Download - Etapa 3_ Identificacion
-
7/21/2019 Etapa 3_ Identificacion
1/76
MANUAL DEL USUARIO DE AUDIRISK
Versin 2012
ETAPA 3: IDENTIFICACION Y DOCUMENTACION DE RIESGOS
SOFTWARE DE AUDITORIA BASADA EN RIESGOS, PARAPROCESOS DE NEGOCIO Y SISTEMAS DE INFORMACIN
-
7/21/2019 Etapa 3_ Identificacion
2/76
Contenido
ETAPA 3: IDENTIFICAR Y EVALUAR RIESGOS INHERENTES. ............................................... 3
Terminologa de Riesgos empleada en el software AUDIRISK ............................................................... 5
Paso 3.1: Clases de Riesgos Aplicables. .............................................................................................. 16
Paso 3.2: Priorizar Clases de Riesgo (opcional). .................................................................................. 17
Paso 3.3: Identificar Riesgos Crticos. ................................................................................................. 28
Paso 3.4: Asignar Amenazas a Riesgos (obligatorio)............................................................................ 29
Paso 3.5: Documentacin de Amenazas (obligatorio). ............ .............. ............ .............. ............ ........ 40
Paso 3.6: Evaluar Riesgo Inherente. ................................................................................................... 56
Paso 3.7: Perfiles de Riesgo Inherente. .............................................................................................. 63
Paso 3.8: Seleccionar Alternativas de Respuesta a Riesgos. ............. .............. ............ .............. ........... 70
Paso 3.9: Papeles de Trabajo. ............................................................................................................ 73
Paso 3.10: Estado de Avance de la Auditora ...................................................................................... 74
-
7/21/2019 Etapa 3_ Identificacion
3/76
ETAPA 3: IDENTIFICAR Y EVALUAR RIESGOS INHERENTES.
El objetivo de esta etapa es identificar, priorizar, documentar y evaluar la exposicin a riesgos
inherentes en el proceso o sistema objeto de la auditoria. En la figura 3.1 se muestra el men
principal de esta etapa, el cual consta de diez (10) pasos que deben ser ejecutadas de manera
secuencial:
Figura 3.1:Men de la Etapa 3.
Al llegar a esta etapa de la Auditoria, se pueden presentar dos situaciones:
a)
El proceso o sistema objeto de la auditoria est incluido en la Planeacin Anual de la
Auditoria. En este caso, el software ya tiene priorizadas las categoras de riesgo y por
consiguiente se omitirn los pasos 3.1 y 3.2
-
7/21/2019 Etapa 3_ Identificacion
4/76
b)
El proceso o sistema objeto de la auditoria NO est incluido en la Planeacin Anual de la
Auditoria. En este caso es necesario ejecutar completamente los pasos 3.1 y 3.2
Una sntesis de las funcionalidades que satisface cada uno de los pasos de esta etapa es la
siguiente:
1)
Clases de Riesgos Aplicables (obligatorio). Apoyndose en la base de conocimientos del
software, el auditor identifica las clases o categoras de riesgo que sean aplicables al
proceso o sistema objeto de la auditoria. Estas clases de riesgo se seleccionan del modelo
de clases de riesgo adoptado por la auditoria.
2)
Priorizar Clases de Riesgo (opcional). Este paso el software ofrece dos mtodos para
priorizar las categoras de riesgo aplicables al proceso que se est auditando, segn el
impacto financiero probable de su ocurrencia.
3) Identificar Riesgos Crticos(obligatorio). En este paso, el auditor marca o selecciona las 3
4 categoras de riesgo crticas del proceso o sistema, sobre las que se ejecutarn los
dems pasos y etapas de la auditoria.
4)
Asignar Amenazas a Riesgos (obligatorio): Por cada una de las clases de riesgo crticas
seleccionadas en el paso anterior y apoyndose en la base de conocimientos suministrada
por el software, se identifican las amenazas o eventos negativos (cdigo y nombre) que
podran originar la ocurrencia de la categora de riesgo. Se recomienda identificar almenos seis (6) amenazas por cada categora de riesgo crtica.
5)
Documentacin de Amenazas (obligatorio). Por cada amenaza identificada en el paso
anterior, se documentan los siguientes elementos del riesgo: vulnerabilidades que crean
el ambiente propicio para que ocurra la amenaza, activos impactados, agentes que
podran generarla, frecuencia probable de ocurrencia en el horizonte de un ao, impacto
financiero y operacional por ocurrencia, consecuencias que podra originar en caso de
presentarse, actividades del proceso y reas organizacionales donde podra presentarse.
6)
Evaluacin Riesgo Inherente (obligatorio). Con base en los datos ingresados en el paso
anterior, el software evala el riesgo inherente por cada una de las amenazas y elabora
mapas de riesgos inherentes organizados por categora de riesgo, factor de riesgo (agente
generador) y segmento de factor de riesgo.
-
7/21/2019 Etapa 3_ Identificacion
5/76
7) Perfil Riesgo Inherente:Por cada categora de riesgo crtica, el software muestra el valor
promedio del riesgo Inherente y la cantidad de amenazas en cada nivel de exposicin a
riesgos (Extremo, Alto, Moderado o Bajo)
8) Seleccionar Alternativas de Respuesta a Riesgos: Por cada una de las amenazas con
riesgo inherente diferente de Bajo (Tolerable), el auditor selecciona las alternativas de
manejo de riesgos que deberan utilizarse (asumir, dispersar, evitar, reducir y transferir)
9) Papeles de Trabajo. El software ofrece una lista de los principales reportes con los
resultados de esta etapa, para exportarlos a medios externos fuera del control del
software.
10)Estado de Avance de la Auditoria. El software ofrece funcionalidades para comparar el
tiempo planeado con el tiempo empleado en la ejecucin de esta etapa y registrar los
motivos de las desviaciones. El control se realiza para toda la etapa y por auditor.
Terminologa de Riesgos empleada en el software AUDIRISK
El desarrollo del enfoque de Audi tora Basada en Riesgos exige que los auditores estn
familiarizados con la terminologa y los elementos fundamentales de Administracin Integral de
Riesgos1en procesos de negocio y en operaciones que se soportan en la infraestructura de
tecnologa de informacin (servidores, terminales de computador, redes de comunicacin,internet, etc) y en software de aplicaciones de computador desarrolladas en la empresa o
adquiridas a terceros o arrendadas (computacin en la nube). Por consiguiente, exige el dominio
de conocimientos fundamentales sobre identificacin, evaluacin, control y monitoreo de riesgos
en ambientes manuales y automatizados en las operaciones del negocio y en los componentes de
tecnologa de informacin.
La administracin de riesgos emplea una vasta terminologa que debe ser claramente entendida
por los interesados en control de riesgos, seguridad y auditora basada en riesgos. Esta seccin
define y discute los trminos y expresiones ms importantes y usuales relacionadas con riesgos
que se utilizan en el software AUDIRISK.
1Riesgos estratgicos, financieros, operativos, de salud ocupacional, ambientales, de lavado de activos, de
auditora, de control, de mercado, de liquidez, etc.
-
7/21/2019 Etapa 3_ Identificacion
6/76
La posibilidad de que alguna cosa pueda ocurrir para daar, destruir o divulgar los activos de una
organizacin es conocida como riesgo. Por consiguiente, Gestionar o manejar el riesgo es un
elemento indispensable de sostenimiento de un ambiente seguro. Por ejemplo, la seguridad de los
datos en cualquier proceso o sistema tiene como propsito prevenir la prdida o divulgacin de
los activos de informacin mientras sea sostenible el acceso autorizado.
La Gestin o Administracin de Riesgos2es un proceso detallado de identificacin de factores que
podran daar los activos, la evaluacin de esos factores a la luz del valor de los activos y el costo
de las contramedidas, y la implementacin de soluciones apropiadas (costo efectividad) para
mitigar o reducir el riesgo.
El objetivo primario de la gestin de riesgoses reducir el riesgo inherente a un nivel aceptable de
riesgo residual. Este nivel de riesgo depende de la organizacin, el valor de sus activos y el
tamao de su presupuesto. Es imposible disear e implantar un ambiente completamente libre de
riesgos; sin embargo, la reduccin significativa del riesgo es posible con pocos esfuerzos si estos se
orientan de manera apropiada.
La Gestin de riesgos3 tambin se define como las actividades coordinadas para dirigir y
controlar una organizacin con respecto a riesgos. Tpicamente incluye: Valoracin del riesgo (Risk
Assessment), tratamiento del riesgo, aceptacin del riesgo y comunicacin del riesgo.
Valoracin del Riesgo (Risk Assessment).Es el proceso total de anlisis de riesgos y evaluacin de
riesgos. El anlisis de riesgos es el uso sistemtico de informacin para identificar fuentes y
estimar el riesgo; la evaluacin de riesgos es el proceso de comparar el riesgo estimado contra
criterios dados para determinar la significancia del riesgo.
Los seis (6) Element os del Riesgo.
Los seis (6) elementos del riesgo que se muestran en la figura 3.1b son parte importante de la
estructura de Evaluacin de Riesgos implementada en el software AudiRisk y se describen
brevemente a continuacin.
2Libro Security Guide. Preparacin para el examen CISSP, capitulo 63Guide to BS7799 Risk Assessment
-
7/21/2019 Etapa 3_ Identificacion
7/76
Activo. Es cualquier cosa dentro de una ambiente que deber ser protegido. Este puede ser un
archivo de computador, un servicio de red, un recurso del sistema, un proceso, un programa, un
producto, la infraestructura de Tecnologa de Informacin, una base de datos, un dispositivo de
hardware, software, instalaciones fsicas y otros. Si una organizacin coloca algn valor a un item
bajo su control y estima que ese item es bastante importante para proteger, este se marca
como un activo para propsitos de gestin y anlisis de riesgos. La prdida o divulgacin de un
activo puede resultar en detrimento general de la seguridad, prdida de productividad, reduccin
de utilidades, gastos o costos adicionales, discontinuidad de la organizacin y numerosas
consecuencias intangibles.
Figura 2.1b: Elementos del Riesgo.
Activo 4 : Es alguna cosa que tiene valor o utilidad para la organizacin, sus operaciones de
negocio y su continuidad.
Ejemplos:
Activos de Informacin
Documentos en papel.
Activos e Software.
Activos fsicos.
4Guide to BS7799 Risk Assessment
Los elementos del Riesgo
2. Amenazas
Explotan
3. Vulnerabilidad
Que resultan en
4. Exposicin
Que es5. RiesgoQue es mitigado por
6. Salvaguardas
Que protegen
Que son daados por
1. Activos
-
7/21/2019 Etapa 3_ Identificacion
8/76
Las personas.
Imagen y Reputacin de la Compaa.
Los servicios que soportan su operacin.
