: IDENTIFICACION Y DOCUMENTACION DE RIESGOS

SOFTWARE DE AUDITORIA BASADA EN RIESGOS, PARAPROCESOS DE NEGOCIO Y SISTEMAS DE INFORMACIN


2/76

Contenido

ETAPA 3: IDENTIFICAR Y EVALUAR RIESGOS INHERENTES. ............................................... 3

Terminologa de Riesgos empleada en el software AUDIRISK ............................................................... 5

Paso 3.1: Clases de Riesgos Aplicables. .............................................................................................. 16

Paso 3.2: Priorizar Clases de Riesgo (opcional). .................................................................................. 17

Paso 3.3: Identificar Riesgos Crticos. ................................................................................................. 28

Paso 3.4: Asignar Amenazas a Riesgos (obligatorio)............................................................................ 29

Paso 3.5: Documentacin de Amenazas (obligatorio). ............ .............. ............ .............. ............ ........ 40

Paso 3.6: Evaluar Riesgo Inherente. ................................................................................................... 56

Paso 3.7: Perfiles de Riesgo Inherente. .............................................................................................. 63

Paso 3.8: Seleccionar Alternativas de Respuesta a Riesgos. ............. .............. ............ .............. ........... 70

Paso 3.9: Papeles de Trabajo. ............................................................................................................ 73

Paso 3.10: Estado de Avance de la Auditora ...................................................................................... 74


3/76

ETAPA 3: IDENTIFICAR Y EVALUAR RIESGOS INHERENTES.

El objetivo de esta etapa es identificar, priorizar, documentar y evaluar la exposicin a riesgos

inherentes en el proceso o sistema objeto de la auditoria. En la figura 3.1 se muestra el men

principal de esta etapa, el cual consta de diez (10) pasos que deben ser ejecutadas de manera

secuencial:

Figura 3.1:Men de la Etapa 3.

Al llegar a esta etapa de la Auditoria, se pueden presentar dos situaciones:

a)

El proceso o sistema objeto de la auditoria est incluido en la Planeacin Anual de la

Auditoria. En este caso, el software ya tiene priorizadas las categoras de riesgo y por

consiguiente se omitirn los pasos 3.1 y 3.2


4/76

b)

El proceso o sistema objeto de la auditoria NO est incluido en la Planeacin Anual de la

Auditoria. En este caso es necesario ejecutar completamente los pasos 3.1 y 3.2

Una sntesis de las funcionalidades que satisface cada uno de los pasos de esta etapa es la

siguiente:

1)

Clases de Riesgos Aplicables (obligatorio). Apoyndose en la base de conocimientos del

software, el auditor identifica las clases o categoras de riesgo que sean aplicables al

proceso o sistema objeto de la auditoria. Estas clases de riesgo se seleccionan del modelo

de clases de riesgo adoptado por la auditoria.

2)

Priorizar Clases de Riesgo (opcional). Este paso el software ofrece dos mtodos para

priorizar las categoras de riesgo aplicables al proceso que se est auditando, segn el

impacto financiero probable de su ocurrencia.

3) Identificar Riesgos Crticos(obligatorio). En este paso, el auditor marca o selecciona las 3

4 categoras de riesgo crticas del proceso o sistema, sobre las que se ejecutarn los

dems pasos y etapas de la auditoria.

4)

Asignar Amenazas a Riesgos (obligatorio): Por cada una de las clases de riesgo crticas

seleccionadas en el paso anterior y apoyndose en la base de conocimientos suministrada

por el software, se identifican las amenazas o eventos negativos (cdigo y nombre) que

podran originar la ocurrencia de la categora de riesgo. Se recomienda identificar almenos seis (6) amenazas por cada categora de riesgo crtica.

5)

Documentacin de Amenazas (obligatorio). Por cada amenaza identificada en el paso

anterior, se documentan los siguientes elementos del riesgo: vulnerabilidades que crean

el ambiente propicio para que ocurra la amenaza, activos impactados, agentes que

podran generarla, frecuencia probable de ocurrencia en el horizonte de un ao, impacto

financiero y operacional por ocurrencia, consecuencias que podra originar en caso de

presentarse, actividades del proceso y reas organizacionales donde podra presentarse.

6)

Evaluacin Riesgo Inherente (obligatorio). Con base en los datos ingresados en el paso

anterior, el software evala el riesgo inherente por cada una de las amenazas y elabora

mapas de riesgos inherentes organizados por categora de riesgo, factor de riesgo (agente

generador) y segmento de factor de riesgo.


5/76

7) Perfil Riesgo Inherente:Por cada categora de riesgo crtica, el software muestra el valor

promedio del riesgo Inherente y la cantidad de amenazas en cada nivel de exposicin a

riesgos (Extremo, Alto, Moderado o Bajo)

8) Seleccionar Alternativas de Respuesta a Riesgos: Por cada una de las amenazas con

riesgo inherente diferente de Bajo (Tolerable), el auditor selecciona las alternativas de

manejo de riesgos que deberan utilizarse (asumir, dispersar, evitar, reducir y transferir)

9) Papeles de Trabajo. El software ofrece una lista de los principales reportes con los

resultados de esta etapa, para exportarlos a medios externos fuera del control del

software.

10)Estado de Avance de la Auditoria. El software ofrece funcionalidades para comparar el

tiempo planeado con el tiempo empleado en la ejecucin de esta etapa y registrar los

motivos de las desviaciones. El control se realiza para toda la etapa y por auditor.

Terminologa de Riesgos empleada en el software AUDIRISK

El desarrollo del enfoque de Audi tora Basada en Riesgos exige que los auditores estn

familiarizados con la terminologa y los elementos fundamentales de Administracin Integral de

Riesgos1en procesos de negocio y en operaciones que se soportan en la infraestructura de

tecnologa de informacin (servidores, terminales de computador, redes de comunicacin,internet, etc) y en software de aplicaciones de computador desarrolladas en la empresa o

adquiridas a terceros o arrendadas (computacin en la nube). Por consiguiente, exige el dominio

de conocimientos fundamentales sobre identificacin, evaluacin, control y monitoreo de riesgos

en ambientes manuales y automatizados en las operaciones del negocio y en los componentes de

tecnologa de informacin.

La administracin de riesgos emplea una vasta terminologa que debe ser claramente entendida

por los interesados en control de riesgos, seguridad y auditora basada en riesgos. Esta seccin

define y discute los trminos y expresiones ms importantes y usuales relacionadas con riesgos

que se utilizan en el software AUDIRISK.

1Riesgos estratgicos, financieros, operativos, de salud ocupacional, ambientales, de lavado de activos, de

auditora, de control, de mercado, de liquidez, etc.


6/76

La posibilidad de que alguna cosa pueda ocurrir para daar, destruir o divulgar los activos de una

organizacin es conocida como riesgo. Por consiguiente, Gestionar o manejar el riesgo es un

elemento indispensable de sostenimiento de un ambiente seguro. Por ejemplo, la seguridad de los

datos en cualquier proceso o sistema tiene como propsito prevenir la prdida o divulgacin de

los activos de informacin mientras sea sostenible el acceso autorizado.

La Gestin o Administracin de Riesgos2es un proceso detallado de identificacin de factores que

podran daar los activos, la evaluacin de esos factores a la luz del valor de los activos y el costo

de las contramedidas, y la implementacin de soluciones apropiadas (costo efectividad) para

mitigar o reducir el riesgo.

El objetivo primario de la gestin de riesgoses reducir el riesgo inherente a un nivel aceptable de

riesgo residual. Este nivel de riesgo depende de la organizacin, el valor de sus activos y el

tamao de su presupuesto. Es imposible disear e implantar un ambiente completamente libre de

riesgos; sin embargo, la reduccin significativa del riesgo es posible con pocos esfuerzos si estos se

orientan de manera apropiada.

La Gestin de riesgos3 tambin se define como las actividades coordinadas para dirigir y

controlar una organizacin con respecto a riesgos. Tpicamente incluye: Valoracin del riesgo (Risk

Assessment), tratamiento del riesgo, aceptacin del riesgo y comunicacin del riesgo.

Valoracin del Riesgo (Risk Assessment).Es el proceso total de anlisis de riesgos y evaluacin de

riesgos. El anlisis de riesgos es el uso sistemtico de informacin para identificar fuentes y

estimar el riesgo; la evaluacin de riesgos es el proceso de comparar el riesgo estimado contra

criterios dados para determinar la significancia del riesgo.

Los seis (6) Element os del Riesgo.

Los seis (6) elementos del riesgo que se muestran en la figura 3.1b son parte importante de la

estructura de Evaluacin de Riesgos implementada en el software AudiRisk y se describen

brevemente a continuacin.

2Libro Security Guide. Preparacin para el examen CISSP, capitulo 63Guide to BS7799 Risk Assessment


7/76

Activo. Es cualquier cosa dentro de una ambiente que deber ser protegido. Este puede ser un

archivo de computador, un servicio de red, un recurso del sistema, un proceso, un programa, un

producto, la infraestructura de Tecnologa de Informacin, una base de datos, un dispositivo de

hardware, software, instalaciones fsicas y otros. Si una organizacin coloca algn valor a un item

bajo su control y estima que ese item es bastante importante para proteger, este se marca

como un activo para propsitos de gestin y anlisis de riesgos. La prdida o divulgacin de un

activo puede resultar en detrimento general de la seguridad, prdida de productividad, reduccin

de utilidades, gastos o costos adicionales, discontinuidad de la organizacin y numerosas

consecuencias intangibles.

Figura 2.1b: Elementos del Riesgo.

Activo 4 : Es alguna cosa que tiene valor o utilidad para la organizacin, sus operaciones de

negocio y su continuidad.

Ejemplos:

Activos de Informacin

Documentos en papel.

Activos e Software.

Activos fsicos.

4Guide to BS7799 Risk Assessment

Los elementos del Riesgo

2. Amenazas

Explotan

3. Vulnerabilidad

Que resultan en

4. Exposicin

Que es5. RiesgoQue es mitigado por

6. Salvaguardas

Que protegen

Que son daados por

1. Activos


8/76

Las personas.

Imagen y Reputacin de la Compaa.

Los servicios que soportan su operacin.

Valuacin de Activos5: es un valor monetario asignado a un activo basado en el costo actual y

gastos no monetarios. Este incluye costos de desarrollo, mantenimiento, administracin,

publicidad, soporte, reparacin y reemplazo. Estos tambin incluyen valores difciles de

determinar tales como credibilidad pblica, soporte de la industria, mejoramiento de la

productividad, tener y beneficios de socio. Ms adelante se discutir en detalle este tema.

