Etapa 3_ Identificacion

MANUAL DEL USUARIO DE AUDIRISK

Versión 2012

ETAPA 3: IDENTIFICACION Y DOCUMENTACION DE RIESGOS

SOFTWARE DE AUDITORIA BASADA EN RIESGOS, PARA PROCESOS DE NEGOCIO Y SISTEMAS DE INFORMACIÓN

Contenido

ETAPA 3: IDENTIFICAR Y EVALUAR RIESGOS INHERENTES. ............................................... 3 Terminología de Riesgos empleada en el software AUDIRISK ............................................................... 5 Paso 3.1: Clases de Riesgos Aplicables. .............................................................................................. 16 Paso 3.2: Priorizar Clases de Riesgo (opcional). .................................................................................. 17 Paso 3.3: Identificar Riesgos Críticos. ................................................................................................. 28 Paso 3.4: Asignar Amenazas a Riesgos (obligatorio)............................................................................ 29 Paso 3.5: Documentación de Amenazas (obligatorio). ........................................................................ 40 Paso 3.6: Evaluar Riesgo Inherente. ................................................................................................... 56 Paso 3.7: Perfiles de Riesgo Inherente. .............................................................................................. 63 Paso 3.8: Seleccionar Alternativas de Respuesta a Riesgos. ................................................................ 70 Paso 3.9: Papeles de Trabajo. ............................................................................................................ 73 Paso 3.10: Estado de Avance de la Auditoría ...................................................................................... 74

ETAPA 3: IDENTIFICAR Y EVALUAR RIESGOS INHERENTES.

El objetivo de esta etapa es identificar, priorizar, documentar y evaluar la exposición a riesgos inherentes en el proceso o sistema objeto de la auditoria. En la figura 3.1 se muestra el menú principal de esta etapa, el cual consta de diez (10) pasos que deben ser ejecutadas de manera secuencial:

Figura 3.1: Menú de la Etapa 3.

Al llegar a esta etapa de la Auditoria, se pueden presentar dos situaciones:

a) El proceso o sistema objeto de la auditoria está incluido en la Planeación Anual de la Auditoria. En este caso, el software ya tiene priorizadas las categorías de riesgo y por consiguiente se omitirán los pasos 3.1 y 3.2

b) El proceso o sistema objeto de la auditoria NO está incluido en la Planeación Anual de la Auditoria. En este caso es necesario ejecutar completamente los pasos 3.1 y 3.2

Una síntesis de las funcionalidades que satisface cada uno de los pasos de esta etapa es la siguiente: 1) Clases de Riesgos Aplicables (obligatorio). Apoyándose en la base de conocimientos del software, el auditor identifica las clases o categorías de riesgo que sean aplicables al proceso o sistema objeto de la auditoria. Estas clases de riesgo se seleccionan del modelo de clases de riesgo adoptado por la auditoria. 2) Priorizar Clases de Riesgo (opcional). Este paso el software ofrece dos métodos para priorizar las categorías de riesgo aplicables al proceso que se está auditando, según el impacto financiero probable de su ocurrencia. 3) Identificar Riesgos Críticos (obligatorio). En este paso, el auditor marca o selecciona las 3 ó 4 categorías de riesgo críticas del proceso o sistema, sobre las que se ejecutarán los demás pasos y etapas de la auditoria. 4) Asignar Amenazas a Riesgos (obligatorio): Por cada una de las clases de riesgo críticas seleccionadas en el paso anterior y apoyándose en la base de conocimientos suministrada por el software, se identifican las amenazas o eventos negativos (código y nombre) que podrían originar la ocurrencia de la categoría de riesgo. Se recomienda identificar al menos seis (6) amenazas por cada categoría de riesgo crítica. 5) Documentación de Amenazas (obligatorio). Por cada amenaza identificada en el paso anterior, se documentan los siguientes elementos del riesgo: vulnerabilidades que crean el ambiente propicio para que ocurra la amenaza, activos impactados, agentes que podrían generarla, frecuencia probable de ocurrencia en el horizonte de un año, impacto financiero y operacional por ocurrencia, consecuencias que podría originar en caso de presentarse, actividades del proceso y áreas organizacionales donde podría presentarse. 6) Evaluación Riesgo Inherente (obligatorio). Con base en los datos ingresados en el paso anterior, el software evalúa el riesgo inherente por cada una de las amenazas y elabora mapas de riesgos inherentes organizados por categoría de riesgo, factor de riesgo (agente generador) y segmento de factor de riesgo.

7) Perfil Riesgo Inherente: Por cada categoría de riesgo crítica, el software muestra el valor promedio del riesgo Inherente y la cantidad de amenazas en cada nivel de exposición a riesgos (Extremo, Alto, Moderado o Bajo) 8) Seleccionar Alternativas de Respuesta a Riesgos: Por cada una de las amenazas con riesgo inherente diferente de Bajo (Tolerable), el auditor selecciona las alternativas de manejo de riesgos que deberían utilizarse (asumir, dispersar, evitar, reducir y transferir) 9) Papeles de Trabajo. El software ofrece una lista de los principales reportes con los resultados de esta etapa, para exportarlos a medios externos fuera del control del software.

10) Estado de Avance de la Auditoria. El software ofrece funcionalidades para comparar el tiempo planeado con el tiempo empleado en la ejecución de esta etapa y registrar los motivos de las desviaciones. El control se realiza para toda la etapa y por auditor.

Terminología de Riesgos empleada en el software AUDIRISK El desarrollo del enfoque de Auditoría Basada en Riesgos exige que los auditores estén familiarizados con la terminología y los elementos fundamentales de Administración Integral de Riesgos1 en procesos de negocio y en operaciones que se soportan en la infraestructura de tecnología de información (servidores, terminales de computador, redes de comunicación, internet, etc) y en software de aplicaciones de computador desarrolladas en la empresa o adquiridas a terceros o arrendadas (computación en la nube). Por consiguiente, exige el dominio de conocimientos fundamentales sobre identificación, evaluación, control y monitoreo de riesgos en ambientes manuales y automatizados en las operaciones del negocio y en los componentes de tecnología de información.

La administración de riesgos emplea una vasta terminología que debe ser claramente entendida por los interesados en control de riesgos, seguridad y auditoría basada en riesgos. Esta sección define y discute los términos y expresiones más importantes y usuales relacionadas con riesgos que se utilizan en el software AUDIRISK.

1

Riesgos estratégicos, financieros, operativos, de salud ocupacional, ambientales, de lavado de activos, de auditoría, de control, de mercado, de liquidez, etc.

La posibilidad de que alguna cosa pueda ocurrir para dañar, destruir o divulgar los activos de una organización es conocida como riesgo. Por consiguiente, Gestionar o manejar el riesgo es un elemento indispensable de sostenimiento de un ambiente seguro. Por ejemplo, la seguridad de los datos en cualquier proceso o sistema tiene como propósito prevenir la pérdida o divulgación de los activos de información mientras sea sostenible el acceso autorizado. La Gestión o Administración de Riesgos2 es un proceso detallado de identificación de factores que podrían dañar los activos, la evaluación de esos factores a la luz del valor de los activos y el costo de las contramedidas, y la implementación de soluciones apropiadas (costo – efectividad) para mitigar o reducir el riesgo.

El objetivo primario de la gestión de riesgos es reducir el riesgo inherente a un nivel aceptable de riesgo residual. Este nivel de riesgo depende de la organización, el valor de sus activos y el tamaño de su presupuesto. Es imposible diseñar e implantar un ambiente completamente libre de riesgos; sin embargo, la reducción significativa del riesgo es posible con pocos esfuerzos si estos se orientan de manera apropiada. La Gestión de riesgos3 también se define como las actividades coordinadas para dirigir y controlar una organización con respecto a riesgos. Típicamente incluye: Valoración del riesgo (Risk Assessment), tratamiento del riesgo, aceptación del riesgo y comunicación del riesgo.