Valuacin de Activos5: es un valor monetario asignado a un activo basado en el costo actual y
gastos no monetarios. Este incluye costos de desarrollo, mantenimiento, administracin,
publicidad, soporte, reparacin y reemplazo. Estos tambin incluyen valores difciles de
determinar tales como credibilidad pblica, soporte de la industria, mejoramiento de la
productividad, tener y beneficios de socio. Ms adelante se discutir en detalle este tema.
Amenaza:Una causa potencial de un incidente no deseado, que puede resultar en dao para un
sistema u organizacin.
Amenaza6: Cualquier potencial ocurrencia que puede causar un efecto indeseable o no esperado
para una organizacin o para un activo especfico. Las amenazas son cualquier accin o inaccin
que puede causar dao, destruccin, alteracin, prdida o divulgacin de activos o que podran
bloquear el acceso a o impedir el mantenimiento de los activos. Las amenazas pueden ser
grandes o pequeas y de la misma manera pueden ser sus consecuencias. Pueden ser
accidentales o intencionales. Pueden ser generadas por las personas, las organizaciones, el
hardware, las redes, estructuras o por actos de la naturaleza.
Agentes Generadores de Amenaza: son los que intencionalmente o accidentalmenteexplotan las
vulnerabilidades. Los agentes intencionales usualmente son personas, pero tambin pueden ser
programas, hardware o sistemas. Los agentes accidentales incluyen incendio, terremoto,
inundacin, fallas del sistema, errores humanos (originados por falta de entrenamiento o por
ignorancia) y cadas de energa elctrica.
Vulnerabilidad: Es la ausencia de o la debilidad de una salvaguarda o contramedida, es decir, un
defecto, errores y ambigedades en las leyes y normas, omisin o descuido, error, limitacin,
5Libro Security Guide. Preparacin para el examen CISSP, capitulo 66ibidem
-
7/21/2019 Etapa 3_ Identificacion
9/76
fragilidad o susceptibilidad en la infraestructura o cualquier otro aspecto de la organizacin. Si es
explotada, pueden ocurrir prdidas o daos a los activos.
Vulnerabilidad:Una debilidad de un activo o grupo de activos, que puede ser explotada por un
agente generador de amenaza.
Exposicin: Es lasusceptibilidad a perder activos debido a una amenaza. Existe la posibilidad que
una vulnerabilidad se explotada o pueda ser explotada por un agente generador de amenazas. La
exposicin no significa que est ocurriendo un evento que resulta en prdidas; significa que si hay
una vulnerabilidad y una amenaza que pueda explotarla, existe la posibilidad que un evento de
amenaza pueda ocurrir.
Riesgo: Es la posibilidad de que cualquier amenaza especfica explote una vulnerabilidad especfica
para causar dao a un activo. Este es una estimacin de probabilidad, posibilidad u oportunidad.
A mayor probabilidad de ocurrencia de un evento de amenaza, mayor es el riesgo. Cada caso de
exposicin es un riesgo. Cuando se escribe como una frmula, el riesgo puede ser definido como
Riesgo = Amenaza + vulnerabilidad. Entonces la reduccin del agente de amenaza o de la
vulnerabilidad, directamente conducen a la reduccin del riesgo.
Cuando un riesgo se materializa, un agente de amenaza toma ventaja de una vulnerabilidad y
causa dao o divulgacin de uno o ms activos. El propsito amplio de la seguridad es prevenir la
materializacin de los riesgos, mediante la remocin de las vulnerabilidades y el bloqueo
(neutralizacin) de los agentes de amenaza que pueden exponer los activos. Como herramienta de
gestin de riesgos, la seguridad es la implementacin de protecciones o salvaguardas. El riesgo
es la posibilidad de que alguna cosa pueda ocurrir para daar, destruir o divulgar.
Riesgo 7:Combinacin de la probabilidad de un evento y sus consecuencias.
El Diccionario Websters define el riesgo como La posibilidad de dao o prdida. En el contexto
de los negocios, el riesgo se define como los factores, eventos o exposiciones, internas y
externas, que amenazan el logro de los objetivos.
7Guide to BS7799 Risk Assessment
-
7/21/2019 Etapa 3_ Identificacion
10/76
El Riesgoes el valor de las prdidas a las que se exponen las Empresas como consecuencia de la
ocurrencia de eventos perjudiciales, accidentales o intencionales, denominados Amenazas.
Salvaguarda o Contramedida8: es cualquier cosa que remueve una vulnerabilidad o protege
contra una o ms amenazas especficas. Es cualquier accin o producto que reduce el riesgo a
travs de la eliminacin o reduccin de una amenaza o una vulnerabilidad en cualquier sitio
dentro de la organizacin. Son la nica manera de mitigar o remover el riesgo. Una salvaguarda
puede ser la instalacin de un parche de software, hacer un cambio en la configuracin contratar
guardias de seguridad, electrificar un permetro de defensa e instalar luces. Las salvaguardas o
contramedidas o controles son el nico medio para mitigar o remover el riesgo.
Elementos del Riesgo9: Los seis elementos del riesgo (activos, amenazas, vulnerabilidad,
exposicin, riesgo y salvaguarda) estn relacionados como se muestra en la figura 1. Las
amenazas explotan las vulnerabilidades, las cuales resultan en exposiciones. La exposicin es un
riesgo y el riesgo es mitigado por salvaguardas. Las salvaguardas protegen los activos que son
puestos en peligro por las amenazas.
Ataque.Un ataque es la explotacin de una vulnerabilidad por un agente de amenaza. En otras
palabras, es cualquier intento de explotar una vulnerabilidad de la infraestructura de seguridad de
una organizacin para causar dao, prdida o divulgacin de activos. Tambin puede verse como
cualquier violacin o falla en la adhesin a la poltica de seguridad de la organizacin.
Rompimiento o Infraccin de seguridad: es la ocurrencia de la omisin o impedimento de un
mecanismo de seguridad por parte de una agente de amenaza. Cuando una infraccin se combina
con un ataque, el resultado es una penetracin o intrusin.
Penetracin: es la condicin en la cual un agente de amenaza obtiene el acceso a la
infraestructura de una organizacin a travs de la burla o engao de los controles de seguridad y
est habilitado para directamente poner en peligro los activos.
8Libro Security Guide. Preparacin para el examen CISSP, capitulo 69Libro Security Guide. Preparacin para el examen CISSP, capitulo 6
-
7/21/2019 Etapa 3_ Identificacion
11/76
Riesgo Inherent e y Riesgo residual.
La Auditora Basada en Riesgos considera dos (2) estados de los Riesgos.
1.
Riesgo Potencial (Inherente): Riesgo antes de Controles. Riesgo al que se exponen los
procesos y sistemas de la empresa, de acuerdo con su naturaleza y modo de operacin. En su
estimacin no se tienen en cuenta los controles establecidos. Este riesgo se mide en la etapa 3
de la auditora basada en riesgo, identificacin y evaluacin de riesgos.
Medicin del Riesgo Inherente - Estndares
ISO 31000 - AS/ NZ 4360 - NTC 5254
AUDIRISK 2011: Software de Auditora Basada en Riesgos para Procesos y Sistemas de Informacin
Base para evaluar los controles internos establecidos. La identificacin y evaluacin de
riesgos inherentes es prerrequisito y base para iniciar las actividades de evaluacin del control
interno existente, diseo y ejecucin de pruebas de auditora. El objetivo de los controles o
contramedidas es asegurar que la empresa est protegida contra los riesgos potenciales
crticos que podran presentarse.
2.
Riesgo Residual:Riesgo despus de Controles. Riesgo no protegido o no cubierto por los
controles establecidos. Este riesgo se mide en dos momentos: a) en la evaluacin de control
interno (etapa 5 de la metodologa) y b) como resultados de las pruebas de auditora (etapa
6, pruebas de cumplimiento y etapa 7, pruebas sustantivas).
-
7/21/2019 Etapa 3_ Identificacion
12/76
-
7/21/2019 Etapa 3_ Identificacion
13/76
Niveles de Riesgo(Inherente oResidual )
Consecuencias en caso de Presentarse
presentarse no desestabiliza a la organizacin.
2: ModeradoEn caso de presentarse ocasionara consecuencias que superan el nivel de tolerancia de laorganizacin. Requiere atencin de la Gerencia. Debe ser gestionado con controles para
disminuir su impacto o la frecuencia de ocurrencia.
3: AltoEn caso de presentarse ocasionara consecuencias financieras y operacionales de impactosevero o significativo para la organizacin. Es necesaria la atencin inmediata de laGerencia. Debe gestionarse con acciones para transferir el riesgo a terceros, dispersar elriesgo y reducir su impacto o la frecuencia de ocurrencia.
4: ExtremoSu ocurrencia ocasionara consecuencias financieras y operacionales de impactocatastrfico para la organizacin. Es necesaria la atencin inmediata de la Gerencia. Debegestionarse con mecanismos para evitar su ocurrencia o transferir el riesgo a terceros,dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.
Clases o Cat egoras de Riesgo.
Este concepto se introduce en la metodologa AUDIRISK para clasificar las amenazas o eventos
negativos que pueden causar dao a los activos de la organizacin, con el propsito de facilitar y
hacer ms eficientes las actividades de la Auditoria basada en riesgos.
Por defecto, la base de conocimientos AUDIRISK suministra una lista de categoras de riesgo
asociadas con cuatro (4) modelos internacionales de gestin de riesgos, como se describe a
continuacin:
o Sistema de Administracin de Riesgos Operacionales - SARO:En este modelo se manejan
siete (7) categoras de Riesgo: Fraude Interno, Fraude Externo, Fallas en la Atencin a
Clientes, Daos a Activos Fsicos, Fallas en Relaciones Laborales, Fallas Tecnolgicas y
Errores en Ejecucin y administracin de Procesos.
o Sistema de Administracin de Riesgos de Lavado de Activos y Financiamiento al
Terrorismo SARLAFT: En este modelo se manejan cuatro (4) categoras de Riesgo:
Reputacional, Riesgo Legal, Riesgo Operativo y Riesgo de Contagio.o Modelo Estndar de Control Interno (MECI): En este modelo se manejan cinco (5)
categoras de Riesgo: Estratgico, Riesgo Operativo, Riesgo Financiero, Riesgo de
Cumplimiento y Riesgo de Tecnologa.
o Modelo AUDIRISK: En este modelo se manejan 8 categoras de Riesgo: Hurto o Fraude,
Dao y Destruccin de Activos, Toma de Decisiones Errneas, Sanciones Legales, Prdida
-
7/21/2019 Etapa 3_ Identificacion
14/76
de Credibilidad Pblica, Desventaja Competitiva, Prdida de Ingresos y Prdidas por costos
Excesivos.