Amenaza:Una causa potencial de un incidente no deseado, que puede resultar en dao para un

sistema u organizacin.

Amenaza6: Cualquier potencial ocurrencia que puede causar un efecto indeseable o no esperado

para una organizacin o para un activo especfico. Las amenazas son cualquier accin o inaccin

que puede causar dao, destruccin, alteracin, prdida o divulgacin de activos o que podran

bloquear el acceso a o impedir el mantenimiento de los activos. Las amenazas pueden ser

grandes o pequeas y de la misma manera pueden ser sus consecuencias. Pueden ser

accidentales o intencionales. Pueden ser generadas por las personas, las organizaciones, el

hardware, las redes, estructuras o por actos de la naturaleza.

Agentes Generadores de Amenaza: son los que intencionalmente o accidentalmenteexplotan las

vulnerabilidades. Los agentes intencionales usualmente son personas, pero tambin pueden ser

programas, hardware o sistemas. Los agentes accidentales incluyen incendio, terremoto,

inundacin, fallas del sistema, errores humanos (originados por falta de entrenamiento o por

ignorancia) y cadas de energa elctrica.

Vulnerabilidad: Es la ausencia de o la debilidad de una salvaguarda o contramedida, es decir, un

defecto, errores y ambigedades en las leyes y normas, omisin o descuido, error, limitacin,

5Libro Security Guide. Preparacin para el examen CISSP, capitulo 66ibidem


9/76

fragilidad o susceptibilidad en la infraestructura o cualquier otro aspecto de la organizacin. Si es

explotada, pueden ocurrir prdidas o daos a los activos.

Vulnerabilidad:Una debilidad de un activo o grupo de activos, que puede ser explotada por un

agente generador de amenaza.

Exposicin: Es lasusceptibilidad a perder activos debido a una amenaza. Existe la posibilidad que

una vulnerabilidad se explotada o pueda ser explotada por un agente generador de amenazas. La

exposicin no significa que est ocurriendo un evento que resulta en prdidas; significa que si hay

una vulnerabilidad y una amenaza que pueda explotarla, existe la posibilidad que un evento de

amenaza pueda ocurrir.

Riesgo: Es la posibilidad de que cualquier amenaza especfica explote una vulnerabilidad especfica

para causar dao a un activo. Este es una estimacin de probabilidad, posibilidad u oportunidad.

A mayor probabilidad de ocurrencia de un evento de amenaza, mayor es el riesgo. Cada caso de

exposicin es un riesgo. Cuando se escribe como una frmula, el riesgo puede ser definido como

Riesgo = Amenaza + vulnerabilidad. Entonces la reduccin del agente de amenaza o de la

vulnerabilidad, directamente conducen a la reduccin del riesgo.

Cuando un riesgo se materializa, un agente de amenaza toma ventaja de una vulnerabilidad y

causa dao o divulgacin de uno o ms activos. El propsito amplio de la seguridad es prevenir la

materializacin de los riesgos, mediante la remocin de las vulnerabilidades y el bloqueo

(neutralizacin) de los agentes de amenaza que pueden exponer los activos. Como herramienta de

gestin de riesgos, la seguridad es la implementacin de protecciones o salvaguardas. El riesgo

es la posibilidad de que alguna cosa pueda ocurrir para daar, destruir o divulgar.

Riesgo 7:Combinacin de la probabilidad de un evento y sus consecuencias.

El Diccionario Websters define el riesgo como La posibilidad de dao o prdida. En el contexto

de los negocios, el riesgo se define como los factores, eventos o exposiciones, internas y

externas, que amenazan el logro de los objetivos.

7Guide to BS7799 Risk Assessment


10/76

El Riesgoes el valor de las prdidas a las que se exponen las Empresas como consecuencia de la

ocurrencia de eventos perjudiciales, accidentales o intencionales, denominados Amenazas.

Salvaguarda o Contramedida8: es cualquier cosa que remueve una vulnerabilidad o protege

contra una o ms amenazas especficas. Es cualquier accin o producto que reduce el riesgo a

travs de la eliminacin o reduccin de una amenaza o una vulnerabilidad en cualquier sitio

dentro de la organizacin. Son la nica manera de mitigar o remover el riesgo. Una salvaguarda

puede ser la instalacin de un parche de software, hacer un cambio en la configuracin contratar

guardias de seguridad, electrificar un permetro de defensa e instalar luces. Las salvaguardas o

contramedidas o controles son el nico medio para mitigar o remover el riesgo.

Elementos del Riesgo9: Los seis elementos del riesgo (activos, amenazas, vulnerabilidad,

exposicin, riesgo y salvaguarda) estn relacionados como se muestra en la figura 1. Las

amenazas explotan las vulnerabilidades, las cuales resultan en exposiciones. La exposicin es un

riesgo y el riesgo es mitigado por salvaguardas. Las salvaguardas protegen los activos que son

puestos en peligro por las amenazas.

Ataque.Un ataque es la explotacin de una vulnerabilidad por un agente de amenaza. En otras

palabras, es cualquier intento de explotar una vulnerabilidad de la infraestructura de seguridad de

una organizacin para causar dao, prdida o divulgacin de activos. Tambin puede verse como

cualquier violacin o falla en la adhesin a la poltica de seguridad de la organizacin.

Rompimiento o Infraccin de seguridad: es la ocurrencia de la omisin o impedimento de un

mecanismo de seguridad por parte de una agente de amenaza. Cuando una infraccin se combina

con un ataque, el resultado es una penetracin o intrusin.

Penetracin: es la condicin en la cual un agente de amenaza obtiene el acceso a la

infraestructura de una organizacin a travs de la burla o engao de los controles de seguridad y

est habilitado para directamente poner en peligro los activos.

8Libro Security Guide. Preparacin para el examen CISSP, capitulo 69Libro Security Guide. Preparacin para el examen CISSP, capitulo 6


11/76

Riesgo Inherent e y Riesgo residual.

La Auditora Basada en Riesgos considera dos (2) estados de los Riesgos.

1.

Riesgo Potencial (Inherente): Riesgo antes de Controles. Riesgo al que se exponen los

procesos y sistemas de la empresa, de acuerdo con su naturaleza y modo de operacin. En su

estimacin no se tienen en cuenta los controles establecidos. Este riesgo se mide en la etapa 3

de la auditora basada en riesgo, identificacin y evaluacin de riesgos.

Medicin del Riesgo Inherente - Estndares

ISO 31000 - AS/ NZ 4360 - NTC 5254

AUDIRISK 2011: Software de Auditora Basada en Riesgos para Procesos y Sistemas de Informacin

Base para evaluar los controles internos establecidos. La identificacin y evaluacin de

riesgos inherentes es prerrequisito y base para iniciar las actividades de evaluacin del control

interno existente, diseo y ejecucin de pruebas de auditora. El objetivo de los controles o

contramedidas es asegurar que la empresa est protegida contra los riesgos potenciales

crticos que podran presentarse.

2.

Riesgo Residual:Riesgo despus de Controles. Riesgo no protegido o no cubierto por los

controles establecidos. Este riesgo se mide en dos momentos: a) en la evaluacin de control

interno (etapa 5 de la metodologa) y b) como resultados de las pruebas de auditora (etapa

6, pruebas de cumplimiento y etapa 7, pruebas sustantivas).


12/76


13/76

Niveles de Riesgo(Inherente oResidual )

Consecuencias en caso de Presentarse

presentarse no desestabiliza a la organizacin.

2: ModeradoEn caso de presentarse ocasionara consecuencias que superan el nivel de tolerancia de laorganizacin. Requiere atencin de la Gerencia. Debe ser gestionado con controles para

disminuir su impacto o la frecuencia de ocurrencia.

3: AltoEn caso de presentarse ocasionara consecuencias financieras y operacionales de impactosevero o significativo para la organizacin. Es necesaria la atencin inmediata de laGerencia. Debe gestionarse con acciones para transferir el riesgo a terceros, dispersar elriesgo y reducir su impacto o la frecuencia de ocurrencia.

4: ExtremoSu ocurrencia ocasionara consecuencias financieras y operacionales de impactocatastrfico para la organizacin. Es necesaria la atencin inmediata de la Gerencia. Debegestionarse con mecanismos para evitar su ocurrencia o transferir el riesgo a terceros,dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.

Clases o Cat egoras de Riesgo.

Este concepto se introduce en la metodologa AUDIRISK para clasificar las amenazas o eventos

negativos que pueden causar dao a los activos de la organizacin, con el propsito de facilitar y

hacer ms eficientes las actividades de la Auditoria basada en riesgos.

Por defecto, la base de conocimientos AUDIRISK suministra una lista de categoras de riesgo

asociadas con cuatro (4) modelos internacionales de gestin de riesgos, como se describe a

continuacin:

o Sistema de Administracin de Riesgos Operacionales - SARO:En este modelo se manejan

siete (7) categoras de Riesgo: Fraude Interno, Fraude Externo, Fallas en la Atencin a

Clientes, Daos a Activos Fsicos, Fallas en Relaciones Laborales, Fallas Tecnolgicas y

Errores en Ejecucin y administracin de Procesos.

o Sistema de Administracin de Riesgos de Lavado de Activos y Financiamiento al

Terrorismo SARLAFT: En este modelo se manejan cuatro (4) categoras de Riesgo:

Reputacional, Riesgo Legal, Riesgo Operativo y Riesgo de Contagio.o Modelo Estndar de Control Interno (MECI): En este modelo se manejan cinco (5)

categoras de Riesgo: Estratgico, Riesgo Operativo, Riesgo Financiero, Riesgo de

Cumplimiento y Riesgo de Tecnologa.

o Modelo AUDIRISK: En este modelo se manejan 8 categoras de Riesgo: Hurto o Fraude,

Dao y Destruccin de Activos, Toma de Decisiones Errneas, Sanciones Legales, Prdida


14/76

de Credibilidad Pblica, Desventaja Competitiva, Prdida de Ingresos y Prdidas por costos

Excesivos.