Valoración del Riesgo (Risk Assessment). Es el proceso total de análisis de riesgos y evaluación de riesgos. El análisis de riesgos es el uso sistemático de información para identificar fuentes y estimar el riesgo; la evaluación de riesgos es el proceso de comparar el riesgo estimado contra criterios dados para determinar la significancia del riesgo. Los seis (6) Elementos del Riesgo. Los seis (6) elementos del riesgo que se muestran en la figura 3.1b son parte importante de la estructura de Evaluación de Riesgos implementada en el software AudiRisk y se describen brevemente a continuación.

2 3

Libro Security Guide. Preparación para el examen CISSP, capitulo 6 Guide to BS7799 Risk Assessment

Activo. Es cualquier cosa dentro de una ambiente que deberá ser protegido. Este puede ser un archivo de computador, un servicio de red, un recurso del sistema, un proceso, un programa, un producto, la infraestructura de Tecnología de Información, una base de datos, un dispositivo de hardware, software, instalaciones físicas y otros. Si una organización coloca algún valor a un item bajo su control y estima que ese item es bastante importante para proteger, este se marca como un activo para propósitos de gestión y análisis de riesgos. La pérdida o divulgación de un activo puede resultar en detrimento general de la seguridad, pérdida de productividad, reducción de utilidades, gastos o costos adicionales, discontinuidad de la organización y numerosas consecuencias intangibles.

Los elementos del Riesgo 2. Amenazas

Que son dañados por

Explotan

1. Acti vos

3. Vulnerabilidad

Que protegen Que resultan en 6. Salvaguardas

Que es mitigado por

4. Exposición

5. Riesgo

Que es

Figura 2.1b: Elementos del Riesgo.

Activo

4

: Es alguna cosa que tiene valor o utilidad para la organización, sus operaciones de

negocio y su continuidad. Ejemplos:  Activos de Información  Documentos en papel.  Activos e Software.  Activos físicos. 4

Guide to BS7799 Risk Assessment

 Las personas.  Imagen y Reputación de la Compañía.  Los servicios que soportan su operación. Valuación de Activos5: es un valor monetario asignado a un activo basado en el costo actual y gastos no monetarios. Este incluye costos de desarrollo, mantenimiento, administración, publicidad, soporte, reparación y reemplazo. Estos también incluyen valores difíciles de determinar tales como credibilidad

pública, soporte de la industria, mejoramiento de la

productividad, tener y beneficios de socio. Más adelante se discutirá en detalle este tema.

Amenaza: Una causa potencial de un incidente no deseado, que puede resultar en daño para un sistema u organización. Amenaza6: Cualquier potencial ocurrencia que puede causar un efecto indeseable o no esperado para una organización o para un activo específico. Las amenazas son cualquier acción o inacción que puede causar daño, destrucción, alteración, pérdida o divulgación de activos o que podrían bloquear el acceso a o impedir el mantenimiento de los activos. Las amenazas pueden ser grandes o pequeñas y de la misma manera pueden ser sus consecuencias.

Pueden ser

accidentales o intencionales. Pueden ser generadas por las personas, las organizaciones, el hardware, las redes, estructuras o por actos de la naturaleza.

Agentes Generadores de Amenaza: son los que intencionalmente o accidentalmente explotan las vulnerabilidades. Los agentes intencionales usualmente son personas, pero también pueden ser programas, hardware o sistemas. Los

agentes accidentales incluyen incendio, terremoto,

inundación, fallas del sistema, errores humanos (originados por falta de entrenamiento o por ignorancia) y caídas de energía eléctrica.

Vulnerabilidad: Es la ausencia de o la debilidad de una salvaguarda o contramedida, es decir, un defecto, errores y ambigüedades en las leyes y normas, omisión o descuido, error, limitación,

5 6

Libro Security Guide. Preparación para el examen CISSP, capitulo 6 ibidem

fragilidad o susceptibilidad en la infraestructura o cualquier otro aspecto de la organización. Si es explotada, pueden ocurrir pérdidas o daños a los activos.

Vulnerabilidad: Una debilidad de un activo o grupo de activos, que puede ser explotada por un agente generador de amenaza.

Exposición: Es la susceptibilidad a perder activos debido a una amenaza. Existe la posibilidad que una vulnerabilidad se explotada o pueda ser explotada por un agente generador de amenazas. La exposición no significa que esté ocurriendo un evento que resulta en pérdidas; significa que si hay una vulnerabilidad y una amenaza que pueda explotarla, existe la posibilidad que un evento de amenaza pueda ocurrir.

Riesgo: Es la posibilidad de que cualquier amenaza específica explote una vulnerabilidad específica para causar daño a un activo. Este es una estimación de probabilidad, posibilidad u oportunidad. A mayor probabilidad de ocurrencia de un evento de amenaza, mayor es el riesgo. Cada caso de exposición es un riesgo. Cuando se escribe como una fórmula, el riesgo puede ser definido como Riesgo = Amenaza + vulnerabilidad. Entonces la reducción del agente de amenaza o de la vulnerabilidad, directamente conducen a la reducción del riesgo.

Cuando un riesgo se materializa, un agente de amenaza toma ventaja de una vulnerabilidad y causa daño o divulgación de uno o más activos. El propósito amplio de la seguridad es prevenir la materialización de los riesgos, mediante la remoción de las vulnerabilidades y el bloqueo (neutralización) de los agentes de amenaza que pueden exponer los activos. Como herramienta de gestión de riesgos, la seguridad es la implementación de protecciones o salvaguardas. El riesgo es la posibilidad de que alguna cosa pueda ocurrir para dañar, destruir o divulgar. Riesgo 7: Combinación de la probabilidad de un evento y sus consecuencias.

El Diccionario Webster’s define el riesgo como “La posibilidad de daño o pérdida”. En el contexto de los negocios, el riesgo se define como los factores, eventos o exposiciones, internas y externas, que amenazan el logro de los objetivos. 7

Guide to BS7799 Risk Assessment

El Riesgo es el valor de las pérdidas a las que se exponen las Empresas como consecuencia de la ocurrencia de eventos perjudiciales, accidentales o intencionales, denominados Amenazas. Salvaguarda o Contramedida8: es cualquier cosa que remueve una vulnerabilidad o protege contra una o más amenazas específicas. Es cualquier acción o producto que reduce el riesgo a través de la eliminación o reducción de una amenaza o una vulnerabilidad en cualquier sitio dentro de la organización. Son la única manera de mitigar o remover el riesgo. Una salvaguarda puede ser la instalación de un parche de software, hacer un cambio en la configuración contratar guardias de seguridad, electrificar un perímetro de defensa e instalar luces. Las salvaguardas o contramedidas o controles son el único medio para mitigar o remover el riesgo.

Elementos del

Riesgo9: Los seis elementos del riesgo (activos, amenazas, vulnerabilidad,

exposición, riesgo y salvaguarda) están relacionados como se muestra en la figura 1. Las amenazas explotan las vulnerabilidades, las cuales resultan en exposiciones. La exposición es un riesgo y el riesgo es mitigado por salvaguardas. Las salvaguardas protegen los activos que son puestos en peligro por las amenazas.

Ataque. Un ataque es la explotación de una vulnerabilidad por un agente de amenaza. En otras palabras, es cualquier intento de explotar una vulnerabilidad de la infraestructura de seguridad de una organización para causar daño, pérdida o divulgación de activos. También puede verse como cualquier violación o falla en la adhesión a la política de seguridad de la organización.

Rompimiento o Infracción de seguridad: es la ocurrencia de la omisión o impedimento

de un

mecanismo de seguridad por parte de una agente de amenaza. Cuando una infracción se combina con un ataque, el resultado es una penetración o intrusión.

Penetración: es la condición en la cual un agente de amenaza obtiene el acceso a la infraestructura de una organización a través de la burla o engaño de los controles de seguridad y está habilitado para directamente poner en peligro los activos.

8 9

Libro Security Guide. Preparación para el examen CISSP, capitulo 6 Libro Security Guide. Preparación para el examen CISSP, capitulo 6

Riesgo Inherente y Riesgo residual.