Por razones de eficiencia y porque la auditora trabaja selectivamente (no revisa el 100% de los
riesgos), la auditora basada en riesgos se focaliza en las categoras de riesgo que en un ejerciciode Priorizacin realizado con los auditados, obtienen las mayores calificaciones del impacto que
pueden ocasionar en caso de presentarse. A esas categoras de riesgo se les denomina Crticas y
sobre ellas se aplicar el mayor nfasis de la auditoria (el 80%) porque son las que pueden
ocasionar los mayores problemas financieros y operacionales.
Por ejemplo, las auditoras basadas en riesgos utilizando las categoras de riesgo del modelo SARO
podra focalizarse en tres (3) de las siete (7) clases de riesgos, las que puedan generar el mayor
impacto financiero y operativo. Estas tres categoras de riesgo crticas se identifican despus de
realizar un ejercicio de priorizacin, aplicando los Principios de Pareto y del Poder del 3. De
esta manera, los recursos y esfuerzos de la auditoria se focalizan sobre los riesgos que pueden
generar las mayores prdidas a la organizacin, en lugar de dar el mismo nfasis a todas las
categoras de riesgo.
Despus de identificar las tres o cuatro categoras de riesgo crticas del proceso, se procede a
identificar las amenazas o eventos que podran ocasionar o generar cada una de estas categorasde riesgo. Para estas amenazas se evala el riesgo inherente y la auditora enfatiza su revisin
sobre las que obtuvieron calificaciones Extremo (E), Alto (A) y Moderado (M). Se recomienda
identificar mximo diez y mnimo seis amenazas por categora, para un total de 30 40
amenazas por proceso. De estas, segn la evaluacin del riesgo inherente, las que obtienen las
mayores calificaciones no exceden de 20 amenazas.
Si la organizacin tuviera 30 procesos y por cada uno se identifican 20 amenazas crticas, el total
de amenazas seria de 600. La efectividad de la auditora y de los responsables de los procesos
auditados, en las actividades de evaluacin de riesgos y controles no es igual cuando se tienen
600 amenazas clasificadas en categoras de riesgo que cuando no estn clasificadas o agrupadas.
Al respecto, un experto en manejo de informacin afirma que cuando la informacin no est
-
7/21/2019 Etapa 3_ Identificacion
15/76
clasificada, el usuario se enfrenta a una situacin similar a alguien que est flotando en la
inmensidad del ocano: tiene tanta agua a su disposicin que le alcanza para ahogarse y le sobra.
Los agrupamientos de amenazas por categoras de riesgo facilitan y hacen ms eficiente elproceso de Auditora. Por cada proceso o sistema auditado, con las amenazas crticas se construye
el cubo de riesgos en el cual se podrn visualizar y evaluar la proteccin existente y el riesgo
residual de las amenazas, por categoras de riesgos crticas, actividades del proceso (escenarios de
riesgo) y reas organizacionales o terceros que intervienen en el manejo de las operaciones y
sistemas de la organizacin. A su vez, por cada proceso, rea o tercero pueden visualizarse las
evaluaciones de proteccin existente y riesgo residual de las amenazas y desplegar hacia abajo,
las evaluaciones de la probabilidad de ocurrencia y el impacto financiero y operativo de las
amenazas.
El significado de las categoras de riesgo del Modelo AUDIRISK, para fines informativos, se
describe a continuacin.
Categoras de Riesgo- ModeloAUDIRISK
Descripcin
Dao y destruccin de activos
Se refiere a perdidas de dinero que se derivan de perder activosnecesarios para el funcionamiento de los negocios, la informacin delnegocio o los activos informticos que soportan el desarrollo de lasoperaciones de negocios. Hay dos activos informticos que por suimportancia se categorizan como registros vitales: Las bases de datos y elsoftware aplicativo. Sin estos no es posible dar continuidad a lasoperaciones de negocio. Estos pueden ser daados o destruidos porcausas accidentales o intencionales.
Perdidas por Hurto / Fraude
Se refiere a los actos malintencionados de los empleados o de tercerosque dan como resultado perdidas de dinero o de activos convertibles endinero. Este riesgo puede ser generado nicamente por causasintencionales
Perdidas por desventajacompetitiva
La empresa puede perder la ventaja frente a sus competidores oincrementar la desventaja que tiene frente a ellos. Este riesgo puede sergenerado por causas accidentales o intencionales.
Perdidas por sanciones legales
Se refiere a las prdidas de dinero por multas, indemnizaciones o
clusulas penales que deba pagar la empresa por errores, omisiones eincumplimiento de sus compromisos con clientes, con contratistas o conlas entidades reguladoras del gobierno. Este riesgo puede ser generadopor causas accidentales o intencionales.
Perdidas por baja credibilidadpblica o pobre reputacin
La prdida de credibilidad publica de una organizacin genera perdida denegocios y hasta el cierre definitivo del mismo. Este riesgo puede sergenerado por causas accidentales o intencionales
Perdidas por costos excesivosSe refiere a las prdidas de dinero que se originan por errores yaccidentes en los clculos de egresos o cuentas por pagar (Desembolsos),
-
7/21/2019 Etapa 3_ Identificacion
16/76
Categoras de Riesgo- ModeloAUDIRISK
Descripcin
efectuados por procedimientos manuales por el computador. Tambinincluye sobrecostos por ineficiencias en el desarrollo de operaciones opor excesiva correccin de errores. Este riesgo puede ser generadonicamente por causas accidentales
Perdidas por decisioneserrneas
De la calidad de la informacin depende la calidad de las decisiones. Serefiere a las prdidas que sufre una empresa cuando se toman decisionesequivocadas por falta de informacin o por la baja confiabilidad de lamisma. Este riesgo puede ser generado por causas accidentales ointencionales.
Prdidas de Ingresos / Rentas
Se refiere a la perdida de dinero que se originan por errores yaccidentales en los clculos de ingresos, efectuados por procedimientosmanuales o por el computador. Este riesgo puede ser generadonicamente por causas accidentales.
Paso 3.1: Clases de Riesgos Aplicables.
Este paso es obligat orio para Auditorias que no estn incluidas en el Plan Anual de Audit ora, es
decir para las auditorias que vienen del plan anual esta opcin saldr inact iva porque las
categoras de riesgos ya vienen priorizadas.
El objetivo es identificar las clases o categoras de riesgo aplicables al proceso o sistema objeto de
la auditora. Estas corresponden al modelo de categoras de riesgo adoptadas por la Auditora, las
cuales pueden ser de los modelos SARO, SARLAFT, MECI o una combinacin de las categoras
consideradas por estos modelos.
Haga clic sobre Clases de Riesgos Aplicablesy el software ofrece en la pantalla de la figura 3.2
muestra la lista de categoras de riesgo de los modelos SARO, SARLAFT, MECI y AUDIRISK. Para
seleccionar las que pueden presentarse en el proceso o sistema objeto de la auditoria, haga clic
sobre la caja de verificacin para marcar las que sean seleccionadas.
-
7/21/2019 Etapa 3_ Identificacion
17/76
-
7/21/2019 Etapa 3_ Identificacion
18/76
Figura 3.3:Seleccionar mtodo de priorizacin
Mtodo Delphy: su nombre tiene origen en el Orculo de Delphos de la mitologa griega. En este
mtodo un grupo de expertos en el proceso o sistema objeto de la auditoria compara cada
categora de riesgo aplicable contra las dems, segn el impacto financiero que podra causa su
ocurrencia. Al final, la categora que tenga mayor cantidad de votos a favor ser la de mayor
prioridad, la segunda en votos a favor tendr prioridad 2 y as sucesivamente. Terminada la
priorizacin, se seleccionan como crticas para la auditora las tres categoras de mayor cantidad
de votos a favor.
Mtodo Churman Ackoff (tambin conocido como Scoring o Sistema de Puntajes):
Individualmente los integrantes del grupo de expertos asignan puntajes a cada una de las
categoras de riesgo aplicables, para calificar el impacto financiero y operacional que podra causar
su ocurrencia. Utiliza los siguientes puntajes: 1, insignificante; 2: Bajo; 3: Moderado; 4. Severo y 5:
Catastrfico. Despus se consolidan los puntajes asignados individualmente por cada categora de
riesgo y se ordenan de mayor a menor puntaje. La categora de mayor puntaje tendr la prioridad
1, la siguiente la prioridad 2 y as sucesivamente. Terminada la priorizacin, se seleccionan como
crticas para la auditora las tres (3) categoras de mayor puntaje.
-
7/21/2019 Etapa 3_ Identificacion
19/76
Alternat iva 1: Mtodo Delphy10.
Figura 3.4
Este mtodo utiliza una matriz como la que se visualiza en la figura 3.4. Los nmeros localizados
fuera del grfico identifican las categoras de riesgo que sern comparadas segn el impacto que
pudieran ocasionar en caso de presentarse. En las columnas se colocan los nmeros de izquierda
a derecha, empezando por el uno (columnas 1 a 6 en el ejemplo). En las filas se colocan los
nmeros de arriba hacia abajo, empezando por el nmero dos (filas 2 a fila 6 en el ejemplo). De
esta manera, la pareja formada por (columna i, fila j) corresponde a la comparacin entre el
riesgo i y el riego j utilizando la pregunta siguiente: En caso de presentarse los riesgos i y
j, cul de los dos ocasiona mayores prdidas a la organizacin?. Las comparaciones se realizan
para el riesgo localizado en cada columna, contra los riesgos localizados en todas las filas.
A cada pareja corresponde una celda de la matriz, la cual est dividida en dos partes. La mitad
superior se utiliza para registrar los votos a favor del riesgo en la columna y la mitad inferior para
los votos a favor del riesgo de la fila.
Este mtodo prioriza las categoras de riesgo, mediante la comparacin de cada categora de
riesgo con las dems que sean aplicables al proceso o sistema objeto de auditora. Para este fin se
constituye un equipo de expertos en el proceso sistema denominado Grupo Delphy, en el que
estn representadas al menos las tres (3) reas principales que intervienen en el manejo de las
10Este nombre se hereda del Orculo de Dephos de la mitologa griega
-
7/21/2019 Etapa 3_ Identificacion
20/76
operaciones del proceso. Por ejemplo, en procesos que se soportan en sistemas de informacin, el
grupo Delphy debera incluir a: a) el lder del proceso, el funcionario de sistemas que da soporte a
la aplicacin y alguien ms que est involucrado en el proceso.
Los integrantes de este equipo, comparan una a una las categoras de riesgo con las dems y
mediante un sistema de votacin decidirn cuales de las categoras aplicables al proceso son las
tres ms crticaspara la organizacin, por el impacto que podra generar su ocurrencia.
Cmo aplicar el Mtodo Delphy?.