Por razones de eficiencia y porque la auditora trabaja selectivamente (no revisa el 100% de los

riesgos), la auditora basada en riesgos se focaliza en las categoras de riesgo que en un ejerciciode Priorizacin realizado con los auditados, obtienen las mayores calificaciones del impacto que

pueden ocasionar en caso de presentarse. A esas categoras de riesgo se les denomina Crticas y

sobre ellas se aplicar el mayor nfasis de la auditoria (el 80%) porque son las que pueden

ocasionar los mayores problemas financieros y operacionales.

Por ejemplo, las auditoras basadas en riesgos utilizando las categoras de riesgo del modelo SARO

podra focalizarse en tres (3) de las siete (7) clases de riesgos, las que puedan generar el mayor

impacto financiero y operativo. Estas tres categoras de riesgo crticas se identifican despus de

realizar un ejercicio de priorizacin, aplicando los Principios de Pareto y del Poder del 3. De

esta manera, los recursos y esfuerzos de la auditoria se focalizan sobre los riesgos que pueden

generar las mayores prdidas a la organizacin, en lugar de dar el mismo nfasis a todas las

categoras de riesgo.

Despus de identificar las tres o cuatro categoras de riesgo crticas del proceso, se procede a

identificar las amenazas o eventos que podran ocasionar o generar cada una de estas categorasde riesgo. Para estas amenazas se evala el riesgo inherente y la auditora enfatiza su revisin

sobre las que obtuvieron calificaciones Extremo (E), Alto (A) y Moderado (M). Se recomienda

identificar mximo diez y mnimo seis amenazas por categora, para un total de 30 40

amenazas por proceso. De estas, segn la evaluacin del riesgo inherente, las que obtienen las

mayores calificaciones no exceden de 20 amenazas.

Si la organizacin tuviera 30 procesos y por cada uno se identifican 20 amenazas crticas, el total

de amenazas seria de 600. La efectividad de la auditora y de los responsables de los procesos

auditados, en las actividades de evaluacin de riesgos y controles no es igual cuando se tienen

600 amenazas clasificadas en categoras de riesgo que cuando no estn clasificadas o agrupadas.

Al respecto, un experto en manejo de informacin afirma que cuando la informacin no est


15/76

clasificada, el usuario se enfrenta a una situacin similar a alguien que est flotando en la

inmensidad del ocano: tiene tanta agua a su disposicin que le alcanza para ahogarse y le sobra.

Los agrupamientos de amenazas por categoras de riesgo facilitan y hacen ms eficiente elproceso de Auditora. Por cada proceso o sistema auditado, con las amenazas crticas se construye

el cubo de riesgos en el cual se podrn visualizar y evaluar la proteccin existente y el riesgo

residual de las amenazas, por categoras de riesgos crticas, actividades del proceso (escenarios de

riesgo) y reas organizacionales o terceros que intervienen en el manejo de las operaciones y

sistemas de la organizacin. A su vez, por cada proceso, rea o tercero pueden visualizarse las

evaluaciones de proteccin existente y riesgo residual de las amenazas y desplegar hacia abajo,

las evaluaciones de la probabilidad de ocurrencia y el impacto financiero y operativo de las

amenazas.

El significado de las categoras de riesgo del Modelo AUDIRISK, para fines informativos, se

describe a continuacin.

Categoras de Riesgo- ModeloAUDIRISK

Descripcin

Dao y destruccin de activos

Se refiere a perdidas de dinero que se derivan de perder activosnecesarios para el funcionamiento de los negocios, la informacin delnegocio o los activos informticos que soportan el desarrollo de lasoperaciones de negocios. Hay dos activos informticos que por suimportancia se categorizan como registros vitales: Las bases de datos y elsoftware aplicativo. Sin estos no es posible dar continuidad a lasoperaciones de negocio. Estos pueden ser daados o destruidos porcausas accidentales o intencionales.

Perdidas por Hurto / Fraude

Se refiere a los actos malintencionados de los empleados o de tercerosque dan como resultado perdidas de dinero o de activos convertibles endinero. Este riesgo puede ser generado nicamente por causasintencionales

Perdidas por desventajacompetitiva

La empresa puede perder la ventaja frente a sus competidores oincrementar la desventaja que tiene frente a ellos. Este riesgo puede sergenerado por causas accidentales o intencionales.

Perdidas por sanciones legales

Se refiere a las prdidas de dinero por multas, indemnizaciones o

clusulas penales que deba pagar la empresa por errores, omisiones eincumplimiento de sus compromisos con clientes, con contratistas o conlas entidades reguladoras del gobierno. Este riesgo puede ser generadopor causas accidentales o intencionales.

Perdidas por baja credibilidadpblica o pobre reputacin

La prdida de credibilidad publica de una organizacin genera perdida denegocios y hasta el cierre definitivo del mismo. Este riesgo puede sergenerado por causas accidentales o intencionales

Perdidas por costos excesivosSe refiere a las prdidas de dinero que se originan por errores yaccidentes en los clculos de egresos o cuentas por pagar (Desembolsos),


16/76

Categoras de Riesgo- ModeloAUDIRISK

Descripcin

efectuados por procedimientos manuales por el computador. Tambinincluye sobrecostos por ineficiencias en el desarrollo de operaciones opor excesiva correccin de errores. Este riesgo puede ser generadonicamente por causas accidentales

Perdidas por decisioneserrneas

De la calidad de la informacin depende la calidad de las decisiones. Serefiere a las prdidas que sufre una empresa cuando se toman decisionesequivocadas por falta de informacin o por la baja confiabilidad de lamisma. Este riesgo puede ser generado por causas accidentales ointencionales.

Prdidas de Ingresos / Rentas

Se refiere a la perdida de dinero que se originan por errores yaccidentales en los clculos de ingresos, efectuados por procedimientosmanuales o por el computador. Este riesgo puede ser generadonicamente por causas accidentales.

Paso 3.1: Clases de Riesgos Aplicables.

Este paso es obligat orio para Auditorias que no estn incluidas en el Plan Anual de Audit ora, es

decir para las auditorias que vienen del plan anual esta opcin saldr inact iva porque las

categoras de riesgos ya vienen priorizadas.

El objetivo es identificar las clases o categoras de riesgo aplicables al proceso o sistema objeto de

la auditora. Estas corresponden al modelo de categoras de riesgo adoptadas por la Auditora, las

cuales pueden ser de los modelos SARO, SARLAFT, MECI o una combinacin de las categoras

consideradas por estos modelos.

Haga clic sobre Clases de Riesgos Aplicablesy el software ofrece en la pantalla de la figura 3.2

muestra la lista de categoras de riesgo de los modelos SARO, SARLAFT, MECI y AUDIRISK. Para

seleccionar las que pueden presentarse en el proceso o sistema objeto de la auditoria, haga clic

sobre la caja de verificacin para marcar las que sean seleccionadas.


17/76


18/76

Figura 3.3:Seleccionar mtodo de priorizacin

Mtodo Delphy: su nombre tiene origen en el Orculo de Delphos de la mitologa griega. En este

mtodo un grupo de expertos en el proceso o sistema objeto de la auditoria compara cada

categora de riesgo aplicable contra las dems, segn el impacto financiero que podra causa su

ocurrencia. Al final, la categora que tenga mayor cantidad de votos a favor ser la de mayor

prioridad, la segunda en votos a favor tendr prioridad 2 y as sucesivamente. Terminada la

priorizacin, se seleccionan como crticas para la auditora las tres categoras de mayor cantidad

de votos a favor.

Mtodo Churman Ackoff (tambin conocido como Scoring o Sistema de Puntajes):

Individualmente los integrantes del grupo de expertos asignan puntajes a cada una de las

categoras de riesgo aplicables, para calificar el impacto financiero y operacional que podra causar

su ocurrencia. Utiliza los siguientes puntajes: 1, insignificante; 2: Bajo; 3: Moderado; 4. Severo y 5:

Catastrfico. Despus se consolidan los puntajes asignados individualmente por cada categora de

riesgo y se ordenan de mayor a menor puntaje. La categora de mayor puntaje tendr la prioridad

1, la siguiente la prioridad 2 y as sucesivamente. Terminada la priorizacin, se seleccionan como

crticas para la auditora las tres (3) categoras de mayor puntaje.


19/76

Alternat iva 1: Mtodo Delphy10.

Figura 3.4

Este mtodo utiliza una matriz como la que se visualiza en la figura 3.4. Los nmeros localizados

fuera del grfico identifican las categoras de riesgo que sern comparadas segn el impacto que

pudieran ocasionar en caso de presentarse. En las columnas se colocan los nmeros de izquierda

a derecha, empezando por el uno (columnas 1 a 6 en el ejemplo). En las filas se colocan los

nmeros de arriba hacia abajo, empezando por el nmero dos (filas 2 a fila 6 en el ejemplo). De

esta manera, la pareja formada por (columna i, fila j) corresponde a la comparacin entre el

riesgo i y el riego j utilizando la pregunta siguiente: En caso de presentarse los riesgos i y

j, cul de los dos ocasiona mayores prdidas a la organizacin?. Las comparaciones se realizan

para el riesgo localizado en cada columna, contra los riesgos localizados en todas las filas.

A cada pareja corresponde una celda de la matriz, la cual est dividida en dos partes. La mitad

superior se utiliza para registrar los votos a favor del riesgo en la columna y la mitad inferior para

los votos a favor del riesgo de la fila.

Este mtodo prioriza las categoras de riesgo, mediante la comparacin de cada categora de

riesgo con las dems que sean aplicables al proceso o sistema objeto de auditora. Para este fin se

constituye un equipo de expertos en el proceso sistema denominado Grupo Delphy, en el que

estn representadas al menos las tres (3) reas principales que intervienen en el manejo de las

10Este nombre se hereda del Orculo de Dephos de la mitologa griega


20/76

operaciones del proceso. Por ejemplo, en procesos que se soportan en sistemas de informacin, el

grupo Delphy debera incluir a: a) el lder del proceso, el funcionario de sistemas que da soporte a

la aplicacin y alguien ms que est involucrado en el proceso.

Los integrantes de este equipo, comparan una a una las categoras de riesgo con las dems y

mediante un sistema de votacin decidirn cuales de las categoras aplicables al proceso son las

tres ms crticaspara la organizacin, por el impacto que podra generar su ocurrencia.

Cmo aplicar el Mtodo Delphy?.