La Auditoría Basada en Riesgos considera dos (2) estados de los Riesgos. 1. Riesgo Potencial (Inherente): Riesgo antes de Controles. Riesgo al que se exponen los procesos y sistemas de la empresa, de acuerdo con su naturaleza y modo de operación. En su estimación no se tienen en cuenta los controles establecidos. Este riesgo se mide en la etapa 3 de la auditoría basada en riesgo, “identificación y evaluación de riesgos”.

Medición del Riesgo Inherente - Estándares ISO 31000 - AS/ NZ 4360 - NTC 5254

AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información

Base para evaluar los controles internos establecidos. La identificación y evaluación de riesgos inherentes es prerrequisito y base para iniciar las actividades de evaluación del control interno existente, diseño y ejecución de pruebas de auditoría. El objetivo de los controles o contramedidas es asegurar que la empresa está protegida contra los riesgos potenciales críticos que podrían presentarse. 2. Riesgo Residual: Riesgo después de Controles. Riesgo no protegido o no cubierto por los controles establecidos. Este riesgo se mide en dos momentos: a) en la evaluación de control interno (etapa 5 de la metodología) y b) como resultados de las pruebas de auditoría (etapa 6, pruebas de cumplimiento y etapa 7, pruebas sustantivas).

Auditoría Basada en Riesgos Críticos

Riesgo Inherente

Medición de Riesgos Residuales, después de evaluar y verificar los Controles Establecidos - MODELO "AUDISIS“ 4: Extremo

Bajo

Moderado.

Alto.

Extremo

Extremo

3: Alto

Bajo

Moderado.

Alto.

Alto.

Alto.

2: Moderado

Bajo

Moderado.

Moderado.

Moderado.

Moderado.

1: Bajo

Bajo

Bajo

Bajo

Bajo

Bajo

1: Apropiada

2: Mejorable

3: Insuficiente

4: Deficiente

5: Muy Deficiente

Efectividad de los Controles (Protección Existente) AUDIRISK 2011: Software de Auditoría Basada en Riesgos para Procesos y Sistemas de Información

Base para diseñar recomendaciones de la Auditoría. El objetivo de los controles es asegurar que el riesgo residual por cada una de las amenazas de riesgo se mantenga dentro del apetito de riesgos aceptado por la Gerencia. Por consiguiente, la medición del riesgo residual en las fases de evaluación de control interno y de pruebas de auditoría es el punto de referencia para diseñar las recomendaciones de la auditoría o sugerir los ajustes requeridos en el diseño y la operación de los procedimientos y controles establecidos para mitigar los riesgos.

Evaluación del Riesgo Inherente y Riesgo residual.

El proceso de valoración de riesgos (Risk Assessment) efectuado por la auditoría implica realizar la evaluación de riesgos antes y después de controles. De acuerdo con estándares internacionales y mejores prácticas de evaluación de riesgos (alineadas con el estándar ISO 31000), los valores cualitativos que se utilizan para evaluar el riesgo en AUDIRISK son los siguientes:

Niveles de Riesgo (Inherente o Residual ) 1: Bajo

Consecuencias en caso de Presentarse La ocurrencia del evento (amenaza) tendría consecuencias leves, tolerables por la organización. Se puede gestionar mediante procedimiento de rutina. En caso de

Niveles de Riesgo (Inherente o Residual )

2: Moderado

3: Alto

4: Extremo

Consecuencias en caso de Presentarse presentarse no desestabiliza a la organización. En caso de presentarse ocasionaría consecuencias que superan el nivel de tolerancia de la organización. Requiere atención de la Gerencia. Debe ser gestionado con controles para disminuir su impacto o la frecuencia de ocurrencia. En caso de presentarse ocasionaría consecuencias financieras y operacionales de impacto severo o significativo para la organización. Es necesaria la atención inmediata de la Gerencia. Debe gestionarse con acciones para transferir el riesgo a terceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia. Su ocurrencia ocasionaría consecuencias financieras y operacionales de impacto catastrófico para la organización. Es necesaria la atención inmediata de la Gerencia. Debe gestionarse con mecanismos para evitar su ocurrencia o transferir el riesgo a terceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.

Clases o Categorías de Riesgo. Este concepto se introduce en la metodología AUDIRISK para clasificar las amenazas o eventos negativos que pueden causar daño a los activos de la organización, con el propósito de facilitar y hacer más eficientes las actividades de la “Auditoria basada en riesgos”.

Por defecto, la base de conocimientos AUDIRISK suministra una lista de categorías de riesgo asociadas con cuatro (4) modelos internacionales de gestión de riesgos, como se describe a continuación: o

Sistema de Administración de Riesgos Operacionales - SARO: En este modelo se manejan siete (7) categorías de Riesgo: Fraude Interno, Fraude Externo, Fallas en la Atención a Clientes, Daños a Activos Físicos, Fallas en Relaciones Laborales, Fallas Tecnológicas y Errores en Ejecución y administración de Procesos.

o

Sistema de Administración de Riesgos de Lavado de Activos y Financiamiento al Terrorismo – SARLAFT: En este modelo se manejan cuatro (4) categorías de Riesgo: Reputacional, Riesgo Legal, Riesgo Operativo y Riesgo de Contagio.

o

Modelo Estándar de Control Interno (MECI): En este modelo se manejan cinco (5) categorías de Riesgo: Estratégico, Riesgo Operativo, Riesgo Financiero, Riesgo de Cumplimiento y Riesgo de Tecnología.

o

Modelo AUDIRISK: En este modelo se manejan 8 categorías de Riesgo: Hurto o Fraude, Daño y Destrucción de Activos, Toma de Decisiones Erróneas, Sanciones Legales, Pérdida

de Credibilidad Pública, Desventaja Competitiva, Pérdida de Ingresos y Pérdidas por costos Excesivos. Por razones de eficiencia y porque la auditoría trabaja selectivamente (no revisa el 100% de los riesgos), la auditoría basada en riesgos se focaliza en las categorías de riesgo que en un ejercicio de Priorización realizado con los auditados, obtienen las mayores calificaciones del impacto que pueden ocasionar en caso de presentarse. A esas categorías de riesgo se les denomina Críticas y sobre ellas se aplicará el mayor énfasis de la auditoria (el 80%) porque son las que pueden ocasionar los mayores problemas financieros y operacionales.

Por ejemplo, las auditorías basadas en riesgos utilizando las categorías de riesgo del modelo SARO podría focalizarse en tres (3) de las siete (7) clases de riesgos, las que puedan generar el mayor impacto financiero y operativo. Estas tres categorías de riesgo críticas se identifican después de realizar un ejercicio de priorización, aplicando los Principios de “Pareto” y del “Poder del 3”. De esta manera, los recursos y esfuerzos de la auditoria se focalizan sobre los riesgos que pueden generar las mayores pérdidas a la organización, en lugar de dar el mismo énfasis a todas las categorías de riesgo.

Después de identificar las tres o cuatro categorías de riesgo críticas del proceso, se procede a identificar las amenazas o eventos que podrían ocasionar o generar cada una de estas categorías de riesgo. Para estas amenazas se evalúa el riesgo inherente y la auditoría enfatiza su revisión sobre las que obtuvieron calificaciones Extremo (E), Alto (A) y Moderado (M). Se recomienda identificar máximo diez y mínimo seis amenazas por categoría, para un total de 30 ó 40 amenazas por proceso. De estas, según la evaluación del riesgo inherente, las que obtienen las mayores calificaciones no exceden de 20 amenazas.

Si la organización tuviera 30 procesos y por cada uno se identifican 20 amenazas críticas, el total de amenazas seria de 600. La efectividad de la auditoría y de los responsables de los procesos auditados, en las actividades de evaluación de riesgos y controles no es igual cuando se tienen 600 amenazas clasificadas en categorías de riesgo que cuando no están clasificadas o agrupadas. Al respecto, un experto en manejo de información afirma que “cuando la información no está

clasificada, el usuario se enfrenta a una situación similar a alguien que está flotando en la inmensidad del océano: tiene tanta agua a su disposición que le alcanza para ahogarse y le sobra”.