En el botn de radio de la pantalla de la figura 3.3 seleccione Mtodo Delphy, haga clic sobreel
botnAceptar y el software presenta la pantalla de la figura 3.4a, en la que se presentan:
a)
El espacio para digitar el nmero de expertos que participarn en la votacin; Se
recomienda que sea un nmero impar de expertos y que la cantidad se mnimo de 3
personas
b)
Las categoras de riesgo aplicables al proceso o sistema objeto de auditora, seleccionadas
en el paso anterior, precedidas de un nmero que las identifica; y
c) Un grfico (Matriz Delphy) en el cual se registrarn los votos a favor y en contra para cada
una de las categoras de riesgo
Figura 3.4a: Mtodo Delphy
-
7/21/2019 Etapa 3_ Identificacion
21/76
Pasos para aplicar el Mtodo Delphy.
1)
En el campo Nmero de Expertos que participarn en el Consenso, ingrese la cantidad de
expertos en el proceso o sistema objeto de la auditora, con quienes se realizar la
priorizacin de las clases de riesgo aplicables.
2)
Distribuya a los expertos, un documento con las definiciones de las clases de riesgo
aplicables al proceso o sistema (estas corresponden al modelo de categoras de riesgo
adoptadas por la Auditora, las cuales pueden ser de los modelos SARO, SARLAFT, MECI o
una combinacin de los anteriores).
3) Uno de los auditores (el supervisor o el Analista de auditora) actuar como coordinador
de la reunin de Anlisis de Riesgo.
4)
Inicie la comparacin de cada categora de riesgo contra las dems. La pregunta para
compararlos es la siguiente: En caso de presentarse las Categoras i y J, cul de las
dos ocasionara mayores prdidas a la organizacin?
5)
Registre los votos a favor del riesgo Ien la parte superior de la interseccin entre los dos
riesgos que se comparan. En la parte inferior de la interseccin registre los votos a favor
del riesgo J.La suma de los votos debe ser igual al nmero de expertos.
6)
Repita los pasos 4 y 5 hasta que se haya efectuado la ltima comparacin de las clases de
los riesgos. Para grabar los datos ingresados, haga clic sobre Registrar Datos de la
Evaluacin.
7)
Haga clic sobre el botn calcular datos. En la parte inferior del Grafico Triangular del
Delphy, en la figura 3.4a, el software muestra los resultados de la priorizacin, as:
-
7/21/2019 Etapa 3_ Identificacion
22/76
Figura 3.4b:Mtodo Delphy - Matriz para Registro de votos
En la fila identificada con la letra R(resultados), por cada categora de riesgo aparecen
los votos a favor en las filas, los votos a favor en la columnas y el total de votos
obtenidos (suma de votos a favor en las filas y las columnas )
En color rojo, los nmeros que corresponden a las prioridades asignadas a los riesgos
como resultado de la evaluacin.
Resultados de la Priorizacin.
Los resultados de la priorizacin se presentan en dos reportes que estn dentro de la caja de
seleccin colocada a la izquierda del botn Reporteen la figura 3.4a. Estos reportes son: a) Ver
rangos de impacto en la Evaluacin y b) Ver resultados de la Evaluacin. Estos reportes estn
Para generar estos resultados, sobre la pantalla de la figura 3.4a, en la caja de seleccin a la
izquierda del botn Reporte, seleccione el reporte que desea generar y haga clic sobre el botn
Reporte.
-
7/21/2019 Etapa 3_ Identificacion
23/76
a) Reporte Rangos de impacto en la Evaluacin
Este reporte muestra el Puntaje Mximo Posible que podra obtener una categora de riesgos si
tuviera todos los votos a favor. Este valor es calculado por el sistema y se obtiene de multiplicar la
cantidad de expertos por el nmero de categoras de riesgo disminuido en 1
PMP = Cantidad de Expertos * (NR 1).
Donde:
PMP:Puntaje mximo posible.
NR:cantidad de categoras de riesgo aplicables que ingresan al Delphy (6 en el ejemplo)
Cantidad de Expertos: 5 en el ejemplo.
Figura 3.4b:Reporte Rangos de Pareto para priorizar las clases de riesgos aplicables
Rangos para Identificar los riesgos Potenciales del Proceso con el Mtodo Delphy.
Estos rangos son calculados por el software; tomando como base el PMP (25 es el 100%) aplica el
Principio de Pareto o Regla 80:20, as:
20% de PMP = 25*20%. El resultado es 5 que representa la longitud de cada rango. Los rangos
son:
% de PMP obtenido porla categora de Riesgo
Limite Inferior Limite Superior Impacto
Entre 0 y 20% 0 5 Insignificante
Entre 20 y 40% Mayor que 5 10 Bajo
Entre 40% y 60% Mayor que 10 15 Moderado
-
7/21/2019 Etapa 3_ Identificacion
24/76
Entre 60% y 80% Mayor que 15 20 Alto (Severo)
Entre 80% y 100% Mayor que 20 25 Extremo (Catastrfico),
b)
Reporte Ver Resultados de la Evaluacin
Este reporte muestra las categoras de riesgo aplicables, clasificadas segn el puntaje obtenido, de
mayo a menor puntaje.
Figura 3.4c:Reporte Resultados de la Evaluacin Mtodo Delphy.
Alternat iva 2: Mtodo Scoring (Churman Ackoff).
Este mtodo, tambin conocido con el nombre de SCORING, consiste de tres pasos que se
describen a continuacin:
a) Obtener de los expertos, las calificaciones individuales del impacto que tendra la ocurrencia
de las categoras de riesgo aplicables al proceso o sistema que se est auditando. .Para este finse utiliza un formulario como el que se indica enseguida:
-
7/21/2019 Etapa 3_ Identificacion
25/76
Nombre Experto (calificador): ____________________________
Categoras de Riesgo Aplicables Impacto por Ocurrencia
Id Nombre 1:Insignificante
2:Menor
3:Moderado
4:Severo
5:Catastrfico
1 Fraude Interno X
2 Fraude Externo X
3 Fallas en RelacionesLaborales
x
4 Fallas en Atencin aClientes
X
6 Daos a Activos Fsicos X
Calificaciones del Impacto, segn criterio y percepcin de cada Experto.
b) Consolidar las respuestas de los expertos en un formulario como el que se indica enseguida:
Categoras de Riesgo
AplicablesImpacto por Ocurrencia
Totales
Id Nombre 1:Insignificante
2:Menor
3:Moderado
4:Severo
5:Catastrfico
1 Fraude Interno 1 3 1 5
2 Fraude Externo 2 2 1 5
3 Fallas en RelacionesLaborales
3 2 5
4 Fallas en Atencin aClientes
1 1 3 5
6 Daos a Activos
Fsicos
5 5
Calificaciones del Impacto de las categoras de riesgo, expresadas por los expertos.
En este caso, el formulario registra las respuestas de cinco (5) expertos. Por cada categora de
riesgo y posible calificacin de impacto, se registra la cantidad de expertos que seleccionaron
cada valor del impacto. Estos son los valores que se alimentan o ingresan a AUDIRISK
c) Ingresar a AUDIRISK las calificaciones consolidadas de los expertos.
En la pantalla de la figura 3.3, seleccione el botn de radio Mtodo Churman; haga clic sobreel
botn Aceptar y el software presenta la pantalla de la figura 3.5, en la que se presentan los
siguientes campos:
-
7/21/2019 Etapa 3_ Identificacion
26/76
(1)
El nmero de expertos que participarn en la votacin; Se recomienda que sea un nmero
impar de expertos y que la cantidad sea mnimo de 3 personas,
(2)
Una matriz de categoras de riesgo aplicables Vs. Nombres de Impactos posibles. En las
celdas de esta matriz se registra la cantidad de expertos que seleccionaron cada impacto,
por categora de riesgo.
Figura 3.5:Pantalla de Acceso al Mtodo de Priorizacin Churman Ackoff
Por cada categora de Riesgo, en las celdas de la matriz de la figura 3.5 se coloca el nmero de
veces que los expertos seleccionaron cada uno de los valores de impacto. La suma de las
cantidades asignadas a cada categora de riesgo debe ser igual a la cantidad de expertos.
Calcular Puntajes por Categora de Riesgo.
En la pantalla de la figura 3.5 haga clic sobre Calcular Datos y el software calcula el puntaje
obtenido por cada categora de riesgo, como se muestra en la figura 3.6
-
7/21/2019 Etapa 3_ Identificacion
27/76
Figura 3.6: Clculo de Puntajes por Categora de Riesgo
Puntajes por Categora de Riesgo
El puntaje correspondiente a los valores en cada celda de la parte superior de la figura 3.6 es el
producto de la cantidad de veces que se selecciona el impacto y el peso asignado a cada valor del
impacto.
El Puntaje Obtenido por cada categora de riesgo, que se muestra en la parte inferior de la
pantalla 3.6, es la suma de los productos registrados en las columnas de la matriz.El Ranking es
el orden que corresponde a cada categora de riesgo segn los puntajes obtenidos clasificados
de mayor a menor.
Ejemplos de interpretacin de los resultados.
Continuando con el ejemplo del mtodo, los puntajes obtenidos por cada categora de riesgo se
calculan como se explica a continuacin:
Categorasde Riesgo
Impacto por OcurrenciaPuntaje
Obtenido
Impacto
Promedio
Ranking
-Priorida
1:Insignificante
2:Menor 3:Moderado 4:Severo 5:Catastrfico
FraudeInterno
1 6 5 12 2.4 5
FraudeExterno
4 6 5 15 3 4
Fallas enRelaciones
9 8 17 3.4 2
-
7/21/2019 Etapa 3_ Identificacion
28/76
Laborales
Fallas enAtencin aClientes
1 3 12 15 3.2 3
Daos aActivos
Fsicos
20 20 4.0 1
El valor 6 en la celda fraude interno, Impacto Menor, se obtiene de multiplicar tres (3)
expertos y el puntaje 2 asignado al impacto Menor.
El valor 20 en la celda Daos a Activos Fsicos, Impacto Severo, se obtiene de
multiplicar cinco (5) expertos y el puntaje 4 asignado al impacto Severo.
De acuerdo con la priorizacin, las tres clases de riesgos crticos para la auditoria son, en su
orden: 1) Daos a Activos Fsicos; 2) Fallas en las relaciones laborales, 3) Fallas en atencin a los
clientes.
Paso 3.3: Identificar Riesgos Crticos.
En esta opcin, el auditor marca o selecciona las 3 o 4 categoras de riesgo crticas sobre las que
se desarrollarn las dems etapas del auditora. Estas categoras se seleccionan segn el puntaje
obtenido, de mayor a menor puntaje.
Figura 3.7:Seleccin de Categoras de Riesgo Crticas para la Auditoria
-
7/21/2019 Etapa 3_ Identificacion
29/76
Haga clic sobre Identificar Riesgos Crticos y sobre la pantalla de la figura 3.7, en el checkbox
colocado a la derecha de la columna prioridad, marque las categoras de riesgo con las cuales se
ejecutar la auditoria. Haga clic en el botn Guardar.
Si desea generar un reporte de las categoras de riesgos crticas para la auditora, haga clic sobre
el botn reporte.
Paso 3.4: Asignar Amenazas a Riesgos (obligatorio).