En el botn de radio de la pantalla de la figura 3.3 seleccione Mtodo Delphy, haga clic sobreel

botnAceptar y el software presenta la pantalla de la figura 3.4a, en la que se presentan:

a)

El espacio para digitar el nmero de expertos que participarn en la votacin; Se

recomienda que sea un nmero impar de expertos y que la cantidad se mnimo de 3

personas

b)

Las categoras de riesgo aplicables al proceso o sistema objeto de auditora, seleccionadas

en el paso anterior, precedidas de un nmero que las identifica; y

c) Un grfico (Matriz Delphy) en el cual se registrarn los votos a favor y en contra para cada

una de las categoras de riesgo

Figura 3.4a: Mtodo Delphy


21/76

Pasos para aplicar el Mtodo Delphy.

1)

En el campo Nmero de Expertos que participarn en el Consenso, ingrese la cantidad de

expertos en el proceso o sistema objeto de la auditora, con quienes se realizar la

priorizacin de las clases de riesgo aplicables.

2)

Distribuya a los expertos, un documento con las definiciones de las clases de riesgo

aplicables al proceso o sistema (estas corresponden al modelo de categoras de riesgo

adoptadas por la Auditora, las cuales pueden ser de los modelos SARO, SARLAFT, MECI o

una combinacin de los anteriores).

3) Uno de los auditores (el supervisor o el Analista de auditora) actuar como coordinador

de la reunin de Anlisis de Riesgo.

4)

Inicie la comparacin de cada categora de riesgo contra las dems. La pregunta para

compararlos es la siguiente: En caso de presentarse las Categoras i y J, cul de las

dos ocasionara mayores prdidas a la organizacin?

5)

Registre los votos a favor del riesgo Ien la parte superior de la interseccin entre los dos

riesgos que se comparan. En la parte inferior de la interseccin registre los votos a favor

del riesgo J.La suma de los votos debe ser igual al nmero de expertos.

6)

Repita los pasos 4 y 5 hasta que se haya efectuado la ltima comparacin de las clases de

los riesgos. Para grabar los datos ingresados, haga clic sobre Registrar Datos de la

Evaluacin.

7)

Haga clic sobre el botn calcular datos. En la parte inferior del Grafico Triangular del

Delphy, en la figura 3.4a, el software muestra los resultados de la priorizacin, as:


22/76

Figura 3.4b:Mtodo Delphy - Matriz para Registro de votos

En la fila identificada con la letra R(resultados), por cada categora de riesgo aparecen

los votos a favor en las filas, los votos a favor en la columnas y el total de votos

obtenidos (suma de votos a favor en las filas y las columnas )

En color rojo, los nmeros que corresponden a las prioridades asignadas a los riesgos

como resultado de la evaluacin.

Resultados de la Priorizacin.

Los resultados de la priorizacin se presentan en dos reportes que estn dentro de la caja de

seleccin colocada a la izquierda del botn Reporteen la figura 3.4a. Estos reportes son: a) Ver

rangos de impacto en la Evaluacin y b) Ver resultados de la Evaluacin. Estos reportes estn

Para generar estos resultados, sobre la pantalla de la figura 3.4a, en la caja de seleccin a la

izquierda del botn Reporte, seleccione el reporte que desea generar y haga clic sobre el botn

Reporte.


23/76

a) Reporte Rangos de impacto en la Evaluacin

Este reporte muestra el Puntaje Mximo Posible que podra obtener una categora de riesgos si

tuviera todos los votos a favor. Este valor es calculado por el sistema y se obtiene de multiplicar la

cantidad de expertos por el nmero de categoras de riesgo disminuido en 1

PMP = Cantidad de Expertos * (NR 1).

Donde:

PMP:Puntaje mximo posible.

NR:cantidad de categoras de riesgo aplicables que ingresan al Delphy (6 en el ejemplo)

Cantidad de Expertos: 5 en el ejemplo.

Figura 3.4b:Reporte Rangos de Pareto para priorizar las clases de riesgos aplicables

Rangos para Identificar los riesgos Potenciales del Proceso con el Mtodo Delphy.

Estos rangos son calculados por el software; tomando como base el PMP (25 es el 100%) aplica el

Principio de Pareto o Regla 80:20, as:

20% de PMP = 25*20%. El resultado es 5 que representa la longitud de cada rango. Los rangos

son:

% de PMP obtenido porla categora de Riesgo

Limite Inferior Limite Superior Impacto

Entre 0 y 20% 0 5 Insignificante

Entre 20 y 40% Mayor que 5 10 Bajo

Entre 40% y 60% Mayor que 10 15 Moderado


24/76

Entre 60% y 80% Mayor que 15 20 Alto (Severo)

Entre 80% y 100% Mayor que 20 25 Extremo (Catastrfico),

b)

Reporte Ver Resultados de la Evaluacin

Este reporte muestra las categoras de riesgo aplicables, clasificadas segn el puntaje obtenido, de

mayo a menor puntaje.

Figura 3.4c:Reporte Resultados de la Evaluacin Mtodo Delphy.

Alternat iva 2: Mtodo Scoring (Churman Ackoff).

Este mtodo, tambin conocido con el nombre de SCORING, consiste de tres pasos que se

describen a continuacin:

a) Obtener de los expertos, las calificaciones individuales del impacto que tendra la ocurrencia

de las categoras de riesgo aplicables al proceso o sistema que se est auditando. .Para este finse utiliza un formulario como el que se indica enseguida:


25/76

Nombre Experto (calificador): ____________________________

Categoras de Riesgo Aplicables Impacto por Ocurrencia

Id Nombre 1:Insignificante

2:Menor

3:Moderado

4:Severo

5:Catastrfico

1 Fraude Interno X

2 Fraude Externo X

3 Fallas en RelacionesLaborales

x

4 Fallas en Atencin aClientes

X

6 Daos a Activos Fsicos X

Calificaciones del Impacto, segn criterio y percepcin de cada Experto.

b) Consolidar las respuestas de los expertos en un formulario como el que se indica enseguida:

Categoras de Riesgo

AplicablesImpacto por Ocurrencia

Totales

Id Nombre 1:Insignificante

2:Menor

3:Moderado

4:Severo

5:Catastrfico

1 Fraude Interno 1 3 1 5

2 Fraude Externo 2 2 1 5

3 Fallas en RelacionesLaborales

3 2 5

4 Fallas en Atencin aClientes

1 1 3 5

6 Daos a Activos

Fsicos

5 5

Calificaciones del Impacto de las categoras de riesgo, expresadas por los expertos.

En este caso, el formulario registra las respuestas de cinco (5) expertos. Por cada categora de

riesgo y posible calificacin de impacto, se registra la cantidad de expertos que seleccionaron

cada valor del impacto. Estos son los valores que se alimentan o ingresan a AUDIRISK

c) Ingresar a AUDIRISK las calificaciones consolidadas de los expertos.

En la pantalla de la figura 3.3, seleccione el botn de radio Mtodo Churman; haga clic sobreel

botn Aceptar y el software presenta la pantalla de la figura 3.5, en la que se presentan los

siguientes campos:


26/76

(1)

El nmero de expertos que participarn en la votacin; Se recomienda que sea un nmero

impar de expertos y que la cantidad sea mnimo de 3 personas,

(2)

Una matriz de categoras de riesgo aplicables Vs. Nombres de Impactos posibles. En las

celdas de esta matriz se registra la cantidad de expertos que seleccionaron cada impacto,

por categora de riesgo.

Figura 3.5:Pantalla de Acceso al Mtodo de Priorizacin Churman Ackoff

Por cada categora de Riesgo, en las celdas de la matriz de la figura 3.5 se coloca el nmero de

veces que los expertos seleccionaron cada uno de los valores de impacto. La suma de las

cantidades asignadas a cada categora de riesgo debe ser igual a la cantidad de expertos.

Calcular Puntajes por Categora de Riesgo.

En la pantalla de la figura 3.5 haga clic sobre Calcular Datos y el software calcula el puntaje

obtenido por cada categora de riesgo, como se muestra en la figura 3.6


27/76

Figura 3.6: Clculo de Puntajes por Categora de Riesgo

Puntajes por Categora de Riesgo

El puntaje correspondiente a los valores en cada celda de la parte superior de la figura 3.6 es el

producto de la cantidad de veces que se selecciona el impacto y el peso asignado a cada valor del

impacto.

El Puntaje Obtenido por cada categora de riesgo, que se muestra en la parte inferior de la

pantalla 3.6, es la suma de los productos registrados en las columnas de la matriz.El Ranking es

el orden que corresponde a cada categora de riesgo segn los puntajes obtenidos clasificados

de mayor a menor.

Ejemplos de interpretacin de los resultados.

Continuando con el ejemplo del mtodo, los puntajes obtenidos por cada categora de riesgo se

calculan como se explica a continuacin:

Categorasde Riesgo

Impacto por OcurrenciaPuntaje

Obtenido

Impacto

Promedio

Ranking

-Priorida

1:Insignificante

2:Menor 3:Moderado 4:Severo 5:Catastrfico

FraudeInterno

1 6 5 12 2.4 5

FraudeExterno

4 6 5 15 3 4

Fallas enRelaciones

9 8 17 3.4 2


28/76

Laborales

Fallas enAtencin aClientes

1 3 12 15 3.2 3

Daos aActivos

Fsicos

20 20 4.0 1

El valor 6 en la celda fraude interno, Impacto Menor, se obtiene de multiplicar tres (3)

expertos y el puntaje 2 asignado al impacto Menor.

El valor 20 en la celda Daos a Activos Fsicos, Impacto Severo, se obtiene de

multiplicar cinco (5) expertos y el puntaje 4 asignado al impacto Severo.

De acuerdo con la priorizacin, las tres clases de riesgos crticos para la auditoria son, en su

orden: 1) Daos a Activos Fsicos; 2) Fallas en las relaciones laborales, 3) Fallas en atencin a los

clientes.

Paso 3.3: Identificar Riesgos Crticos.

En esta opcin, el auditor marca o selecciona las 3 o 4 categoras de riesgo crticas sobre las que

se desarrollarn las dems etapas del auditora. Estas categoras se seleccionan segn el puntaje

obtenido, de mayor a menor puntaje.

Figura 3.7:Seleccin de Categoras de Riesgo Crticas para la Auditoria


29/76

Haga clic sobre Identificar Riesgos Crticos y sobre la pantalla de la figura 3.7, en el checkbox

colocado a la derecha de la columna prioridad, marque las categoras de riesgo con las cuales se

ejecutar la auditoria. Haga clic en el botn Guardar.