Los agrupamientos de amenazas por categorías de riesgo facilitan y hacen más eficiente el proceso de Auditoría. Por cada proceso o sistema auditado, con las amenazas críticas se construye el ”cubo de riesgos” en el cual se podrán visualizar y evaluar la protección existente y el riesgo residual de las amenazas, por categorías de riesgos críticas, actividades del proceso (escenarios de riesgo) y áreas organizacionales o terceros que intervienen en el manejo de las operaciones y sistemas de la organización. A su vez, por cada proceso, área o tercero pueden visualizarse las evaluaciones de protección existente y riesgo residual de las amenazas y desplegar hacia abajo, las evaluaciones de la probabilidad de ocurrencia y el impacto financiero y operativo de las amenazas. El significado de las categorías de riesgo del Modelo AUDIRISK, para fines informativos, se describe a continuación. Categorías de Riesgo- Modelo AUDIRISK

Daño y destrucción de activos

Perdidas por Hurto / Fraude

Perdidas por competitiva

desventaja

Perdidas por sanciones legales

Perdidas por baja credibilidad pública o pobre reputación Perdidas por costos excesivos

Descripción Se refiere a perdidas de dinero que se derivan de perder activos necesarios para el funcionamiento de los negocios, la información del negocio o los activos informáticos que soportan el desarrollo de las operaciones de negocios. Hay dos activos informáticos que por su importancia se categorizan como registros vitales: Las bases de datos y el software aplicativo. Sin estos no es posible dar continuidad a las operaciones de negocio. Estos pueden ser dañados o destruidos por causas accidentales o intencionales. Se refiere a los actos malintencionados de los empleados o de terceros que dan como resultado perdidas de dinero o de activos convertibles en dinero. Este riesgo puede ser generado únicamente por causas intencionales La empresa puede perder la ventaja frente a sus competidores o incrementar la desventaja que tiene frente a ellos. Este riesgo puede ser generado por causas accidentales o intencionales. Se refiere a las pérdidas de dinero por multas, indemnizaciones o cláusulas penales que deba pagar la empresa por errores, omisiones e incumplimiento de sus compromisos con clientes, con contratistas o con las entidades reguladoras del gobierno. Este riesgo puede ser generado por causas accidentales o intencionales. La pérdida de credibilidad publica de una organización genera perdida de negocios y hasta el cierre definitivo del mismo. Este riesgo puede ser generado por causas accidentales o intencionales Se refiere a las pérdidas de dinero que se originan por errores y accidentes en los cálculos de egresos o cuentas por pagar (Desembolsos),

Categorías de Riesgo- Modelo AUDIRISK

Perdidas erróneas

por

decisiones

Pérdidas de Ingresos / Rentas

Descripción efectuados por procedimientos manuales por el computador. También incluye sobrecostos por ineficiencias en el desarrollo de operaciones o por excesiva corrección de errores. Este riesgo puede ser generado únicamente por causas accidentales De la calidad de la información depende la calidad de las decisiones. Se refiere a las pérdidas que sufre una empresa cuando se toman decisiones equivocadas por falta de información o por la baja confiabilidad de la misma. Este riesgo puede ser generado por causas accidentales o intencionales. Se refiere a la perdida de dinero que se originan por errores y accidentales en los cálculos de ingresos, efectuados por procedimientos manuales o por el computador. Este riesgo puede ser generado únicamente por causas accidentales.

Paso 3.1: Clases de Riesgos Aplicables. Este paso es obligatorio para Auditorias que no están incluidas en el Plan Anual de Auditoría, es decir para las auditorias que vienen del plan anual esta opción saldrá inactiva porque las categorías de riesgos ya vienen priorizadas.

El objetivo es identificar las clases o categorías de riesgo aplicables al proceso o sistema objeto de la auditoría. Estas corresponden al modelo de categorías de riesgo adoptadas por la Auditoría, las cuales pueden ser de los modelos SARO, SARLAFT, MECI o una combinación de las categorías consideradas por estos modelos.

Haga clic sobre Clases de Riesgos Aplicables y el software ofrece en la pantalla de la figura 3.2 muestra la lista de categorías de riesgo de los modelos SARO, SARLAFT, MECI y AUDIRISK. Para seleccionar las que pueden presentarse en el proceso o sistema objeto de la auditoria, haga clic sobre la caja de verificación para marcar las que sean seleccionadas.

Figura 3.2: Seleccionar clases de riesgo aplicables

Para grabar la selección efectuada, haga clic sobre el botón Guardar.

Para adicionar categorías de riesgo o modificar la definición de las existentes, haga clic sobre el botón Mantenimiento Categorías de Riesgo. Después de grabar las adiciones o modificaciones, regrese a la figura 3.2 para seleccionar las categorías de riesgo aplicables.

Paso 3.2: Priorizar Clases de Riesgo (opcional). Este paso tiene como objetivo priorizar las categorías de riesgo aplicables al proceso o sistema objeto de auditoría y de éstas seleccionar las tres (3) que podrían generar lo problemas de mayor impacto a la organización. Estas serán las de mayor importancia o críticas para la auditoria y corresponden a las que, en caso de presentarse, causarían el mayor impacto o las mayores pérdidas a la organización. Para estas categorías de riesgo se desarrollarán las demás etapas de la auditoría.

Haga clic sobre Priorizar Clases de riesgo y el software en la pantalla de la figura 3.3, presenta dos opciones de priorización: a) Método Delphy y b) Método Churman Ackoff.

Figura 3.3: Seleccionar método de priorización

Método Delphy: su nombre tiene origen en el Oráculo de Delphos de la mitología griega. En este método un grupo de expertos en el proceso o sistema objeto de la auditoria compara cada categoría de riesgo aplicable contra las demás, según el impacto financiero que podría causa su ocurrencia. Al final, la categoría que tenga mayor cantidad de votos a favor será la de mayor prioridad, la segunda en votos a favor tendrá prioridad 2 y así sucesivamente. Terminada la priorización, se seleccionan como críticas para la auditoría las tres categorías de mayor cantidad de votos a favor.

Método Churman Ackoff

(también conocido como

Scoring o Sistema de Puntajes):

Individualmente los integrantes del grupo de expertos asignan puntajes a cada una de las categorías de riesgo aplicables, para calificar el impacto financiero y operacional que podría causar su ocurrencia. Utiliza los siguientes puntajes: 1, insignificante; 2: Bajo; 3: Moderado; 4. Severo y 5: Catastrófico. Después se consolidan los puntajes asignados individualmente por cada categoría de riesgo y se ordenan de mayor a menor puntaje. La categoría de mayor puntaje tendrá la prioridad 1, la siguiente la prioridad 2 y así sucesivamente. Terminada la priorización, se seleccionan como críticas para la auditoría las tres (3) categorías de mayor puntaje.

Alternativa 1: Método Delphy 10.

Figura 3.4

Este método utiliza una matriz como la que se visualiza en la figura 3.4. Los números localizados fuera del gráfico identifican las categorías de riesgo que serán comparadas según el impacto que pudieran ocasionar en caso de presentarse. En las columnas se colocan los números de izquierda a derecha, empezando por el uno (columnas 1 a 6 en el ejemplo). En las filas se colocan los números de arriba hacia abajo, empezando por el número dos (filas 2 a fila 6 en el ejemplo). De esta manera, la pareja formada por (columna “i”, fila “j”) corresponde a la comparación entre el riesgo ”i“ y el riego “j” utilizando la pregunta siguiente: En caso de presentarse los riesgos ”i“ y “j”, cuál de los dos ocasiona mayores pérdidas a la organización?. Las comparaciones se realizan para el riesgo localizado en cada columna, contra los riesgos localizados en todas las filas.

A cada pareja corresponde una celda de la matriz, la cual está dividida en dos partes. La mitad superior se utiliza para registrar los votos a favor del riesgo en la columna y la mitad inferior para los votos a favor del riesgo de la fila.