El objetivo de este paso es identificar y seleccionar las amenazas11 o eventos que podran
originar cada una de las categoras de riesgo crticas seleccionadas en el paso 3.3, en las
actividades u operaciones delproceso o sistema objeto de auditora.
Haga clic sobre Asignar Amenazas y el software muestra la pantalla de la figura 3.8.
Figura 3.8:Asignar amenazas a Categoras de Riesgo Crticas para la Auditoria.
Esta pantalla presenta las categoras de riesgo crticas identificadas para la auditora, para las
cuales es necesario asignarles amenazas. Presenta los siguientes campos:
11Las amenazas son eventos accidentales o intencionales que podran originar las categoras de riesgo crticas
del proceso o sistema objeto de auditora.
-
7/21/2019 Etapa 3_ Identificacion
30/76
Id: Cdigo de identificacin de las Categoras de Riesgo Crticas seleccionadas para la
auditora. Es asignado por el sistema.
Descripcin:Nombre o Descripcin corta de la Categora de Riesgo Crtica.
Estado: En este campo se presentan las palabras EN ESTUDIO o TERMINADOpara indicar
si por cada categora ya se asign al menos una amenaza.
Accin Establecer Relacin. Haga clic sobre Establecer Relacin a la derecha de cada
categora de riesgo, para visualizar las amenazas existentes en la base de conocimientos
de la Empresa, asociadas con la categora de riesgo12. Eso se muestra en la figura 3.9
Las amenazas para esta auditora pueden o no estar contenidas en la base de conocimientos de la
Empresa. Se pueden presentar dos situaciones:
a)
Las amenazas aplicables al proceso o sistema bajo auditoria ya existen en la base de
conocimientos de la empresa y estn asociadas con al menos una categora de riesgo. De
ser as, se presentarn en la lista de amenazas elegiblespara la categora de riesgo.
b)
Las amenazas aplicables al proceso o sistema bajo auditoria no existen en la base de
conocimientos de la empresa. En este caso es necesario adicionarlas a la base de
conocimientos y asociarlas (relacionarlas) con una categora de riesgo, como requisito
para se presenten en la lista de amenazas elegibles para esta auditora.
Ejercicio Recomendado antes de Seleccionar Amenazas.
Identi ficar Amenazas por Act ivo que se ut iliza en el proceso.
Antes de seleccionar o ingresar amenazas utilizando el software, es recomendable que el auditor
realice sobre el papel un ejercicio de ident if icacin de amenazas por cada uno de los activosidentificados en la caracterizacin del proceso o sistema, utilizando un formato como el que se
sugiere a continuacin el ejemplo.
12La tabla Amenazas de la base de conocimientos contiene amenazas tpicas suministradas por los
fabricantes de AUDIRISK, ms las que el usuario haya adicionado en las auditoras realizadas con este
software.
-
7/21/2019 Etapa 3_ Identificacion
31/76
Ejemplo.
Elabore una lista preliminar de las amenazas que podran causar daos a los activos tangibles e
intangibles que se utilizan en el proceso.
Amenazas para los Activos (recursos) de la EmpresaAsignados al proceso
Categoras de Riesgos CrticosFraude Dao
ActivosSancionesLegales
Activo: Dinero Efectivo.
Robo por terceros (atracos.
Robo por empleados.
Falsificacin de billetes.
Extravo
xxx
Reputacin.
Deterioro o prdida de imagen. X
Maquinaria y equipo
Malfuncionamiento.
Robo
Dao por errores de operacin
xX
Personal.
Errores en el manejo de la informacin Ausencias por enfermedad, calamidad domstica o
retiro de la empresa.
Infidelidad X
xX
Mtodos y Procedimientos. Incompletos. Desactualizados
Xx
Software de Aplicacin
Errores o malfuncionamiento
Robo de programas fuente Alteracin, cambios no autorizados
(malintencionados)
Destruccin (borrado) de programas fuente
XX
x
x
Por cada categora de riesgo crtico, se recomienda identificar mximo diez (10) amenazas y
mnimo seis (6).
Despus de identificar las amenazas para los activos del proceso o sistema, consulte en el
software las amenazas existentes en la base de conocimientos de la empresa, porque es posible
-
7/21/2019 Etapa 3_ Identificacion
32/76
que en esta base ya estn registradas algunas amenazas identificadas para el proceso o que
existan en sta otras similares.
Cmo Seleccionar las amenazas aplicables a las Categoras de Riesgo Crt icas.
Para asignar amenazas por cada categora de riesgo crtica, proceda as:
a)
En la pantalla de la figura 3.8, por cada categora de riesgo crtica haga clic sobre
Establecer Relacin y el software mostrar la siguiente pantalla.
Figura 3.9:Seleccin de amenazas por categora de riesgo crtica
En el lado izquierdo de esta pantalla, el software presenta la lista de amenazas elegibles. Esta
lista corresponde a las amenazas asociadas a la categora de riesgo en la base de conocimientos de
la empresa;identifique las amenazas aplicables (una cada vez), mrquelas en el checkbox y haga
clic sobre la flecha en direccin a amenazas seleccionadas para trasladar al lado derecho laamenaza seleccionada.
b)
Si desea adicionar una amenaza a la base de conocimientos de la empresa, haga clic sobre
el botn Mantenimiento de Amenazas, digite y grabe la amenaza. Despus, haga clic
sobre el botn Mantenimiento de Relacionespara asociar la amenaza adicionada con la
-
7/21/2019 Etapa 3_ Identificacion
33/76
categora de riesgo. Regrese a la pantalla de la figura la figura 3.8 y seleccione una nueva
categora de riesgo.
c)
Este paso finaliza cuando todas las categoras de riesgo en la figura 3.8 tengan estado
Terminado.
d)
En la caja de seleccin a la izquierda del botn REPORTE, seleccione Amenazas
seleccionadas para el Estudio agrupadas por Categoria y haga clic sobre el botn
REPORTE. Utilice este reporte para validar la seleccin de amenazas con los dueos del
proceso o sistema que se est auditando.
Cmo Consult ar si una Amenaza ya existe en la Base de Datos de Empresa.
La base de conocimientos de la Empresa contiene y acumula todas las amenazas identificadas enlas auditoras realizadas con AUDIRISK. Por consiguiente, las amenazas adicionadas en una
auditoria, quedan disponibles para ser consultadas o seleccionadas en otras auditoras.
Para establecer si una amenaza aplicable al proceso que se est auditando ya existe en la base de
conocimientos de la Empresa, proceda como se indica a continuacin:
a)
Haga clic sobre el botn mantenimiento de amenazas. El software presenta las pantalla de la
figuras 3.9 a y 3.9 b.
Figura 3.9a:Mantenimiento de Amenazas.
-
7/21/2019 Etapa 3_ Identificacion
34/76
El software presenta la lista de amenazas existentes en la base de conocimientos, organizada
como se indica a continuacin:
Id: Cdigo de identificacin de la amenaza. Es asignado por el sistema.
Descripcin:Nombre o Descripcin corta de la amenaza.
Evento de Riesgo Operativo. En este campo se presentan las palabras SIo N0para indicar
si el evento al que se refiere la amenaza se ha presentado o no en la empresa.
Accin Modificar. Haga clic sobre Modificar para efectuar modificar la descripcin de la
amenaza, como se muestra en la figura 3.11b.
Accin Eliminar. Haga clic sobre Eliminar para borrar la amenaza de la base de
conocimientos, como se muestra en la figura 3.11c. Accin Ver Relaciones. Haga clic sobre Ver Relaciones para visualizar los controles que
estn asociados a esta amenaza en la base de conocimientos de la Empresa, como se
muestra en la figura 3.11d,
b)
Sobre la pantalla de la figura 3.9 b, marque la alternativa de bsqueda en Buscar Por.
Figura 3.9b:Mantenimiento de Amenazas (parte inferior de la pantalla).
-
7/21/2019 Etapa 3_ Identificacion
35/76
Efecte una bsqueda digitando en el campo Descripcin una palabra clave del nombre de la
amenaza que se busca. Tambin se puede efectuar la bsqueda por el cdigo de amenaza.
Entonces el software presentar la lista de amenazas que existen con la palabra clave empleada en
la bsqueda. Si la amenaza deseada ya est en la base de la empresa, memorice o apunte el
cdigo de identificacin para seleccionarla en la pantalla de la figura 3.8
Adicionar Amenazas a la Base de Empresa y a la Base de Trabajo de la Auditora.
Para adicionar una amenaza a la auditoria que se est realizando, haga clic sobre el botn
mantenimiento de amenazas de la figura 3.9b. Luego haga clic sobre el botn Agregar y el
software presentar la pantalla de la figura 3.10 para adicionar la amenaza.
Figura 3.10:Adicionar amenazas a la Base de Conocimiento
Descripcin:Ingrese el nombre de la Amenaza. Se recomienda utilizar como palabra inicial
un verbo en infinitivo o una palabra que indique accin. Ejemplos: Alterar la informacin
registrada en el documento; falsificar firmas en los cheques.
Descripcin Detallada: Ingrese el texto que considere necesario para precisar el
significado del nombre de la amenaza.
-
7/21/2019 Etapa 3_ Identificacion
36/76
Despus de adicionar la amenaza, haga clic sobre el botn Aceptar.
Relacionar Amenazas con Cat egoras de Riesgo.
Cada vez que se adicione una amenaza a la base de conocimientos de la empresa, el usuario
deber relacionarla con la categora de riesgo a la que corresponda (la que esta activa para
identificacin de amenazas)..
Figura 3.9:Seleccin de amenazas por categora de riesgo crtica
Ubquese en la pantalla de Seleccin de Amenazas por Categora de Riesgo (figura 3.9), haga clic
sobre el botn Mantenimiento de Relaciones y el software presentar la pantalla de la figura
3.11.
Sobre la figura 3.11 desplcese hacia abajo en la lista de amenazas elegibles, hasta ubicar la
amenaza recin adicionada o sobre cualquier otra que desee relacionar a la categora de riesgoque est activa (fraude en el ejemplo de la pantalla). Haga clic sobre el link Ver Relaciones
colocado al frente de la amenaza que desea relacionar.
-
7/21/2019 Etapa 3_ Identificacion
37/76
Figura 3.11:Relacionar una amenaza con una categora de riesgo crtica
Despus de hacer clic sobre establecer relacinen la figura 3.11, el software muestra la pantalla
de la figura 3.11a en donde se edita el mensaje La relacin se ha establecido con xito
Figura 3.11a:Amenaza fue relacionada con una categora de riesgo crtica
Regrese al men de la figura 3.10 y la amenaza recin relacionada aparecer dentro de la lista de
amenazas elegibles. Entonces, podr trasladar la amenaza nueva al lado derecho de la figura 3.9,
utilizando el procedimiento arriba descrito en este manual bajo el ttulo en Cmo Seleccionar las
amenazas aplicables a las Categoras de Riesgo Crticas.