Si desea generar un reporte de las categoras de riesgos crticas para la auditora, haga clic sobre

el botn reporte.

Paso 3.4: Asignar Amenazas a Riesgos (obligatorio).

El objetivo de este paso es identificar y seleccionar las amenazas11 o eventos que podran

originar cada una de las categoras de riesgo crticas seleccionadas en el paso 3.3, en las

actividades u operaciones delproceso o sistema objeto de auditora.

Haga clic sobre Asignar Amenazas y el software muestra la pantalla de la figura 3.8.

Figura 3.8:Asignar amenazas a Categoras de Riesgo Crticas para la Auditoria.

Esta pantalla presenta las categoras de riesgo crticas identificadas para la auditora, para las

cuales es necesario asignarles amenazas. Presenta los siguientes campos:

11Las amenazas son eventos accidentales o intencionales que podran originar las categoras de riesgo crticas

del proceso o sistema objeto de auditora.


30/76

Id: Cdigo de identificacin de las Categoras de Riesgo Crticas seleccionadas para la

auditora. Es asignado por el sistema.

Descripcin:Nombre o Descripcin corta de la Categora de Riesgo Crtica.

Estado: En este campo se presentan las palabras EN ESTUDIO o TERMINADOpara indicar

si por cada categora ya se asign al menos una amenaza.

Accin Establecer Relacin. Haga clic sobre Establecer Relacin a la derecha de cada

categora de riesgo, para visualizar las amenazas existentes en la base de conocimientos

de la Empresa, asociadas con la categora de riesgo12. Eso se muestra en la figura 3.9

Las amenazas para esta auditora pueden o no estar contenidas en la base de conocimientos de la

Empresa. Se pueden presentar dos situaciones:

a)

Las amenazas aplicables al proceso o sistema bajo auditoria ya existen en la base de

conocimientos de la empresa y estn asociadas con al menos una categora de riesgo. De

ser as, se presentarn en la lista de amenazas elegiblespara la categora de riesgo.

b)

Las amenazas aplicables al proceso o sistema bajo auditoria no existen en la base de

conocimientos de la empresa. En este caso es necesario adicionarlas a la base de

conocimientos y asociarlas (relacionarlas) con una categora de riesgo, como requisito

para se presenten en la lista de amenazas elegibles para esta auditora.

Ejercicio Recomendado antes de Seleccionar Amenazas.

Identi ficar Amenazas por Act ivo que se ut iliza en el proceso.

Antes de seleccionar o ingresar amenazas utilizando el software, es recomendable que el auditor

realice sobre el papel un ejercicio de ident if icacin de amenazas por cada uno de los activosidentificados en la caracterizacin del proceso o sistema, utilizando un formato como el que se

sugiere a continuacin el ejemplo.

12La tabla Amenazas de la base de conocimientos contiene amenazas tpicas suministradas por los

fabricantes de AUDIRISK, ms las que el usuario haya adicionado en las auditoras realizadas con este

software.


31/76

Ejemplo.

Elabore una lista preliminar de las amenazas que podran causar daos a los activos tangibles e

intangibles que se utilizan en el proceso.

Amenazas para los Activos (recursos) de la EmpresaAsignados al proceso

Categoras de Riesgos CrticosFraude Dao

ActivosSancionesLegales

Activo: Dinero Efectivo.

Robo por terceros (atracos.

Robo por empleados.

Falsificacin de billetes.

Extravo

xxx

Reputacin.

Deterioro o prdida de imagen. X

Maquinaria y equipo

Malfuncionamiento.

Robo

Dao por errores de operacin

xX

Personal.

Errores en el manejo de la informacin Ausencias por enfermedad, calamidad domstica o

retiro de la empresa.

Infidelidad X

xX

Mtodos y Procedimientos. Incompletos. Desactualizados

Xx

Software de Aplicacin

Errores o malfuncionamiento

Robo de programas fuente Alteracin, cambios no autorizados

(malintencionados)

Destruccin (borrado) de programas fuente

XX

x

x

Por cada categora de riesgo crtico, se recomienda identificar mximo diez (10) amenazas y

mnimo seis (6).

Despus de identificar las amenazas para los activos del proceso o sistema, consulte en el

software las amenazas existentes en la base de conocimientos de la empresa, porque es posible


32/76

que en esta base ya estn registradas algunas amenazas identificadas para el proceso o que

existan en sta otras similares.

Cmo Seleccionar las amenazas aplicables a las Categoras de Riesgo Crt icas.

Para asignar amenazas por cada categora de riesgo crtica, proceda as:

a)

En la pantalla de la figura 3.8, por cada categora de riesgo crtica haga clic sobre

Establecer Relacin y el software mostrar la siguiente pantalla.

Figura 3.9:Seleccin de amenazas por categora de riesgo crtica

En el lado izquierdo de esta pantalla, el software presenta la lista de amenazas elegibles. Esta

lista corresponde a las amenazas asociadas a la categora de riesgo en la base de conocimientos de

la empresa;identifique las amenazas aplicables (una cada vez), mrquelas en el checkbox y haga

clic sobre la flecha en direccin a amenazas seleccionadas para trasladar al lado derecho laamenaza seleccionada.

b)

Si desea adicionar una amenaza a la base de conocimientos de la empresa, haga clic sobre

el botn Mantenimiento de Amenazas, digite y grabe la amenaza. Despus, haga clic

sobre el botn Mantenimiento de Relacionespara asociar la amenaza adicionada con la


33/76

categora de riesgo. Regrese a la pantalla de la figura la figura 3.8 y seleccione una nueva

categora de riesgo.

c)

Este paso finaliza cuando todas las categoras de riesgo en la figura 3.8 tengan estado

Terminado.

d)

En la caja de seleccin a la izquierda del botn REPORTE, seleccione Amenazas

seleccionadas para el Estudio agrupadas por Categoria y haga clic sobre el botn

REPORTE. Utilice este reporte para validar la seleccin de amenazas con los dueos del

proceso o sistema que se est auditando.

Cmo Consult ar si una Amenaza ya existe en la Base de Datos de Empresa.

La base de conocimientos de la Empresa contiene y acumula todas las amenazas identificadas enlas auditoras realizadas con AUDIRISK. Por consiguiente, las amenazas adicionadas en una

auditoria, quedan disponibles para ser consultadas o seleccionadas en otras auditoras.

Para establecer si una amenaza aplicable al proceso que se est auditando ya existe en la base de

conocimientos de la Empresa, proceda como se indica a continuacin:

a)

Haga clic sobre el botn mantenimiento de amenazas. El software presenta las pantalla de la

figuras 3.9 a y 3.9 b.

Figura 3.9a:Mantenimiento de Amenazas.


34/76

El software presenta la lista de amenazas existentes en la base de conocimientos, organizada

como se indica a continuacin:

Id: Cdigo de identificacin de la amenaza. Es asignado por el sistema.

Descripcin:Nombre o Descripcin corta de la amenaza.

Evento de Riesgo Operativo. En este campo se presentan las palabras SIo N0para indicar

si el evento al que se refiere la amenaza se ha presentado o no en la empresa.

Accin Modificar. Haga clic sobre Modificar para efectuar modificar la descripcin de la

amenaza, como se muestra en la figura 3.11b.

Accin Eliminar. Haga clic sobre Eliminar para borrar la amenaza de la base de

conocimientos, como se muestra en la figura 3.11c. Accin Ver Relaciones. Haga clic sobre Ver Relaciones para visualizar los controles que

estn asociados a esta amenaza en la base de conocimientos de la Empresa, como se

muestra en la figura 3.11d,

b)

Sobre la pantalla de la figura 3.9 b, marque la alternativa de bsqueda en Buscar Por.

Figura 3.9b:Mantenimiento de Amenazas (parte inferior de la pantalla).


35/76

Efecte una bsqueda digitando en el campo Descripcin una palabra clave del nombre de la

amenaza que se busca. Tambin se puede efectuar la bsqueda por el cdigo de amenaza.

Entonces el software presentar la lista de amenazas que existen con la palabra clave empleada en

la bsqueda. Si la amenaza deseada ya est en la base de la empresa, memorice o apunte el

cdigo de identificacin para seleccionarla en la pantalla de la figura 3.8

Adicionar Amenazas a la Base de Empresa y a la Base de Trabajo de la Auditora.

Para adicionar una amenaza a la auditoria que se est realizando, haga clic sobre el botn

mantenimiento de amenazas de la figura 3.9b. Luego haga clic sobre el botn Agregar y el

software presentar la pantalla de la figura 3.10 para adicionar la amenaza.

Figura 3.10:Adicionar amenazas a la Base de Conocimiento

Descripcin:Ingrese el nombre de la Amenaza. Se recomienda utilizar como palabra inicial

un verbo en infinitivo o una palabra que indique accin. Ejemplos: Alterar la informacin

registrada en el documento; falsificar firmas en los cheques.

Descripcin Detallada: Ingrese el texto que considere necesario para precisar el

significado del nombre de la amenaza.


36/76

Despus de adicionar la amenaza, haga clic sobre el botn Aceptar.

Relacionar Amenazas con Cat egoras de Riesgo.

Cada vez que se adicione una amenaza a la base de conocimientos de la empresa, el usuario

deber relacionarla con la categora de riesgo a la que corresponda (la que esta activa para

identificacin de amenazas)..

Figura 3.9:Seleccin de amenazas por categora de riesgo crtica

Ubquese en la pantalla de Seleccin de Amenazas por Categora de Riesgo (figura 3.9), haga clic

sobre el botn Mantenimiento de Relaciones y el software presentar la pantalla de la figura

3.11.

Sobre la figura 3.11 desplcese hacia abajo en la lista de amenazas elegibles, hasta ubicar la

amenaza recin adicionada o sobre cualquier otra que desee relacionar a la categora de riesgoque est activa (fraude en el ejemplo de la pantalla). Haga clic sobre el link Ver Relaciones

colocado al frente de la amenaza que desea relacionar.


37/76

Figura 3.11:Relacionar una amenaza con una categora de riesgo crtica

Despus de hacer clic sobre establecer relacinen la figura 3.11, el software muestra la pantalla

de la figura 3.11a en donde se edita el mensaje La relacin se ha establecido con xito

Figura 3.11a:Amenaza fue relacionada con una categora de riesgo crtica

Regrese al men de la figura 3.10 y la amenaza recin relacionada aparecer dentro de la lista de

amenazas elegibles. Entonces, podr trasladar la amenaza nueva al lado derecho de la figura 3.9,

utilizando el procedimiento arriba descrito en este manual bajo el ttulo en Cmo Seleccionar las

amenazas aplicables a las Categoras de Riesgo Crticas.