Este método prioriza las categorías de riesgo, mediante la comparación de cada categoría de riesgo con las demás que sean aplicables al proceso o sistema objeto de auditoría. Para este fin se constituye un equipo de expertos en el proceso ó sistema denominado “Grupo Delphy”, en el que estén representadas al menos las tres (3) áreas principales que intervienen en el manejo de las

10

Este nombre se hereda del Oráculo de Dephos de la mitología griega

operaciones del proceso. Por ejemplo, en procesos que se soportan en sistemas de información, el grupo Delphy debería incluir a: a) el líder del proceso, el funcionario de sistemas que da soporte a la aplicación y alguien más que esté involucrado en el proceso.

Los integrantes de este equipo, comparan “una a una” las categorías de riesgo con las demás y mediante un sistema de votación decidirán cuales de las categorías aplicables al proceso son las tres más críticas para la organización, por el impacto que podría generar su ocurrencia.

Cómo aplicar el Método Delphy?.

En el botón de radio de la pantalla de la figura 3.3 seleccione Método Delphy, haga clic sobre el botón Aceptar y el software presenta la pantalla de la figura 3.4a, en la que se presentan:

a) El espacio para digitar el número de expertos que participarán en la votación; Se recomienda que sea un número impar de expertos y que la cantidad se mínimo de 3 personas b) Las categorías de riesgo aplicables al proceso o sistema objeto de auditoría, seleccionadas en el paso anterior, precedidas de un número que las identifica; y c) Un gráfico (Matriz Delphy) en el cual se registrarán los votos a favor y en contra para cada una de las categorías de riesgo

Figura 3.4a: Método Delphy

Pasos para aplicar el Método Delphy.

1) En el campo Número de Expertos que participarán en el Consenso, ingrese la cantidad de expertos en el proceso o sistema objeto de la auditoría, con quienes se realizará la priorización de las clases de riesgo aplicables. 2) Distribuya a los expertos, un documento con las definiciones de las clases de riesgo aplicables al proceso o sistema (estas corresponden al modelo de categorías de riesgo adoptadas por la Auditoría, las cuales pueden ser de los modelos SARO, SARLAFT, MECI o una combinación de los anteriores). 3) Uno de los auditores (el supervisor o el Analista de auditoría) actuará como coordinador de la reunión de Análisis de Riesgo. 4) Inicie la comparación de cada categoría de riesgo contra las demás. La pregunta para compararlos es la siguiente: “ En caso de presentarse las Categorìas “i” y “J”, cuál de las dos ocasionaría mayores pérdidas a la organización?

5) Registre los votos a favor del riesgo “I” en la parte superior de la intersección entre los dos riesgos que se comparan. En la parte inferior de la intersección registre los votos a favor del riesgo “J”. La suma de los votos debe ser igual al número de expertos.

6) Repita los pasos 4 y 5 hasta que se haya efectuado la última comparación de las clases de los riesgos. Para grabar los datos ingresados, haga clic sobre Registrar Datos de la Evaluación. 7) Haga clic sobre el botón calcular datos. En la parte inferior del Grafico Triangular del Delphy, en la figura 3.4a, el software muestra los resultados de la priorización, así:

Figura 3.4b: Método Delphy - Matriz para Registro de votos 

En la fila identificada con la letra R (resultados), por cada categoría de riesgo aparecen los votos a favor en las filas, los votos a favor en la columnas y el total de votos obtenidos (suma de votos a favor en las filas y las columnas )



En color rojo, los números que corresponden a las prioridades asignadas a los riesgos como resultado de la evaluación.

Resultados de la Priorización. Los resultados de la priorización se presentan en dos reportes que están dentro de la caja de selección colocada a la izquierda del botón Reporte en la figura 3.4a. Estos reportes son: a) Ver rangos de impacto en la Evaluación y b) Ver resultados de la Evaluación. Estos reportes están

Para generar estos resultados, sobre la pantalla de la figura 3.4a, en la caja de selección a la izquierda del botón Reporte, seleccione el reporte que desea generar y haga clic sobre el botón Reporte.

a)

Reporte “Rangos de impacto en la Evaluación”

Este reporte muestra el Puntaje Máximo Posible que podría obtener una categoría de riesgos si tuviera todos los votos a favor. Este valor es calculado por el sistema y se obtiene de multiplicar la cantidad de expertos por el número de categorías de riesgo disminuido en 1

PMP = Cantidad de Expertos * (NR – 1). Donde: PMP: Puntaje máximo posible. NR: cantidad de categorías de riesgo aplicables que ingresan al Delphy (6 en el ejemplo) Cantidad de Expertos: 5 en el ejemplo.

Figura 3.4b: Reporte– Rangos de Pareto para priorizar las clases de riesgos aplicables

Rangos para Identificar los riesgos Potenciales del Proceso con el Método Delphy.

Estos rangos son calculados por el software; tomando como base el PMP (25 es el 100%) aplica el Principio de Pareto o Regla 80:20, así:

20% de PMP = 25*20%. El resultado es 5 que representa la longitud de cada rango. Los rangos son: % de PMP obtenido por la categoría de Riesgo Entre 0 y 20%

Limite Inferior

Limite Superior

Impacto

0

5

Insignificante

Entre 20 y 40%

Mayor que 5

10

Bajo

Entre 40% y 60%

Mayor que 10

15

Moderado

Entre 60% y 80%

Mayor que 15

20

Alto (Severo)

Entre 80% y 100%

Mayor que 20

25

Extremo (Catastrófico),

b)

Reporte “Ver Resultados de la Evaluación”

Este reporte muestra las categorías de riesgo aplicables, clasificadas según el puntaje obtenido, de mayo a menor puntaje.

Figura 3.4c: Reporte– Resultados de la Evaluación Método Delphy.

Alternativa 2: Método Scoring (Churman Ackoff). Este método, también conocido con el nombre de SCORING, consiste de tres pasos que se describen a continuación:

a) Obtener de los expertos, las calificaciones individuales del impacto que tendría la ocurrencia de las categorías de riesgo aplicables al proceso o sistema que se está auditando. .Para este fin se utiliza un formulario como el que se indica enseguida:

Nombre Experto (calificador): ____________________________ Categorías de Riesgo Aplicables Id

Nombre

1

Fraude Interno

2

Fraude Externo

3

Fallas en Relaciones Laborales Fallas en Atención a Clientes Daños a Activos Físicos

4 6

Impacto por Ocurrencia 1: Insignificante X

2: Menor

3: Moderado

4: Severo

5: Catastrófico

X x X X

Calificaciones del Impacto, según criterio y percepción de cada Experto.

b)

Consolidar las respuestas de los expertos en un formulario como el que se indica enseguida:

Categorías de Riesgo

Impacto por Ocurrencia

Aplicables Id

Nombre

1

Fraude Interno

2

Fraude Externo

1: Insignificante 1

2: Menor 3

3: Moderado

2

2

4: Severo

Totales 5: Catastrófico 1

5

1

5

3

Fallas en Relaciones 3 2 Laborales 4 Fallas en Atención a 1 1 3 Clientes 6 Daños a Activos 5 Físicos Calificaciones del Impacto de las categorías de riesgo, expresadas por los expertos.

5 5 5

En este caso, el formulario registra las respuestas de cinco (5) expertos. Por cada categoría de riesgo y posible calificación de impacto, se registra la cantidad de expertos que seleccionaron cada valor del impacto. Estos son los valores que se alimentan o ingresan a AUDIRISK

c)

Ingresar a AUDIRISK las calificaciones consolidadas de los expertos.

En la pantalla de la figura 3.3, seleccione el botón de radio Método Churman; haga clic sobre el botón Aceptar y el software presenta la pantalla de la figura 3.5, en la que se presentan los siguientes campos:

(1) El número de expertos que participarán en la votación; Se recomienda que sea un número impar de expertos y que la cantidad sea mínimo de 3 personas,

(2) Una matriz de “categorías de riesgo aplicables Vs. Nombres de Impactos posibles”. En las celdas de esta matriz se registra la cantidad de expertos que seleccionaron cada impacto, por categoría de riesgo.