-
7/21/2019 Etapa 3_ Identificacion
38/76
Modif icar Amenazas de la Base de Conocimientos de la Empresa.
En la figura 3.9, ubquese sobre la amenaza que desea eliminar y haga clic sobre el link Modificar.
El software muestra la pantalla de la figura 3.11b.
Figura 3.11b: Modificacin de Amenazas de la Base de Conocimientos de la Empresa
Esta funcionalidad est disponible para los perfiles Supervisor y Analista de Auditoria.Es
recomendable efectuar modificaciones a la descripcin corta y la detallada, solo si no se altera el
significado existente. En caso contrario, lo recomendable es adicionar una nueva amenaza a labase de conocimientos.
Para grabar los cambios efectuados, haga clic sobre el botn Aceptar.
Eliminar Amenazas de la Base de Conocimientos de la Empresa.
En la figura 3.9, ubquese sobre la amenaza que desea eliminar y haga clic sobre el link Eliminar.
El software muestra la pantalla de la figura 3.11c.
-
7/21/2019 Etapa 3_ Identificacion
39/76
Figura 3.11c: Eliminacin de Amenazas de la Base de Conocimientos de la Empresa
Esta funcionalidad est disponible nicamente para los perfiles Supervisor y Gerente de Auditoria.
Es recomendable NO ELIMINAR AMENAZAS basndose en argumentos como No es aplicable o
no estoy de acuerdo con su contenido. En este caso, no la seleccione para la auditora que est
ejecutando.
Para borrar la amenaza de la base de conocimientos, haga clic sobre el botn Aceptar.
Ver Relaciones ent re Amenazas y Cont roles de la Base de Conocimient os de la Empresa.
En la figura 3.9, ubquese sobre la amenaza que desea consultar y haga clic sobre el link Ver
Relaciones. El software muestra la pantalla de la figura 3.11d.
-
7/21/2019 Etapa 3_ Identificacion
40/76
Figura 3.11d:Establecer Relacin Amenaza Control
Esta opcin solo est disponible para consulta del Analista de Auditoria. Por consiguiente, esta
inactiva la accin Eliminar Relacin.
Paso 3.5: Documentacin de Amenazas (obligatorio).
El objetivo de este paso es documentar los atributos de las amenazas seleccionadas para la
auditoria en el paso 3.5. Por cada amenaza, se documentan los siguientes aspectos:
(1)
Los activos impactados (la amenaza es evento que ocasiona daos a uno o ms activos del proceso);
(2) Vulnerabilidades13
(debilidades de seguridad o carencia de controles) que podran crear el ambiente
propicio para que ocurra la amenaza.
(3)
Frecuencia de ocurrencia;
(4) Agentes que podran generarla (personas, desastres naturales y otras internas y externas);
(5) Impacto probable Financiero y Operacional) por Ocurrencia;
(6)
Areas Organizacionales o terceros (Dependencias) en donde puede presentarse;
(7)
Escenarios de riesgo o actividades del proceso, en donde puede presentarse;
(8) Riesgo: Consecuencias previsibles para la organizacin en caso de llegar a presentarse; y
(9) Antecedentes de seguridad (informacin disponible sobre la ocurrencia de la amenaza).
13Para que una amenaza se materialice deben coexistir dos situaciones: a) una vulnerabilidad y b) un agente
generador que explote la vulnerabilidad
-
7/21/2019 Etapa 3_ Identificacion
41/76
Para ingresar a esta opcin, haga clic sobre Documentacin de Amenazas y el software presenta la
pantalla de la figura 3.12, en la que se presenta la lista de las amenazas seleccionadas en el paso
3.5
Figura 3.12:Ingreso a Documentacin de Amenazas
La pantalla presenta la siguiente informacin:
Id: Cdigo de identificacin de la amenaza.
Descripcin:Nombre de la amenaza.
Terminada: En esta columna, el indicador SI o NO para indicar que la amenaza ya fue
documentada o no.
Accin: Bajo esta columna el link Documentar.
Este paso termina cuando todas las amenazas tengan estado SI.
Reporte: Haga clic en este botn para generar uno de los siguientes reportes:
Documentacin de Amenazas.
Estadsticas de Amenazas a por Areas Organizacionales.
Estadsticas de Amenazas por Escenarios de Riesgos.
Estadsticas de Amenaza por Categoras de Riesgo.
Para documentar cada una de las amenazas, en la pantalla de la figura 3.12 haga clic sobre la
Accin Documentary el software muestra la pantalla de la figura 3.13, en la que se presentan seis
-
7/21/2019 Etapa 3_ Identificacion
42/76
Figura 3.13:Pestaas para Documentar una Amenaza.
(6) pestaas u hojas por cada amenaza:
1) Activos Impactados: esta pestaa se muestra activa..
2) Vulnerabilidades.
3) Agentes Generadores.
4) Fuentes;
5) Impacto; e
6) Incidentes Ocurridos.
Por cada amenaza, es obligatorio ingresar o seleccionar datos para las primeras cinco (5)
pestaas. Cada vez que se termine el ingreso de datos para las primeras cinco pestaas, el
software cambia el estado de la Amenaza de NO a SI.
Cuando todas las amenazas del proceso bajo auditora tengan estado SI, con los datos ingresados
el software evala el riesgo inherente de cada una de las amenazas y habilitar el Paso 3.7,
Reporte Riesgo Inherente.
-
7/21/2019 Etapa 3_ Identificacion
43/76
Pestaa 1: Act ivos Impactados.
Por definicin, una amenaza es un evento que ocasiona daos a uno o ms activos del proceso; en
la pantalla de la figura 3.13a., ingrese o seleccione los activos que seran impactados por la
amenaza en caso de llegar a presentarse. La pantalla presenta los siguientes datos:
Id: Cdigo de identificacin del activo (es asignado por el software).
Descripcin:Nombre del Activo existente en la base de conocimientos
Valor: En esta columna muestra, en miles de pesos, el valor de los activos.
Checbox: En esta caja de seleccin se hace clic para seleccionar el activo.
Para seleccionar un activo de la lista, haga clic sobre el checkbox correspondiente. Para grabar la
seleccin efectuada, haga clic sobre el botn Guardar.
Figura 3.13 a.:Entrada a Adicionar Activos.
Es obligatorio seleccionar al menos un activo impactado por la amenaza.
Cmo adicionar un activo.
Haga clic sobre el botn Mantenimiento de Activos y el software muestra la pantalla de la figura
3.13a, para adicionar activos.
-
7/21/2019 Etapa 3_ Identificacion
44/76
Haga clic sobre el botn Agregar y el software muestra otra pantalla, figura 3.13b, con los
campos necesarios para adicionar el activo. Ingrese descripcin y valor. Estos datos son
obligatorios. Haga clic sobre el botn Aceptar para grabar la informacin ingresada.
Si desea adicionar otro activo,haga clic sobre el botn adicionar otro. Para regresar a la pantalla
de la figura 3.12, haga clic sobre el botn volver.
Figura 3.13 a.:Adicionar Activos.
Pestaa 2: Vulnerabil idades.
Las Vulnerabilidades son las debilidades de seguridad o la falta de controles que podran crear el
ambiente propicio para que la amenaza se presente. Para que una amenaza se materialice deben
coexistir dos situaciones: a) una vulnerabilidad y b) un agente generador que explote la
vulnerabilidad.
Es obligatorio seleccionar al menos una vulnerabilidad por cada amenaza.
Para seleccionar o adicionar vulnerabilidades aplicables a la amenaza, en la figura 3.13, haga clic
sobre la pestaa Vulnerabilidades. El software muestra la pantalla de la figura 3.14 con la lista de
vulnerabilidades existentes en la base de conocimientos, para que seleccione las que sean
aplicables. La pantalla presenta los siguientes datos:
-
7/21/2019 Etapa 3_ Identificacion
45/76
Id: Cdigo de identificacin de la vulnerabilidad (es asignado por el software).
Descripcin:Nombre de la vulnerabilidad existente en la base de conocimientos
Checkbox: En esta caja de seleccin se hace clic para seleccionar la vulnerabilidad.
Frecuencia de Ocurrencia de la Amenaza. Aqu se muestra una lista de frecuencias
anuales para seleccionar una.
Figura 3.14.:Seleccionar / Adicionar Vulnerabilidades.
Para seleccionar una vulnerabilidad de las existentes en la base de conocimientos, haga clic sobre
el checkbox correspondiente. Para grabar la seleccin efectuada, haga clic sobre el botn
Guardar.
Cmo adicionar una Vulnerabilidad.
Haga clic sobre el botn Mantenimiento de Vulnerabilidades y el software muestra la pantalla
para con la lista de vulnerabilidades existentes en la base de conocimientos y el botn Agregar.
Antes de adicionar una vulnerabilidad, utilice el botn buscarpara establecer si la vulnerabilidad
ya existe o no en la base de conocimientos.
Para adicionar una vulnerabilidad, haga clic sobre el botn Agregar y el software muestra otra
pantalla con los campos necesarios para ingresar descripcin y descripcin detallada. Haga clic
-
7/21/2019 Etapa 3_ Identificacion
46/76
sobre el botn Aceptar para grabar la informacin ingresada. Si desea adicionar otra
vulnerabilidad, haga clic sobre el botn adicionar otra. Para regresar a la pantalla de la figura
3.12, haga clic sobre el botn volver.
Frecuencia Ocurrencia de la Amenaza.
Figura 3.14a.:Seleccionar frecuencia Anual de Ocurrencia.
Es obligatorio seleccionar al menos una frecuencia de ocurrencia por cada amenaza.
En la parte inferior de la pantalla de la figura 3.14, haga clic sobre la lista de frecuencia deocurrencia de la amenaza. Aqu se despliega una lista de frecuencias anuales de ocurrencia,para
que el auditor seleccione una.
Esta lista de frecuencias de ocurrencia ser utilizada para todas las auditoria y es creada por los
niveles Gerente o Supervisor en el mdulo de a parametrizacin . La frecuencia anual de ocurrencia
sirve como base para poder estimar la probabilidad de ocurrencia y el valor de la Prdida Anual
Estimada (PAE) de las amenazas, en caso de necesitarse.
La frecuencia ingresada por cada amenaza ser asociada, internamente por el software, con un
valor cualitativo de la Probabilidad de ocurrenciacomo si indica a continuacin.
-
7/21/2019 Etapa 3_ Identificacion
47/76
Frecuencia de Ocurrencia Anual Probabilidad Comentarios
Una vez, entre 50 y 100 aos 1: Muy Baja, Remota
Una vez, entre 5 y 10 aos 2: Baja.
Entre una (1) y cinco (5) veces por
ao
3: Moderada.