38/76

Modif icar Amenazas de la Base de Conocimientos de la Empresa.

En la figura 3.9, ubquese sobre la amenaza que desea eliminar y haga clic sobre el link Modificar.

El software muestra la pantalla de la figura 3.11b.

Figura 3.11b: Modificacin de Amenazas de la Base de Conocimientos de la Empresa

Esta funcionalidad est disponible para los perfiles Supervisor y Analista de Auditoria.Es

recomendable efectuar modificaciones a la descripcin corta y la detallada, solo si no se altera el

significado existente. En caso contrario, lo recomendable es adicionar una nueva amenaza a labase de conocimientos.

Para grabar los cambios efectuados, haga clic sobre el botn Aceptar.

Eliminar Amenazas de la Base de Conocimientos de la Empresa.

En la figura 3.9, ubquese sobre la amenaza que desea eliminar y haga clic sobre el link Eliminar.

El software muestra la pantalla de la figura 3.11c.


39/76

Figura 3.11c: Eliminacin de Amenazas de la Base de Conocimientos de la Empresa

Esta funcionalidad est disponible nicamente para los perfiles Supervisor y Gerente de Auditoria.

Es recomendable NO ELIMINAR AMENAZAS basndose en argumentos como No es aplicable o

no estoy de acuerdo con su contenido. En este caso, no la seleccione para la auditora que est

ejecutando.

Para borrar la amenaza de la base de conocimientos, haga clic sobre el botn Aceptar.

Ver Relaciones ent re Amenazas y Cont roles de la Base de Conocimient os de la Empresa.

En la figura 3.9, ubquese sobre la amenaza que desea consultar y haga clic sobre el link Ver

Relaciones. El software muestra la pantalla de la figura 3.11d.


40/76

Figura 3.11d:Establecer Relacin Amenaza Control

Esta opcin solo est disponible para consulta del Analista de Auditoria. Por consiguiente, esta

inactiva la accin Eliminar Relacin.

Paso 3.5: Documentacin de Amenazas (obligatorio).

El objetivo de este paso es documentar los atributos de las amenazas seleccionadas para la

auditoria en el paso 3.5. Por cada amenaza, se documentan los siguientes aspectos:

(1)

Los activos impactados (la amenaza es evento que ocasiona daos a uno o ms activos del proceso);

(2) Vulnerabilidades13

(debilidades de seguridad o carencia de controles) que podran crear el ambiente

propicio para que ocurra la amenaza.

(3)

Frecuencia de ocurrencia;

(4) Agentes que podran generarla (personas, desastres naturales y otras internas y externas);

(5) Impacto probable Financiero y Operacional) por Ocurrencia;

(6)

Areas Organizacionales o terceros (Dependencias) en donde puede presentarse;

(7)

Escenarios de riesgo o actividades del proceso, en donde puede presentarse;

(8) Riesgo: Consecuencias previsibles para la organizacin en caso de llegar a presentarse; y

(9) Antecedentes de seguridad (informacin disponible sobre la ocurrencia de la amenaza).

13Para que una amenaza se materialice deben coexistir dos situaciones: a) una vulnerabilidad y b) un agente

generador que explote la vulnerabilidad


41/76

Para ingresar a esta opcin, haga clic sobre Documentacin de Amenazas y el software presenta la

pantalla de la figura 3.12, en la que se presenta la lista de las amenazas seleccionadas en el paso

3.5

Figura 3.12:Ingreso a Documentacin de Amenazas

La pantalla presenta la siguiente informacin:

Id: Cdigo de identificacin de la amenaza.

Descripcin:Nombre de la amenaza.

Terminada: En esta columna, el indicador SI o NO para indicar que la amenaza ya fue

documentada o no.

Accin: Bajo esta columna el link Documentar.

Este paso termina cuando todas las amenazas tengan estado SI.

Reporte: Haga clic en este botn para generar uno de los siguientes reportes:

Documentacin de Amenazas.

Estadsticas de Amenazas a por Areas Organizacionales.

Estadsticas de Amenazas por Escenarios de Riesgos.

Estadsticas de Amenaza por Categoras de Riesgo.

Para documentar cada una de las amenazas, en la pantalla de la figura 3.12 haga clic sobre la

Accin Documentary el software muestra la pantalla de la figura 3.13, en la que se presentan seis


42/76

Figura 3.13:Pestaas para Documentar una Amenaza.

(6) pestaas u hojas por cada amenaza:

1) Activos Impactados: esta pestaa se muestra activa..

2) Vulnerabilidades.

3) Agentes Generadores.

4) Fuentes;

5) Impacto; e

6) Incidentes Ocurridos.

Por cada amenaza, es obligatorio ingresar o seleccionar datos para las primeras cinco (5)

pestaas. Cada vez que se termine el ingreso de datos para las primeras cinco pestaas, el

software cambia el estado de la Amenaza de NO a SI.

Cuando todas las amenazas del proceso bajo auditora tengan estado SI, con los datos ingresados

el software evala el riesgo inherente de cada una de las amenazas y habilitar el Paso 3.7,

Reporte Riesgo Inherente.


43/76

Pestaa 1: Act ivos Impactados.

Por definicin, una amenaza es un evento que ocasiona daos a uno o ms activos del proceso; en

la pantalla de la figura 3.13a., ingrese o seleccione los activos que seran impactados por la

amenaza en caso de llegar a presentarse. La pantalla presenta los siguientes datos:

Id: Cdigo de identificacin del activo (es asignado por el software).

Descripcin:Nombre del Activo existente en la base de conocimientos

Valor: En esta columna muestra, en miles de pesos, el valor de los activos.

Checbox: En esta caja de seleccin se hace clic para seleccionar el activo.

Para seleccionar un activo de la lista, haga clic sobre el checkbox correspondiente. Para grabar la

seleccin efectuada, haga clic sobre el botn Guardar.

Figura 3.13 a.:Entrada a Adicionar Activos.

Es obligatorio seleccionar al menos un activo impactado por la amenaza.

Cmo adicionar un activo.

Haga clic sobre el botn Mantenimiento de Activos y el software muestra la pantalla de la figura

3.13a, para adicionar activos.


44/76

Haga clic sobre el botn Agregar y el software muestra otra pantalla, figura 3.13b, con los

campos necesarios para adicionar el activo. Ingrese descripcin y valor. Estos datos son

obligatorios. Haga clic sobre el botn Aceptar para grabar la informacin ingresada.

Si desea adicionar otro activo,haga clic sobre el botn adicionar otro. Para regresar a la pantalla

de la figura 3.12, haga clic sobre el botn volver.

Figura 3.13 a.:Adicionar Activos.

Pestaa 2: Vulnerabil idades.

Las Vulnerabilidades son las debilidades de seguridad o la falta de controles que podran crear el

ambiente propicio para que la amenaza se presente. Para que una amenaza se materialice deben

coexistir dos situaciones: a) una vulnerabilidad y b) un agente generador que explote la

vulnerabilidad.

Es obligatorio seleccionar al menos una vulnerabilidad por cada amenaza.

Para seleccionar o adicionar vulnerabilidades aplicables a la amenaza, en la figura 3.13, haga clic

sobre la pestaa Vulnerabilidades. El software muestra la pantalla de la figura 3.14 con la lista de

vulnerabilidades existentes en la base de conocimientos, para que seleccione las que sean

aplicables. La pantalla presenta los siguientes datos:


45/76

Id: Cdigo de identificacin de la vulnerabilidad (es asignado por el software).

Descripcin:Nombre de la vulnerabilidad existente en la base de conocimientos

Checkbox: En esta caja de seleccin se hace clic para seleccionar la vulnerabilidad.

Frecuencia de Ocurrencia de la Amenaza. Aqu se muestra una lista de frecuencias

anuales para seleccionar una.

Figura 3.14.:Seleccionar / Adicionar Vulnerabilidades.

Para seleccionar una vulnerabilidad de las existentes en la base de conocimientos, haga clic sobre

el checkbox correspondiente. Para grabar la seleccin efectuada, haga clic sobre el botn

Guardar.

Cmo adicionar una Vulnerabilidad.

Haga clic sobre el botn Mantenimiento de Vulnerabilidades y el software muestra la pantalla

para con la lista de vulnerabilidades existentes en la base de conocimientos y el botn Agregar.

Antes de adicionar una vulnerabilidad, utilice el botn buscarpara establecer si la vulnerabilidad

ya existe o no en la base de conocimientos.

Para adicionar una vulnerabilidad, haga clic sobre el botn Agregar y el software muestra otra

pantalla con los campos necesarios para ingresar descripcin y descripcin detallada. Haga clic


46/76

sobre el botn Aceptar para grabar la informacin ingresada. Si desea adicionar otra

vulnerabilidad, haga clic sobre el botn adicionar otra. Para regresar a la pantalla de la figura

3.12, haga clic sobre el botn volver.

Frecuencia Ocurrencia de la Amenaza.

Figura 3.14a.:Seleccionar frecuencia Anual de Ocurrencia.

Es obligatorio seleccionar al menos una frecuencia de ocurrencia por cada amenaza.

En la parte inferior de la pantalla de la figura 3.14, haga clic sobre la lista de frecuencia deocurrencia de la amenaza. Aqu se despliega una lista de frecuencias anuales de ocurrencia,para

que el auditor seleccione una.

Esta lista de frecuencias de ocurrencia ser utilizada para todas las auditoria y es creada por los

niveles Gerente o Supervisor en el mdulo de a parametrizacin . La frecuencia anual de ocurrencia

sirve como base para poder estimar la probabilidad de ocurrencia y el valor de la Prdida Anual

Estimada (PAE) de las amenazas, en caso de necesitarse.

La frecuencia ingresada por cada amenaza ser asociada, internamente por el software, con un

valor cualitativo de la Probabilidad de ocurrenciacomo si indica a continuacin.


47/76

Frecuencia de Ocurrencia Anual Probabilidad Comentarios

Una vez, entre 50 y 100 aos 1: Muy Baja, Remota

Una vez, entre 5 y 10 aos 2: Baja.

Entre una (1) y cinco (5) veces por

ao

3: Moderada.