Figura 3.5: Pantalla de Acceso al Método de Priorización Churman Ackoff

Por cada categoría de Riesgo, en las celdas de la matriz de la figura 3.5 se coloca el número de veces que los expertos seleccionaron cada uno de los valores de impacto. La suma de las cantidades asignadas a cada categoría de riesgo debe ser igual a la cantidad de expertos.

Calcular Puntajes por Categoría de Riesgo.

En la pantalla de la figura 3.5 haga clic sobre Calcular Datos y el software calcula el puntaje obtenido por cada categoría de riesgo, como se muestra en la figura 3.6

Figura 3.6: Cálculo de Puntajes por Categoría de Riesgo

Puntajes por Categoría de Riesgo

El puntaje correspondiente a los valores en cada celda de la parte superior de la figura 3.6 es el producto de la cantidad de veces que se selecciona el impacto y el peso asignado a cada valor del impacto.

El Puntaje Obtenido por cada categoría de riesgo, que se muestra en la parte inferior de la pantalla 3.6, es la suma de los productos registrados en las columnas de la matriz. El Ranking es el orden que corresponde a cada categoría de riesgo según los “puntajes obtenidos” clasificados de mayor a menor. Ejemplos de interpretación de los resultados. Continuando con el ejemplo del método, los puntajes obtenidos por cada categoría de riesgo se calculan como se explica a continuación:

Impacto por Ocurrencia Categorías de Riesgo Fraude Interno Fraude Externo Fallas en Relaciones

1: Insignificante

2:Menor

1

6 4

3:Moderado

4:Severo

6 9

8

Ranking

Puntaje

Impacto

5: Catastrófico

Obtenido

Promedio

5

12

2.4

5

5

15

3

4

17

3.4

2

Prioridad

Laborales Fallas en Atención a Clientes Daños a Activos Físicos

1

3

12

15

3.2

3

20

20

4.0

1

El valor 6 en la celda “fraude interno, Impacto Menor”, se obtiene de multiplicar tres (3) expertos y el puntaje 2 asignado al impacto “Menor”.

El valor

20 en la celda “Daños a Activos Físicos”, Impacto Severo”, se obtiene de

multiplicar cinco (5) expertos y el puntaje 4 asignado al impacto “Severo”.

De acuerdo con la priorización, las tres clases de riesgos críticos para la auditoria son, en su orden: 1) Daños a Activos Físicos; 2) Fallas en las relaciones laborales, 3) Fallas en atención a los clientes.

Paso 3.3: Identificar Riesgos Críticos. En esta opción, el auditor marca o selecciona las 3 o 4 categorías de riesgo críticas sobre las que se desarrollarán las demás etapas del auditoría. Estas categorías se seleccionan según el puntaje obtenido, de mayor a menor puntaje.

Figura 3.7: Selección de Categorías de Riesgo Críticas para la Auditoria

Haga clic sobre Identificar Riesgos Críticos y sobre la pantalla de la figura 3.7, en el checkbox colocado a la derecha de la columna prioridad, marque las categorías de riesgo con las cuales se ejecutará la auditoria. Haga clic en el botón Guardar.

Si desea generar un reporte de las categorías de riesgos críticas para la auditoría, haga clic sobre el botón reporte.

Paso 3.4: Asignar Amenazas a Riesgos (obligatorio). El objetivo de este paso es identificar y seleccionar las amenazas11 o eventos que podrían originar cada una de las categorías de riesgo críticas seleccionadas en el paso 3.3, en las actividades u operaciones del proceso o sistema objeto de auditoría.

Haga clic sobre Asignar Amenazas y el software muestra la pantalla de la figura 3.8.

Figura 3.8: Asignar amenazas a Categorías de Riesgo Críticas para la Auditoria.

Esta pantalla presenta las categorías de riesgo críticas identificadas para la auditoría, para las cuales es necesario asignarles amenazas. Presenta los siguientes campos:

11

Las amenazas son eventos accidentales o intencionales que podrían originar las categorías de riesgo críticas del proceso o sistema objeto de auditoría.



Id: Código de identificación de las Categorías de Riesgo Críticas seleccionadas para la auditoría. Es asignado por el sistema.



Descripción: Nombre o Descripción corta de la Categoría de Riesgo Crítica.



Estado: En este campo se presentan las palabras EN ESTUDIO o TERMINADO para indicar si por cada categoría ya se asignó al menos una amenaza.



Acción Establecer Relación. Haga clic sobre Establecer Relación a la derecha de cada categoría de riesgo, para visualizar las amenazas existentes en la base de conocimientos de la Empresa, asociadas con la categoría de riesgo12 . Eso se muestra en la figura 3.9

Las amenazas para esta auditoría pueden o no estar contenidas en la base de conocimientos de la Empresa. Se pueden presentar dos situaciones:

a) Las amenazas aplicables al proceso o sistema bajo auditoria ya existen en la base de conocimientos de la empresa y están asociadas con al menos una categoría de riesgo. De ser así, se presentarán en la lista de amenazas elegibles para la categoría de riesgo.

b) Las amenazas aplicables al proceso o sistema bajo auditoria no existen en la base de conocimientos de la empresa. En este caso es necesario adicionarlas a la base de conocimientos y asociarlas (relacionarlas) con una categoría de riesgo, como requisito para se presenten en la lista de amenazas elegibles para esta auditoría.

Ejercicio Recomendado antes de Seleccionar Amenazas. Identificar Amenazas por Activo que se utiliza en el proceso.

Antes de seleccionar o ingresar amenazas utilizando el software, es recomendable que el auditor realice sobre el papel un ejercicio de identificación de amenazas por cada uno de los activos identificados en la caracterización del proceso o sistema, utilizando un formato como el que se sugiere a continuación el ejemplo.

12

La tabla “Amenazas” de la base de conocimientos contiene amenazas típicas suministradas por los fabricantes de AUDIRISK, más las que el usuario haya adicionado en las auditorías realizadas con este software.

Ejemplo. Elabore una lista preliminar de las amenazas que podrían causar daños a los activos tangibles e intangibles que se utilizan en el proceso.

Amenazas para los Activos (recursos) de la Empresa Asignados al proceso Activo: Dinero Efectivo.  Robo por terceros (atracos.  Robo por empleados.  Falsificación de billetes.  Extravío

Categorías de Riesgos Críticos Fraude Daño Sanciones Activos Legales x x x

Reputación.  Deterioro o pérdida de imagen. Maquinaria y equipo  Malfuncionamiento. x  Robo  Daño por errores de operación Personal.  Errores en el manejo de la información  Ausencias por enfermedad, calamidad doméstica o retiro de la empresa.  Infidelidad X Métodos y Procedimientos.  Incompletos.  Desactualizados Software de Aplicación  Errores o malfuncionamiento X  Robo de programas fuente  Alteración, cambios no autorizados X (malintencionados)  Destrucción (borrado) de programas fuente

X

X

X x

X x

x

x

Por cada categoría de riesgo crítico, se recomienda identificar máximo diez (10) amenazas y mínimo seis (6).

Después de identificar las amenazas para los activos del proceso o sistema, consulte en el software las amenazas existentes en la base de conocimientos de la empresa, porque es posible

que en esta base ya estén registradas algunas amenazas identificadas para el proceso o que existan en ésta otras similares.

Cómo Seleccionar las amenazas aplicables a las Categorías de Riesgo Críticas. Para asignar amenazas por cada categoría de riesgo crítica, proceda así:

a) En la pantalla de la figura 3.8, por cada categoría de riesgo crítica haga clic sobre Establecer Relación y el software mostrará la siguiente pantalla.