Entre una (1) y diez (10) veces por
mes (cada 30 das)
4: Alta
Una vez o ms de una vez por da 5: Casi Cierto. Muy alta
Importante:Observe que a mayor frecuencia de ocurrencia, mayor es el valor de probabilidad de
ocurrencia. Por otra parte, tenga en cuenta que entre ms vulnerable sea el proceso a una
amenaza, mayor ser la probabilidad de ocurrencia.
Pestaa 3: Agentes Generadores de Amenaza.
LosAgentes Generadores se refieren a personas, actos de la naturaleza y software malicioso que
pueden explotar las vulnerabilidades existentes para hacer que ocurra o se presente la amenaza.
Pueden ser personas (empleados de la empresa o terceros que pudieran intervenir en el manejo
de la informacin del proceso), actos de la naturaleza (descargas elctricas, terremotos, etc),
calidad de los materiales software malicioso.
El software obliga a seleccionar al menos una agente generador por cada amenaza.
-
7/21/2019 Etapa 3_ Identificacion
48/76
Figura 3.15.:Seleccionar o Adicionar Agentes Generadores.
En la figura 3.13, haga clic sobre la pestaa Agentes Generadores. El software muestra la pantalla
de la figura 3.15 con la lista de agentes existentes en la base de conocimientos, para que
seleccione las que sean aplicables. La pantalla presenta los siguientes datos:
Id: Cdigo de identificacin del agente generador (es asignado por el software).
Descripcin:Nombre del agente existente en la base de conocimientos
Checkbox: En esta caja de seleccin se hace clic para seleccionar el agente
Accin:Asociar Segmentos
Para seleccionar un agente generador de los existentes en la base de conocimientos, haga clic
sobre el checkbox correspondiente. Para grabar la seleccin efectuada, haga clic sobre el botn
Guardar.
Cmo adicionar un Agente Generador.
Haga clic sobre el botn Mantenimiento de Agentes y el software muestra la pantalla con la lista
de agentes existentes en la base de conocimientos y el botn Agregar. Antes de adicionar un
agente, utilice el botn buscarpara establecer si existe o no en la base de conocimientos.
-
7/21/2019 Etapa 3_ Identificacion
49/76
Para adicionar un agente, haga clic sobre el botn Agregar y el software muestra otra pantalla con
los campos necesarios para ingresar informacin a los campos Tipo (interno o externo), Nombre
y descripcin. Haga clic sobre el botn Aceptar para grabar la informacin ingresada.
Figura 3.15 a.:Mantenimiento de Agentes Generadores.
Si desea adicionar otro agente,en la figura 3.15a,haga clic sobre el botn adicionar otro. Para
regresar a la pantalla de la figura 3.12, haga clic sobre el botn volver.
Pestaa 4: Fuentes de Amenazas.
Las fuentes de amenazas se refieren a las reas organizacionales de la empresa (o terceros) y las
actividades o escenarios del proceso o sistema objeto de la auditoria, en donde pudieran
presentarse las amenazas.
Para ingresar a esta pestaa haga clic sobre el botn Fuentesy el software muestra la pantalla de
la figura 3.16.
-
7/21/2019 Etapa 3_ Identificacion
50/76
Figura 3.16.:Areas y actividades del proceso donde puede presentarse la amenaza
En esta pantalla el software presenta la lista de Areas Organizacionales ingresadas en la
caracterizacin del proceso (etapa 2) y la lista de escenarios de riesgo (actividades del proceso)
seleccionados en el alcance de la auditora (etapa 1).
Por cada amenaza se debe seleccionar al menos una (1) dependencia y al menos un (1) escenario
de riesgo. Para grabar la seleccin efectuada, haga clic sobre el botn Guardar.
Importante:Al finalizar la documentacin de amenazas el software validar que todas las reas
organizacionales y todos los escenarios de riesgo estn asociadas al menos con una amenaza.
Pestaa 5: Impacto de las Amenazas (f inanciero y Operacional).
El acceso a esta pestaa se activa cuando termine el ingreso de los datos de la pantalla de Agentes
Generadores. El software muestra la pantalla de la figura 3.17, para realizar dos acciones: 1)
Evaluar el impacto de la amenaza y 2) Describir las consecuencias (el riesgo) que afrontara la
organizacin en caso de presentarse la amenaza.
-
7/21/2019 Etapa 3_ Identificacion
51/76
Figura 3.17:Evaluacin del Impacto de la Amenaza en caso de presentarse.
El objetivo de esta pantalla es evaluar (medir) el impacto financiero y operacional que tendra la
amenaza en caso de presentarse. El software ofrece por defecto cuatro (4) tipos de impacto
probable de las amenazas. Estos son:
1)
Financiero.
2) Reputacional.
3)
Disponibilidad de Personas.
4)
Tolerancia a Interrupciones.
De estos tipos de impacto, el nico obligatorio es el impacto financiero.
Cada tipo de impacto est asociado con una lista de criterios de evaluacin, de los cuales el
auditor debe seleccionar uno. Cada criterio tiene asociado un valor entre 1 y 5, donde 5 es el de
mayor impacto y 1 el de menor impacto.
Los tipos de impacto y los criterios de evaluacin de cada tipo, se ingresaron en el Mdulo de
Parametrizacin, por usuarios de perfil Supervisor y estn disponibles para ser utilizados en
todas las auditoras de la Empresa que se realicen con AUDIRISK. Es decir, se definen una sola vez,
como estndar para todas las auditorias en la empresa.
-
7/21/2019 Etapa 3_ Identificacion
52/76
Cuando el auditor termine de seleccionar los criterios de evaluacin por cada tipo de impacto, el
software automticamente seleccionar uno para la amenaza; ste ser el de mayor valor
numrico entre los diferentes tipos de impacto, como se indica enseguida:
Tipos de Impacto
Criterios de Evaluacin
1: Insignificante 2: Bajo 3: Moderado 4: Alto 1. Catastrco
Financiero X
Reputacional X
Disponibilidad de personas claves X
Tolerancia a Interrupciones X
En esta matriz de ejemplo, el tipo de impacto Disponibilidad de Personas tiene el mayor valor.
Entonces el impacto de la amenaza ser 4: Alto. En caso de haber empate entre los criterios de
mayor valor, se selecciona uno de los dos.
No todos los tipos de impacto deben ser aplicables a una amenaza. El nico obligatorio para todas
las amenazas es el financiero.
Impacto Financiero.
Se refiere al valor estimado de las prdidas que experimentara la organizacin cada vez que se
presente la amenaza. Para estimar este valor, haga clic sobre la caja de seleccin de Impacto
financiero y el software mostrar una lista de Rangos de prdida en millones de $, para que el
auditor seleccione uno de la lista.
Valor del Impacto Rangos de Prdidas Econmicas por Ocurrencia de la Amenaza En Miles de $
De Hasta Punto Medio
1: Insignificante
2: Bajo
3: Moderado
4: Severo
5: Catastrfico
-
7/21/2019 Etapa 3_ Identificacion
53/76
Los rangos de prdida deben establecerse a la medida de cada organizacin, considerando el
valor de sus activos y su patrimonio. Para algunas empresas, la prdida de $5 millones puede tener
un impacto insignificante, mientras que para otras puede ser Severo.
Importante. El software valida que la suma del valor de los activos impactados por la amenaza
(definidos en la pestaa 1), sea menor o igual que el lmite superior del rango de prdidas
seleccionado por el auditor. Un mensaje de error se genera cuando este control no se satisface.
IMPACTO DE LA DISPONIBILIDAD DE LAS PERSONAS CLAVES PARA LA OPERACION DEL
PROCESO.
Se refiere a los problemas operacionales que se presentan cuando una o ms personas claves para
la operacin del proceso se ausentan del trabajo por razones de fuerza mayor, tales como
calamidad domstica, enfermedad, incapacidad, invalidez, muerte, retiro de la empresa, etc.
Considere que estas ausencias se presenten en fechas crticas para la operacin del proceso (por
ejemplo: cierres contables, reuniones de Comits directivos)
Valor del Impacto Descripcin del Criterio
1: Insignificante
No hay personas indispensables. En caso de ausencias hasta de 5 das hbiles, el trabajo
puede ser realizado por sus compaeros de labores o el trabajo represado es fcil de
poner al da y genera costos adicionales bajos.
2: Bajo
No hay personas indispensables. Las ausencias hasta de 5 das hbiles, pueden ser
compensadas por sus compaeros de labores y el trabajo represado genera costos
adicionales moderados de recuperacin (para poner al da).
3: Moderado
No hay personas indispensables. Las ausencias hasta de 5 das hbiles, pueden ser
compensadas por sus compaeros de labores y el trabajo represado genera costos
adicionales significativos de recuperacin (para poner al da)
4: Severo
En el proceso hay al menos una (1) persona indispensable y entre sus compaeros no
hay personas preparadas para reemplazarla. Su ausencia temporal o definitiva
ocasionara problemas severos a la empresa.
5: Catastrfico
En el proceso hay dos (2) o ms personas indispensables y entre sus compaeros no
hay personas preparadas para reemplazarlas. Su ausencia temporal o definitiva
ocasionara problemas catastrficos a la empresa.
-
7/21/2019 Etapa 3_ Identificacion
54/76
La magnitud del impacto de estas interrupciones se mide por la cantidad de personas claves para
la operacin del proceso y la disponibilidad de personas para reemplazarlas.
IMPACTO REPUTACIONAL.
Se refiere al impacto que sufrira la organizacin por desprestigio, mala imagen, publicidad
negativa, cierta o no, respecto de la empresa y sus prcticas de negocios. Por ejemplo, podra
ocasionar prdida de clientes, disminucin de ingresos o procesos judiciales.
Valor del Impacto Descripcin del Criterio
1: Insignificante Afectacin a nivel Interno del proceso
2: Bajo Afectacin a nivel Local (la ciudad o el municipio)
3: Moderado Afectacin a nivel Regional (no trasciende mas all de la vecindad o zona geogrfica
dentro del pas)
4: Severo Afectacin a nivel Nacional en todo el pas
5: Catastrfico Afectacin a nivel Internacional impacta la imagen de la empresa en el mundo
La magnitud del impacto de estas interrupciones se mide por la transcendencia que tenga el
evento o amenaza en el proceso o sistema que se est auditando.
IMPACTO TOLERANCIA A INTERRUPCIONES.Se refiere al impacto operacional que generara la interrupcin de los servicios informticos
(causada por cadas de la Red de datos o de internet, VoIP, daos en los equipos de cmputo
crticos, la no disponibilidad de energa elctrica, etc), cuando el tiempo de interrupcin es
superior al Mximo Tiempo Tolerable de cada de los servicios informticos y tecnolgicos.