Entre una (1) y diez (10) veces por

mes (cada 30 das)

4: Alta

Una vez o ms de una vez por da 5: Casi Cierto. Muy alta

Importante:Observe que a mayor frecuencia de ocurrencia, mayor es el valor de probabilidad de

ocurrencia. Por otra parte, tenga en cuenta que entre ms vulnerable sea el proceso a una

amenaza, mayor ser la probabilidad de ocurrencia.

Pestaa 3: Agentes Generadores de Amenaza.

LosAgentes Generadores se refieren a personas, actos de la naturaleza y software malicioso que

pueden explotar las vulnerabilidades existentes para hacer que ocurra o se presente la amenaza.

Pueden ser personas (empleados de la empresa o terceros que pudieran intervenir en el manejo

de la informacin del proceso), actos de la naturaleza (descargas elctricas, terremotos, etc),

calidad de los materiales software malicioso.

El software obliga a seleccionar al menos una agente generador por cada amenaza.


48/76

Figura 3.15.:Seleccionar o Adicionar Agentes Generadores.

En la figura 3.13, haga clic sobre la pestaa Agentes Generadores. El software muestra la pantalla

de la figura 3.15 con la lista de agentes existentes en la base de conocimientos, para que

seleccione las que sean aplicables. La pantalla presenta los siguientes datos:

Id: Cdigo de identificacin del agente generador (es asignado por el software).

Descripcin:Nombre del agente existente en la base de conocimientos

Checkbox: En esta caja de seleccin se hace clic para seleccionar el agente

Accin:Asociar Segmentos

Para seleccionar un agente generador de los existentes en la base de conocimientos, haga clic

sobre el checkbox correspondiente. Para grabar la seleccin efectuada, haga clic sobre el botn

Guardar.

Cmo adicionar un Agente Generador.

Haga clic sobre el botn Mantenimiento de Agentes y el software muestra la pantalla con la lista

de agentes existentes en la base de conocimientos y el botn Agregar. Antes de adicionar un

agente, utilice el botn buscarpara establecer si existe o no en la base de conocimientos.


49/76

Para adicionar un agente, haga clic sobre el botn Agregar y el software muestra otra pantalla con

los campos necesarios para ingresar informacin a los campos Tipo (interno o externo), Nombre

y descripcin. Haga clic sobre el botn Aceptar para grabar la informacin ingresada.

Figura 3.15 a.:Mantenimiento de Agentes Generadores.

Si desea adicionar otro agente,en la figura 3.15a,haga clic sobre el botn adicionar otro. Para

regresar a la pantalla de la figura 3.12, haga clic sobre el botn volver.

Pestaa 4: Fuentes de Amenazas.

Las fuentes de amenazas se refieren a las reas organizacionales de la empresa (o terceros) y las

actividades o escenarios del proceso o sistema objeto de la auditoria, en donde pudieran

presentarse las amenazas.

Para ingresar a esta pestaa haga clic sobre el botn Fuentesy el software muestra la pantalla de

la figura 3.16.


50/76

Figura 3.16.:Areas y actividades del proceso donde puede presentarse la amenaza

En esta pantalla el software presenta la lista de Areas Organizacionales ingresadas en la

caracterizacin del proceso (etapa 2) y la lista de escenarios de riesgo (actividades del proceso)

seleccionados en el alcance de la auditora (etapa 1).

Por cada amenaza se debe seleccionar al menos una (1) dependencia y al menos un (1) escenario

de riesgo. Para grabar la seleccin efectuada, haga clic sobre el botn Guardar.

Importante:Al finalizar la documentacin de amenazas el software validar que todas las reas

organizacionales y todos los escenarios de riesgo estn asociadas al menos con una amenaza.

Pestaa 5: Impacto de las Amenazas (f inanciero y Operacional).

El acceso a esta pestaa se activa cuando termine el ingreso de los datos de la pantalla de Agentes

Generadores. El software muestra la pantalla de la figura 3.17, para realizar dos acciones: 1)

Evaluar el impacto de la amenaza y 2) Describir las consecuencias (el riesgo) que afrontara la

organizacin en caso de presentarse la amenaza.


51/76

Figura 3.17:Evaluacin del Impacto de la Amenaza en caso de presentarse.

El objetivo de esta pantalla es evaluar (medir) el impacto financiero y operacional que tendra la

amenaza en caso de presentarse. El software ofrece por defecto cuatro (4) tipos de impacto

probable de las amenazas. Estos son:

1)

Financiero.

2) Reputacional.

3)

Disponibilidad de Personas.

4)

Tolerancia a Interrupciones.

De estos tipos de impacto, el nico obligatorio es el impacto financiero.

Cada tipo de impacto est asociado con una lista de criterios de evaluacin, de los cuales el

auditor debe seleccionar uno. Cada criterio tiene asociado un valor entre 1 y 5, donde 5 es el de

mayor impacto y 1 el de menor impacto.

Los tipos de impacto y los criterios de evaluacin de cada tipo, se ingresaron en el Mdulo de

Parametrizacin, por usuarios de perfil Supervisor y estn disponibles para ser utilizados en

todas las auditoras de la Empresa que se realicen con AUDIRISK. Es decir, se definen una sola vez,

como estndar para todas las auditorias en la empresa.


52/76

Cuando el auditor termine de seleccionar los criterios de evaluacin por cada tipo de impacto, el

software automticamente seleccionar uno para la amenaza; ste ser el de mayor valor

numrico entre los diferentes tipos de impacto, como se indica enseguida:

Tipos de Impacto

Criterios de Evaluacin

1: Insignificante 2: Bajo 3: Moderado 4: Alto 1. Catastrco

Financiero X

Reputacional X

Disponibilidad de personas claves X

Tolerancia a Interrupciones X

En esta matriz de ejemplo, el tipo de impacto Disponibilidad de Personas tiene el mayor valor.

Entonces el impacto de la amenaza ser 4: Alto. En caso de haber empate entre los criterios de

mayor valor, se selecciona uno de los dos.

No todos los tipos de impacto deben ser aplicables a una amenaza. El nico obligatorio para todas

las amenazas es el financiero.

Impacto Financiero.

Se refiere al valor estimado de las prdidas que experimentara la organizacin cada vez que se

presente la amenaza. Para estimar este valor, haga clic sobre la caja de seleccin de Impacto

financiero y el software mostrar una lista de Rangos de prdida en millones de $, para que el

auditor seleccione uno de la lista.

Valor del Impacto Rangos de Prdidas Econmicas por Ocurrencia de la Amenaza En Miles de $

De Hasta Punto Medio

1: Insignificante

2: Bajo

3: Moderado

4: Severo

5: Catastrfico


53/76

Los rangos de prdida deben establecerse a la medida de cada organizacin, considerando el

valor de sus activos y su patrimonio. Para algunas empresas, la prdida de $5 millones puede tener

un impacto insignificante, mientras que para otras puede ser Severo.

Importante. El software valida que la suma del valor de los activos impactados por la amenaza

(definidos en la pestaa 1), sea menor o igual que el lmite superior del rango de prdidas

seleccionado por el auditor. Un mensaje de error se genera cuando este control no se satisface.

IMPACTO DE LA DISPONIBILIDAD DE LAS PERSONAS CLAVES PARA LA OPERACION DEL

PROCESO.

Se refiere a los problemas operacionales que se presentan cuando una o ms personas claves para

la operacin del proceso se ausentan del trabajo por razones de fuerza mayor, tales como

calamidad domstica, enfermedad, incapacidad, invalidez, muerte, retiro de la empresa, etc.

Considere que estas ausencias se presenten en fechas crticas para la operacin del proceso (por

ejemplo: cierres contables, reuniones de Comits directivos)

Valor del Impacto Descripcin del Criterio

1: Insignificante

No hay personas indispensables. En caso de ausencias hasta de 5 das hbiles, el trabajo

puede ser realizado por sus compaeros de labores o el trabajo represado es fcil de

poner al da y genera costos adicionales bajos.

2: Bajo

No hay personas indispensables. Las ausencias hasta de 5 das hbiles, pueden ser

compensadas por sus compaeros de labores y el trabajo represado genera costos

adicionales moderados de recuperacin (para poner al da).

3: Moderado

No hay personas indispensables. Las ausencias hasta de 5 das hbiles, pueden ser

compensadas por sus compaeros de labores y el trabajo represado genera costos

adicionales significativos de recuperacin (para poner al da)

4: Severo

En el proceso hay al menos una (1) persona indispensable y entre sus compaeros no

hay personas preparadas para reemplazarla. Su ausencia temporal o definitiva

ocasionara problemas severos a la empresa.

5: Catastrfico

En el proceso hay dos (2) o ms personas indispensables y entre sus compaeros no

hay personas preparadas para reemplazarlas. Su ausencia temporal o definitiva

ocasionara problemas catastrficos a la empresa.


54/76

La magnitud del impacto de estas interrupciones se mide por la cantidad de personas claves para

la operacin del proceso y la disponibilidad de personas para reemplazarlas.

IMPACTO REPUTACIONAL.

Se refiere al impacto que sufrira la organizacin por desprestigio, mala imagen, publicidad

negativa, cierta o no, respecto de la empresa y sus prcticas de negocios. Por ejemplo, podra

ocasionar prdida de clientes, disminucin de ingresos o procesos judiciales.


1: Insignificante Afectacin a nivel Interno del proceso

2: Bajo Afectacin a nivel Local (la ciudad o el municipio)

3: Moderado Afectacin a nivel Regional (no trasciende mas all de la vecindad o zona geogrfica

dentro del pas)

4: Severo Afectacin a nivel Nacional en todo el pas

5: Catastrfico Afectacin a nivel Internacional impacta la imagen de la empresa en el mundo

La magnitud del impacto de estas interrupciones se mide por la transcendencia que tenga el

evento o amenaza en el proceso o sistema que se est auditando.

IMPACTO TOLERANCIA A INTERRUPCIONES.Se refiere al impacto operacional que generara la interrupcin de los servicios informticos

(causada por cadas de la Red de datos o de internet, VoIP, daos en los equipos de cmputo

crticos, la no disponibilidad de energa elctrica, etc), cuando el tiempo de interrupcin es

superior al Mximo Tiempo Tolerable de cada de los servicios informticos y tecnolgicos.