Figura 3.9: Selección de amenazas por categoría de riesgo crítica

En el lado izquierdo de esta pantalla, el software presenta la lista de amenazas elegibles. Esta lista corresponde a las amenazas asociadas a la categoría de riesgo en la base de conocimientos de la empresa; identifique las amenazas aplicables (una cada vez), márquelas en el checkbox y haga clic sobre la flecha en dirección a amenazas seleccionadas para trasladar al lado derecho la amenaza seleccionada.

b) Si desea adicionar una amenaza a la base de conocimientos de la empresa, haga clic sobre el botón Mantenimiento de Amenazas, digite y grabe la amenaza. Después, haga clic sobre el botón Mantenimiento de Relaciones para asociar la amenaza adicionada con la

categoría de riesgo. Regrese a la pantalla de la figura la figura 3.8 y seleccione una nueva categoría de riesgo. c) Este paso finaliza cuando todas las categorías de riesgo en la figura 3.8 tengan estado Terminado. d) En la caja de selección a la izquierda del botón REPORTE, seleccione “Amenazas seleccionadas para el Estudio agrupadas por Categoria” y haga clic sobre el botón REPORTE. Utilice este reporte para validar la selección de amenazas con los dueños del proceso o sistema que se está auditando.

Cómo Consultar si una Amenaza ya existe en la Base de Datos de Empresa. La base de conocimientos de la Empresa contiene y acumula todas las amenazas identificadas en las auditorías realizadas con AUDIRISK. Por consiguiente, las amenazas adicionadas en una auditoria, quedan disponibles para ser consultadas o seleccionadas en otras auditorías.

Para establecer si una amenaza aplicable al proceso que se está auditando ya existe en la base de conocimientos de la Empresa, proceda como se indica a continuación:

a) Haga clic sobre el botón mantenimiento de amenazas. El software presenta las pantalla de la figuras 3.9 a y 3.9 b.

Figura 3.9a: Mantenimiento de Amenazas.

El software presenta la lista de amenazas existentes en la base de conocimientos, organizada como se indica a continuación:



Id: Código de identificación de la amenaza. Es asignado por el sistema.



Descripción: Nombre o Descripción corta de la amenaza.



Evento de Riesgo Operativo. En este campo se presentan las palabras SI o N0 para indicar si el evento al que se refiere la amenaza se ha presentado o no en la empresa.



Acción Modificar. Haga clic sobre Modificar para efectuar modificar la descripción de la amenaza, como se muestra en la figura 3.11b.



Acción

Eliminar. Haga clic sobre Eliminar para borrar la amenaza de la base de

conocimientos, como se muestra en la figura 3.11c. 

Acción Ver Relaciones. Haga clic sobre Ver Relaciones para visualizar los controles que están asociados a esta amenaza en la base de conocimientos de la Empresa, como se muestra en la figura 3.11d,

b) Sobre la pantalla de la figura 3.9 b, marque la alternativa de búsqueda en Buscar Por.

Figura 3.9b: Mantenimiento de Amenazas (parte inferior de la pantalla).

Efectúe una búsqueda digitando en el campo Descripción una palabra clave del nombre de la amenaza que se busca. También se puede efectuar la búsqueda por el código de amenaza. Entonces el software presentará la lista de amenazas que existen con la palabra clave empleada en la búsqueda. Si la amenaza deseada ya está en la base de la empresa, memorice o apunte el código de identificación para seleccionarla en la pantalla de la figura 3.8

Adicionar Amenazas a la Base de Empresa y a la Base de Trabajo de la Auditoría. Para adicionar una amenaza a la auditoria que se está realizando, haga clic sobre el botón mantenimiento de amenazas de la figura 3.9b. Luego haga clic sobre el botón Agregar y el software presentará la pantalla de la figura 3.10 para adicionar la amenaza.

Figura 3.10: Adicionar amenazas a la Base de Conocimiento



Descripción: Ingrese el nombre de la Amenaza. Se recomienda utilizar como palabra inicial un verbo en infinitivo o una palabra que indique acción. Ejemplos: Alterar la información registrada en el documento; falsificar firmas en los cheques.



Descripción Detallada: Ingrese el texto que considere necesario para precisar el significado del nombre de la amenaza.

Después de adicionar la amenaza, haga clic sobre el botón Aceptar.

Relacionar Amenazas con Categorías de Riesgo. Cada vez que se adicione una amenaza a la base de conocimientos de la empresa, el usuario deberá relacionarla con la categoría de riesgo a la que corresponda (la que esta activa para identificación de amenazas)..

Figura 3.9: Selección de amenazas por categoría de riesgo crítica

Ubíquese en la pantalla de Selección de Amenazas por Categoría de Riesgo (figura 3.9), haga clic sobre el botón Mantenimiento de Relaciones y el software presentará la pantalla de la figura 3.11.

Sobre la figura 3.11 desplácese hacia abajo en la lista de amenazas elegibles, hasta ubicar la amenaza recién adicionada o sobre cualquier otra que desee relacionar a la categoría de riesgo que está activa (fraude en el ejemplo de la pantalla). Haga clic sobre el link Ver Relaciones colocado al frente de la amenaza que desea relacionar.

Figura 3.11: Relacionar una amenaza con una categoría de riesgo crítica

Después de hacer clic sobre establecer relación en la figura 3.11, el software muestra la pantalla de la figura 3.11a en donde se edita el mensaje “La relación se ha establecido con éxito”

Figura 3.11a: Amenaza fue relacionada con una categoría de riesgo crítica

Regrese al menú de la figura 3.10 y la amenaza recién relacionada aparecerá dentro de la lista de amenazas elegibles. Entonces, podrá trasladar la amenaza nueva al lado derecho de la figura 3.9, utilizando el procedimiento arriba descrito en este manual bajo el título en Cómo Seleccionar las amenazas aplicables a las Categorías de Riesgo Críticas.

Modificar Amenazas de la Base de Conocimientos de la Empresa. En la figura 3.9, ubíquese sobre la amenaza que desea eliminar y haga clic sobre el link Modificar. El software muestra la pantalla de la figura 3.11b.

Figura 3.11b: Modificación de Amenazas de la Base de Conocimientos de la Empresa

Esta funcionalidad está disponible para los perfiles Supervisor y Analista de Auditoria. Es recomendable efectuar modificaciones a la descripción corta y la detallada, solo si no se altera el significado existente. En caso contrario, lo recomendable es adicionar una nueva amenaza a la base de conocimientos.

Para grabar los cambios efectuados, haga clic sobre el botón Aceptar.

Eliminar Amenazas de la Base de Conocimientos de la Empresa. En la figura 3.9, ubíquese sobre la amenaza que desea eliminar y haga clic sobre el link Eliminar . El software muestra la pantalla de la figura 3.11c.

Figura 3.11c: Eliminación de Amenazas de la Base de Conocimientos de la Empresa

Esta funcionalidad está disponible únicamente para los perfiles Supervisor y Gerente de Auditoria. Es recomendable NO ELIMINAR AMENAZAS basándose en argumentos como “No es aplicable o no estoy de acuerdo con su contenido”. En este caso, no la seleccione para la auditoría que esté ejecutando.

Para borrar la amenaza de la base de conocimientos, haga clic sobre el botón Aceptar.

Ver Relaciones entre Amenazas y Controles de la Base de Conocimientos de la Empresa. En la figura 3.9, ubíquese sobre la amenaza que desea consultar y haga clic sobre el link Ver Relaciones. El software muestra la pantalla de la figura 3.11d.

Figura 3.11d: Establecer Relación Amenaza – Control

Esta opción solo está disponible para consulta del Analista de Auditoria. Por consiguiente, esta inactiva la acción Eliminar Relación.

Paso 3.5: Documentación de Amenazas (obligatorio). El objetivo de este paso es documentar los atributos de las amenazas seleccionadas para la auditoria en el paso 3.5. Por cada amenaza, se documentan los siguientes aspectos:

(1) Los activos impactados (la amenaza es evento que ocasiona daños a uno o más activos del proceso); (2) Vulnerabilidades13 (debilidades de seguridad o carencia de controles) que podrían crear el ambiente propicio para que ocurra la amenaza. (3) Frecuencia de ocurrencia; (4) Agentes que podrían generarla (personas, desastres naturales y otras internas y externas); (5) Impacto probable Financiero y Operacional) por Ocurrencia; (6) Areas Organizacionales o terceros (Dependencias) en donde puede presentarse; (7) Escenarios de riesgo o actividades del proceso, en donde puede presentarse; (8) Riesgo: Consecuencias previsibles para la organización en caso de llegar a presentarse; y (9) Antecedentes de seguridad (información disponible sobre la ocurrencia de la amenaza).