Valor del Impacto Descripcin del Criterio
1: Insignificante La interrupcin tolerable de interrupcin es mayor de 12 horas2: Bajo La interrupcin tolerable de interrupcin est entre 8 y 12 Horas
3: Moderado La interrupcin tolerable de interrupcin est entre 4 y 8 Horas
4: Severo La interrupcin tolerable de interrupcin est entre 2 y 4 Horas
5: Catastrfico Interrupcin tolerable de interrupcin es menor de 2 horas
-
7/21/2019 Etapa 3_ Identificacion
55/76
El tiempo mximo tolerable de interrupcin de cada proceso o sistemas es una variable que se
define en el Plan de Continuidad del Negocio o el Plan de Contingencias del Tecnologa de
Informacin,
La magnitud del impacto de estas interrupciones se mide por El Tiempo Mximo Tolerable de
Cada (MTD) del proceso o sistema que se est auditando. Este es el espacio de tiempo durante el
cual un proceso puede estar inoperante sin que la Entidad empiece a sufrir prdidas colapse
(usualmente se mide en horas)
Consecuencias sobre la Organizacin.
En este campo de la figura 3.17, el auditor describe en forma concreta, las consecuencias que
traera a la organizacin la ocurrencia de la Amenaza.
Para grabar la informacin seleccionada e ingresada de Impacto,haga clic sobre el botn grabar.
Pestaa 6: Incident es Ocurridos.
Esta pestaa es opcional. El objetivo de la pantalla que se muestra en la figura 3.18 es ingresar
informacin que describa los antecedentes de ocurrencia de esta amenaza en la organizacin.
Figura 3.18:Ingreso de informacin sobre Incidentes de Seguridad Ocurridos.
-
7/21/2019 Etapa 3_ Identificacion
56/76
Para ingresar un incidente de seguridad, haga clic sobre Mantenimiento de incidentes de
seguridad y el software mostrar la pantalla de la figura 3.19
Figura 3.19:Mantenimiento de Incidentes de Seguridad Ocurridos.
Ingrese los datos en los campos descripcin y fecha de ocurrencia. Para grabar los datos
ingresado haga clic sobre el botn Aceptar.
Paso 3.6: Evaluar Riesgo Inherente.
El objetivo de este paso es evaluar (medir) el riesgo inherente de las amenazas documentadas en
el paso 3.5, utilizando los valores de Probabilidad de Ocurrencia e Impacto asignados a cada
amenaza.
Para acceder a esta paso, haga clic sobre Evaluar Riesgo Inherente y el software muestra la
pantalla de la figura 3.20
-
7/21/2019 Etapa 3_ Identificacion
57/76
Figura 3.20:Evaluar Riesgo Inherente
En esta pantalla el software presenta tres alternativas para ver los resultados de la evaluacin del
riesgo inherente del proceso o sistema objeto de la auditoria.
Por categoras de riesgo;
Por Areas Organizacionales; y
Por Actividades o Escenarios de Riesgo.
Los valores de riesgo inherente que puede tener una amenaza se muestran en el siguiente grfico:
-
7/21/2019 Etapa 3_ Identificacion
58/76
Por cada amenaza el riesgo el riesgo inherente tendr una de las siguientes calificaciones:
E:Extremo;
A:Alto;
M:Moderado;
B:Bajo (tolerable).
El significado de los niveles de riesgo inherente, estimados por mtodos cualitativos es el siguiente:
Niveles de Riesgo(Inherente oResidual )
Consecuencias en caso de Presentarse
1: BajoLa ocurrencia del evento (amenaza) tendra consecuencias leves, tolerables por laorganizacin. Se puede gestionar mediante procedimiento de rutina. En caso depresentarse no desestabiliza a la organizacin.
2: ModeradoEn caso de presentarse ocasionara consecuencias que superan el nivel de tolerancia de laorganizacin. Requiere atencin de la Gerencia. Debe ser gestionado con controles paradisminuir su impacto o la frecuencia de ocurrencia.
3: AltoEn caso de presentarse ocasionara consecuencias financieras y operacionales de impactosevero o significativo para la organizacin. Es necesaria la atencin inmediata de laGerencia. Debe gestionarse con acciones para transferir el riesgo a terceros, dispersar elriesgo y reducir su impacto o la frecuencia de ocurrencia.
4: ExtremoSu ocurrencia ocasionara consecuencias financieras y operacionales de impactocatastrfico para la organizacin. Es necesaria la atencin inmediata de la Gerencia. Debegestionarse con mecanismos para evitar su ocurrencia o transferir el riesgo a terceros,dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.
Evaluacin de Riesgos Inherentes por Categoras de Riesgo.
Sobre la pantalla de la figura 3.20, marque el botn de radioPor Categoras de Riesgo y haga clic
sobre el botn aceptar. El software muestra la pantalla del la figura 3.21 con la lista de las
categora de riesgo criticas para la auditoria que se esta ejecutando.
-
7/21/2019 Etapa 3_ Identificacion
59/76
Figura 3.21:Evaluar Riesgo Inherente por categoras de riesgo
Haga clic sobre la accin Ver Reporte a la derecha de la categora de riesgo que desee evaluar y el
software muestra la pantalla de la figura 3.22
Figura 3.22:Evaluar Riesgo Inherente para una Categora de Riesgo
En la parte superior de la pantalla se muestran las amenazas identificadas por el auditor para esta
categora de riesgo, con los valores utilizados en la evaluacin. Por cada amenaza muestra los
siguientes datos:
Id:cdigo de identificacin de la amenaza (asignado por el sistema).
Amenaza:Descripcin corta o nombre de la amenaza.
Probabilidad. Evaluacin de la probabilidad de ocurrencia de la amenaza, asignada por el
software, con base en la frecuencia anual de ocurrencia de la amenaza.
-
7/21/2019 Etapa 3_ Identificacion
60/76
Valor. Valor numrico asignado por el software a la probabilidad de ocurrencia. Un valor
entre 1 y 5.
Impacto: Evaluacin del Impacto Potencial de la amenaza, asignada por el software, con
base en los criterios de evaluacin de los tipos de impacto sealados por el auditor para
cada amenaza.
Valor. Valor numrico asignado por el software al impacto potencial de la amenaza. Un
valor entre 1 y 5.
Riesgo Inherente El valor que corresponda a la amenaza, segn su localizacin en el
Mapa de Riesgos inherentes o matriz de probabilidad e impacto (E: Extremo; A: Alto; M:
Moderado o B: Bajo). La calificacin del riesgo inherente est marcada con el color que
corresponda.
En la parte inferior de la pantalla se muestra el Mapa de Riesgos Inherentes por Categora de
Riesgo. Los nmeros de identificacin de las amenazas estn localizados en las celdas que
correspondan segn las calificaciones de probabilidad de ocurrencia (eje Y) e impacto (eje x)
asignados.
Reportes del Mapa de Riesgos Inherentes.
Haga clic sobre el botn reporte localizado en la parte inferior de la pantalla 3.22 y el software
genera el reporte que se muestra en la figura 3.23, Riesgo Inherente por Categoras de Riesgo.
.
-
7/21/2019 Etapa 3_ Identificacion
61/76
Figura 3.23:Reporte de Riesgo Inherente por Categora de Riesgo.
Evaluacin de Riesgos Inherentes por Areas Organizacionales.
Sobre la pantalla de la figura 3.20, marque el botn de radioPor Areas Organizacionales y haga
clic sobre el botn aceptar. El software muestra la pantalla del la figura 3.24 con la lista de las
reas organizacionales que intervienen en el proceso o sistema que se est ejecutando.
Figura 3.24:Evaluar Riesgo Inherente por Areas Organizacionales
Haga clic sobre la accin Ver Reporte a la derecha del rea organizacional que desee evaluar y el
software muestra una pantalla similar a la figura 3.22, en cual se muestra la evaluacin de
riesgos para las amenazas asociadas con el Area Organizacional.
-
7/21/2019 Etapa 3_ Identificacion
62/76
Evaluacin de Riesgos Inherentes por Escenar ios de Riesgo.
Sobre la pantalla de la figura 3.20, marque el botn de radioPor Escenarios y haga clic sobre el
botn aceptar. El software muestra la pantalla del la figura 3.25 con la lista de las actividades del
proceso (escenarios de riesgo de la auditoria) o sistema que se est ejecutando.
Figura 3.25: Evaluar Riesgo Inherente por Escenarios de Riesgo.
Haga clic sobre la accin Ver Reporte a la derecha del Escenario de Riesgo que desee evaluar y el
software muestra una pantalla similar a la figura 3.22, en cual se muestra la evaluacin de
riesgos para las amenazas asociadas con el escenario.
-
7/21/2019 Etapa 3_ Identificacion
63/76
Paso 3.7: Perfiles de Riesgo Inherente.
El objetivo de este paso es presentar la evaluacin del riesgo inherente realizada en el paso 3.6
para las amenazas del proceso o sistema bajo auditora, agrupada y desagregada en tres niveles:
Nivel 1: Cantidad de amenazas y evaluacin promedio del Riesgo Inherente, agrupadas
por categoras de riesgo, reas organizacionales y escenarios de riesgo, agentes
generadores de riesgo y segmentos de agentes generadores.
Nivel 2: Discriminacin del riesgo inherente para las amenazas asociadas a los
agrupamientos del nivel 1, en tres estratos de riesgo: Bajo (color verde); Alto (color
amarillo, incluye riesgos con calificaciones M- moderado y A- Alto) y Muy Alto(color rojo,
incluye riesgos con calificacin E - Extremo).
Nivel 3:Mostrar la cantidad de amenazas del nivel 2 que correspondan a los diferentes
rangos de prdida estimada segn la evaluacin del impacto financiero de las amenazas y
el nombre de la amenaza que desee consultar (despus de hacer clic en el link ver).
Los conceptos de agrupamiento del nivel 1 para los perfiles de riesgo se muestran en la pantalla
de la figura 3.26 y son:
a)
Por Categoras de Riesgo.
b) Por rea Organizacional.
c)
Por Escenarios de Riesgo.
d) Por Agentes Generadores del Riesgo.
e)
Por Segmentos de los Agentes Generadores de riesgo.
-
7/21/2019 Etapa 3_ Identificacion
64/76
Figura 3.26: Agrupamiento de los Perfiles de Riesgo Inherente Nivel 1
Perfil de Riesgo por Categoras de Riesgo Nivel 1.
Para acceder a este perfil, haga clic sobre la ruta Perfil de Riesgo Inherente - Categora de
Riesgo y el software muestra la pantalla de la figura 3.27
Figura 3.27:Perfil de Riesgo Inherente por Categoras de Riesgo.
La pantalla muestra, por cada categora de riesgo los siguientes datos:
Id:cdigo de identificacin de la categora de riesgo (asignado por el sistema).
-
7/21/2019 Etapa 3_ Identificacion
65/76
Categora de Riesgo:Nombre de la categora de riesgo.
Total Amenazas: La cantidad de amenazas identificadas para la categora de riesgo en
este proceso.
Riesgo Inherente (RI):el valor promedio de las calificaciones del riesgo inherente de las
amenazas identificadas en este proceso para la categora de riesgo.
Significado RI: e