1: Insignificante La interrupcin tolerable de interrupcin es mayor de 12 horas2: Bajo La interrupcin tolerable de interrupcin est entre 8 y 12 Horas

3: Moderado La interrupcin tolerable de interrupcin est entre 4 y 8 Horas

4: Severo La interrupcin tolerable de interrupcin est entre 2 y 4 Horas

5: Catastrfico Interrupcin tolerable de interrupcin es menor de 2 horas


55/76

El tiempo mximo tolerable de interrupcin de cada proceso o sistemas es una variable que se

define en el Plan de Continuidad del Negocio o el Plan de Contingencias del Tecnologa de

Informacin,

La magnitud del impacto de estas interrupciones se mide por El Tiempo Mximo Tolerable de

Cada (MTD) del proceso o sistema que se est auditando. Este es el espacio de tiempo durante el

cual un proceso puede estar inoperante sin que la Entidad empiece a sufrir prdidas colapse

(usualmente se mide en horas)

Consecuencias sobre la Organizacin.

En este campo de la figura 3.17, el auditor describe en forma concreta, las consecuencias que

traera a la organizacin la ocurrencia de la Amenaza.

Para grabar la informacin seleccionada e ingresada de Impacto,haga clic sobre el botn grabar.

Pestaa 6: Incident es Ocurridos.

Esta pestaa es opcional. El objetivo de la pantalla que se muestra en la figura 3.18 es ingresar

informacin que describa los antecedentes de ocurrencia de esta amenaza en la organizacin.

Figura 3.18:Ingreso de informacin sobre Incidentes de Seguridad Ocurridos.


56/76

Para ingresar un incidente de seguridad, haga clic sobre Mantenimiento de incidentes de

seguridad y el software mostrar la pantalla de la figura 3.19

Figura 3.19:Mantenimiento de Incidentes de Seguridad Ocurridos.

Ingrese los datos en los campos descripcin y fecha de ocurrencia. Para grabar los datos

ingresado haga clic sobre el botn Aceptar.

Paso 3.6: Evaluar Riesgo Inherente.

El objetivo de este paso es evaluar (medir) el riesgo inherente de las amenazas documentadas en

el paso 3.5, utilizando los valores de Probabilidad de Ocurrencia e Impacto asignados a cada

amenaza.

Para acceder a esta paso, haga clic sobre Evaluar Riesgo Inherente y el software muestra la

pantalla de la figura 3.20


57/76

Figura 3.20:Evaluar Riesgo Inherente

En esta pantalla el software presenta tres alternativas para ver los resultados de la evaluacin del

riesgo inherente del proceso o sistema objeto de la auditoria.

Por categoras de riesgo;

Por Areas Organizacionales; y

Por Actividades o Escenarios de Riesgo.

Los valores de riesgo inherente que puede tener una amenaza se muestran en el siguiente grfico:


58/76

Por cada amenaza el riesgo el riesgo inherente tendr una de las siguientes calificaciones:

E:Extremo;

A:Alto;

M:Moderado;

B:Bajo (tolerable).

El significado de los niveles de riesgo inherente, estimados por mtodos cualitativos es el siguiente:

Niveles de Riesgo(Inherente oResidual )

Consecuencias en caso de Presentarse

1: BajoLa ocurrencia del evento (amenaza) tendra consecuencias leves, tolerables por laorganizacin. Se puede gestionar mediante procedimiento de rutina. En caso depresentarse no desestabiliza a la organizacin.

2: ModeradoEn caso de presentarse ocasionara consecuencias que superan el nivel de tolerancia de laorganizacin. Requiere atencin de la Gerencia. Debe ser gestionado con controles paradisminuir su impacto o la frecuencia de ocurrencia.

3: AltoEn caso de presentarse ocasionara consecuencias financieras y operacionales de impactosevero o significativo para la organizacin. Es necesaria la atencin inmediata de laGerencia. Debe gestionarse con acciones para transferir el riesgo a terceros, dispersar elriesgo y reducir su impacto o la frecuencia de ocurrencia.

4: ExtremoSu ocurrencia ocasionara consecuencias financieras y operacionales de impactocatastrfico para la organizacin. Es necesaria la atencin inmediata de la Gerencia. Debegestionarse con mecanismos para evitar su ocurrencia o transferir el riesgo a terceros,dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.

Evaluacin de Riesgos Inherentes por Categoras de Riesgo.

Sobre la pantalla de la figura 3.20, marque el botn de radioPor Categoras de Riesgo y haga clic

sobre el botn aceptar. El software muestra la pantalla del la figura 3.21 con la lista de las

categora de riesgo criticas para la auditoria que se esta ejecutando.


59/76

Figura 3.21:Evaluar Riesgo Inherente por categoras de riesgo

Haga clic sobre la accin Ver Reporte a la derecha de la categora de riesgo que desee evaluar y el

software muestra la pantalla de la figura 3.22

Figura 3.22:Evaluar Riesgo Inherente para una Categora de Riesgo

En la parte superior de la pantalla se muestran las amenazas identificadas por el auditor para esta

categora de riesgo, con los valores utilizados en la evaluacin. Por cada amenaza muestra los

siguientes datos:

Id:cdigo de identificacin de la amenaza (asignado por el sistema).

Amenaza:Descripcin corta o nombre de la amenaza.

Probabilidad. Evaluacin de la probabilidad de ocurrencia de la amenaza, asignada por el

software, con base en la frecuencia anual de ocurrencia de la amenaza.


60/76

Valor. Valor numrico asignado por el software a la probabilidad de ocurrencia. Un valor

entre 1 y 5.

Impacto: Evaluacin del Impacto Potencial de la amenaza, asignada por el software, con

base en los criterios de evaluacin de los tipos de impacto sealados por el auditor para

cada amenaza.

Valor. Valor numrico asignado por el software al impacto potencial de la amenaza. Un

valor entre 1 y 5.

Riesgo Inherente El valor que corresponda a la amenaza, segn su localizacin en el

Mapa de Riesgos inherentes o matriz de probabilidad e impacto (E: Extremo; A: Alto; M:

Moderado o B: Bajo). La calificacin del riesgo inherente est marcada con el color que

corresponda.

En la parte inferior de la pantalla se muestra el Mapa de Riesgos Inherentes por Categora de

Riesgo. Los nmeros de identificacin de las amenazas estn localizados en las celdas que

correspondan segn las calificaciones de probabilidad de ocurrencia (eje Y) e impacto (eje x)

asignados.

Reportes del Mapa de Riesgos Inherentes.

Haga clic sobre el botn reporte localizado en la parte inferior de la pantalla 3.22 y el software

genera el reporte que se muestra en la figura 3.23, Riesgo Inherente por Categoras de Riesgo.

.


61/76

Figura 3.23:Reporte de Riesgo Inherente por Categora de Riesgo.

Evaluacin de Riesgos Inherentes por Areas Organizacionales.

Sobre la pantalla de la figura 3.20, marque el botn de radioPor Areas Organizacionales y haga

clic sobre el botn aceptar. El software muestra la pantalla del la figura 3.24 con la lista de las

reas organizacionales que intervienen en el proceso o sistema que se est ejecutando.

Figura 3.24:Evaluar Riesgo Inherente por Areas Organizacionales

Haga clic sobre la accin Ver Reporte a la derecha del rea organizacional que desee evaluar y el

software muestra una pantalla similar a la figura 3.22, en cual se muestra la evaluacin de

riesgos para las amenazas asociadas con el Area Organizacional.


62/76

Evaluacin de Riesgos Inherentes por Escenar ios de Riesgo.

Sobre la pantalla de la figura 3.20, marque el botn de radioPor Escenarios y haga clic sobre el

botn aceptar. El software muestra la pantalla del la figura 3.25 con la lista de las actividades del

proceso (escenarios de riesgo de la auditoria) o sistema que se est ejecutando.

Figura 3.25: Evaluar Riesgo Inherente por Escenarios de Riesgo.

Haga clic sobre la accin Ver Reporte a la derecha del Escenario de Riesgo que desee evaluar y el

software muestra una pantalla similar a la figura 3.22, en cual se muestra la evaluacin de

riesgos para las amenazas asociadas con el escenario.


63/76

Paso 3.7: Perfiles de Riesgo Inherente.

El objetivo de este paso es presentar la evaluacin del riesgo inherente realizada en el paso 3.6

para las amenazas del proceso o sistema bajo auditora, agrupada y desagregada en tres niveles:

Nivel 1: Cantidad de amenazas y evaluacin promedio del Riesgo Inherente, agrupadas

por categoras de riesgo, reas organizacionales y escenarios de riesgo, agentes

generadores de riesgo y segmentos de agentes generadores.

Nivel 2: Discriminacin del riesgo inherente para las amenazas asociadas a los

agrupamientos del nivel 1, en tres estratos de riesgo: Bajo (color verde); Alto (color

amarillo, incluye riesgos con calificaciones M- moderado y A- Alto) y Muy Alto(color rojo,

incluye riesgos con calificacin E - Extremo).

Nivel 3:Mostrar la cantidad de amenazas del nivel 2 que correspondan a los diferentes

rangos de prdida estimada segn la evaluacin del impacto financiero de las amenazas y

el nombre de la amenaza que desee consultar (despus de hacer clic en el link ver).

Los conceptos de agrupamiento del nivel 1 para los perfiles de riesgo se muestran en la pantalla

de la figura 3.26 y son:

a)

Por Categoras de Riesgo.

b) Por rea Organizacional.

c)

Por Escenarios de Riesgo.

d) Por Agentes Generadores del Riesgo.

e)

Por Segmentos de los Agentes Generadores de riesgo.


64/76

Figura 3.26: Agrupamiento de los Perfiles de Riesgo Inherente Nivel 1

Perfil de Riesgo por Categoras de Riesgo Nivel 1.

Para acceder a este perfil, haga clic sobre la ruta Perfil de Riesgo Inherente - Categora de

Riesgo y el software muestra la pantalla de la figura 3.27

Figura 3.27:Perfil de Riesgo Inherente por Categoras de Riesgo.

La pantalla muestra, por cada categora de riesgo los siguientes datos:

Id:cdigo de identificacin de la categora de riesgo (asignado por el sistema).


65/76

Categora de Riesgo:Nombre de la categora de riesgo.

Total Amenazas: La cantidad de amenazas identificadas para la categora de riesgo en

este proceso.

Riesgo Inherente (RI):el valor promedio de las calificaciones del riesgo inherente de las

amenazas identificadas en este proceso para la categora de riesgo.

Significado RI: e

Etapa 3_ Identificacion

Documents

Transcript of Etapa 3_ Identificacion