13

Para que una amenaza se materialice deben coexistir dos situaciones: a) una vulnerabilidad y b) un agente generador que explote la vulnerabilidad

Para ingresar a esta opción, haga clic sobre Documentación de Amenazas y el software presenta la pantalla de la figura 3.12, en la que se presenta la lista de las amenazas seleccionadas en el paso 3.5

Figura 3.12: Ingreso a Documentación de Amenazas La pantalla presenta la siguiente información: 

Id: Código de identificación de la amenaza.



Descripción: Nombre de la amenaza.



Terminada: En esta columna, el indicador SI o NO para indicar que la amenaza ya fue documentada o no.



Acción: Bajo esta columna el link Documentar.

Este paso termina cuando todas las amenazas tengan estado SI.

Reporte: Haga clic en este botón para generar uno de los siguientes reportes: 

Documentación de Amenazas.



Estadísticas de Amenazas a por Areas Organizacionales.



Estadísticas de Amenazas por Escenarios de Riesgos.



Estadísticas de Amenaza por Categorías de Riesgo.

Para documentar cada una de las amenazas, en la pantalla de la figura 3.12 haga clic sobre la Acción Documentar y el software muestra la pantalla de la figura 3.13, en la que se presentan seis

Figura 3.13: Pestañas para Documentar una Amenaza.

(6) pestañas u hojas por cada amenaza: 1) Activos Impactados: esta pestaña se muestra activa.. 2) Vulnerabilidades. 3) Agentes Generadores. 4) Fuentes; 5) Impacto; e 6) Incidentes Ocurridos.

Por cada amenaza, es obligatorio ingresar o seleccionar datos para las

primeras cinco (5)

pestañas. Cada vez que se termine el ingreso de datos para las primeras cinco pestañas, el software cambia el estado de la Amenaza de NO a SI.

Cuando todas las amenazas del proceso bajo auditoría tengan estado SI, con los datos ingresados el software evalúa el riesgo inherente de cada una de las amenazas y habilitará el Paso 3.7, Reporte Riesgo Inherente.

Pestaña 1: Activos Impactados. Por definición, una amenaza es un evento que ocasiona daños a uno o más activos del proceso; en la pantalla de la figura 3.13a., ingrese o seleccione los activos que serían impactados por la amenaza en caso de llegar a presentarse. La pantalla presenta los siguientes datos: 

Id: Código de identificación del activo (es asignado por el software).



Descripción: Nombre del Activo existente en la base de conocimientos



Valor: En esta columna muestra, en miles de pesos, el valor de los activos.



Checbox: En esta caja de selección se hace clic para seleccionar el activo.

Para seleccionar un activo de la lista, haga clic sobre el checkbox correspondiente. Para grabar la selección efectuada, haga clic sobre el botón Guardar.

Figura 3.13 a.: Entrada a Adicionar Activos.

Es obligatorio seleccionar al menos un activo impactado por la amenaza. Cómo adicionar un activo. Haga clic sobre el botón Mantenimiento de Activos y el software muestra la pantalla de la figura 3.13a, para adicionar activos.

Haga clic sobre el botón Agregar y el software muestra otra pantalla, figura 3.13b, campos necesarios para adicionar el activo. Ingrese descripción y valor.

con los

Estos datos son

obligatorios. Haga clic sobre el botón Aceptar para grabar la información ingresada.

Si desea adicionar otro activo, haga clic sobre el botón adicionar otro. Para regresar a la pantalla de la figura 3.12, haga clic sobre el botón volver.

Figura 3.13 a.: Adicionar Activos.

Pestaña 2: Vulnerabilidades. Las Vulnerabilidades son las debilidades de seguridad o la falta de controles que podrían crear el ambiente propicio para que la amenaza se presente. Para que una amenaza se materialice deben coexistir dos situaciones: a) una vulnerabilidad y b) un agente generador que explote la vulnerabilidad.

Es obligatorio seleccionar al menos una vulnerabilidad por cada amenaza.

Para seleccionar o adicionar vulnerabilidades aplicables a la amenaza, en la figura 3.13, haga clic sobre la pestaña Vulnerabilidades. El software muestra la pantalla de la figura 3.14 con la lista de vulnerabilidades existentes en la base de conocimientos, para que seleccione las que sean aplicables. La pantalla presenta los siguientes datos:



Id: Código de identificación de la vulnerabilidad (es asignado por el software).



Descripción: Nombre de la vulnerabilidad existente en la base de conocimientos



Checkbox: En esta caja de selección se hace clic para seleccionar la vulnerabilidad.



Frecuencia de Ocurrencia de la Amenaza. Aquí se muestra una lista de frecuencias anuales para seleccionar una.

Figura 3.14.: Seleccionar / Adicionar Vulnerabilidades.

Para seleccionar una vulnerabilidad de las existentes en la base de conocimientos, haga clic sobre el checkbox

correspondiente. Para grabar la selección efectuada, haga clic sobre el botón

Guardar.

Cómo adicionar una Vulnerabilidad.

Haga clic sobre el botón Mantenimiento de Vulnerabilidades y el software muestra la pantalla para con la lista de vulnerabilidades existentes en la base de conocimientos y el botón Agregar. Antes de adicionar una vulnerabilidad, utilice el botón buscar para establecer si la vulnerabilidad ya existe o no en la base de conocimientos.

Para adicionar una vulnerabilidad, haga clic sobre el botón Agregar y el software muestra otra pantalla con los campos necesarios para ingresar descripción y descripción detallada. Haga clic

sobre el botón Aceptar para grabar la información ingresada.

Si desea adicionar otra

vulnerabilidad, haga clic sobre el botón adicionar otra. Para regresar a la pantalla de la figura 3.12, haga clic sobre el botón volver.

Frecuencia Ocurrencia de la Amenaza.

Figura 3.14a.: Seleccionar frecuencia Anual de Ocurrencia.

Es obligatorio seleccionar al menos una frecuencia de ocurrencia por cada amenaza. En la parte inferior de la pantalla de la figura 3.14, haga clic sobre la lista de frecuencia de ocurrencia de la amenaza. Aquí se despliega una lista de frecuencias anuales de ocurrencia, para que el auditor seleccione una.

Esta lista de frecuencias de ocurrencia será utilizada para todas las auditoria y es creada por los niveles Gerente o Supervisor en el módulo de a parametrización. La frecuencia anual de ocurrencia sirve como base para poder estimar la probabilidad de ocurrencia y el valor de la Pérdida Anual Estimada (PAE) de las amenazas, en caso de necesitarse.

La frecuencia ingresada por cada amenaza será asociada, internamente por el software, con un valor cualitativo de la “Probabilidad de ocurrencia” como si indica a continuación.

Frecuencia de Ocurrencia Anual

Probabilidad

Una vez, entre 50 y 100 años

1: Muy Baja, Remota

Una vez, entre 5 y 10 años

2: Baja.

Entre una (1) y cinco (5) veces por

3: Moderada.

Comentarios

año Entre una (1) y diez (10) veces por

4: Alta

mes (cada 30 días) Una vez o más de una vez por día

5: Casi Cierto. Muy alta

Importante: Observe que a mayor frecuencia de ocurrencia, mayor es el valor de probabilidad de ocurrencia. Por otra parte, tenga en cuenta que entre más vulnerable sea el proceso a una amenaza, mayor será la probabilidad de ocurrencia.

Pestaña 3: Agentes Generadores de Amenaza. Los Agentes Generadores se refieren a personas, actos de la naturaleza y software malicioso que pueden explotar las vulnerabilidades existentes para hacer que ocurra o se presente la amenaza. Pueden ser personas (empleados de la empresa o terceros que pudieran intervenir en el manejo de la información del proceso), actos de la naturaleza (descargas eléctricas, terremotos, etc), calidad de los materiales ó software malicioso.

El software obliga a seleccionar al menos una agente generador por cada amenaza.

Figura 3.15.: Seleccionar o Adicionar Agentes Generadores.

En la figura 3.13, haga clic sobre la pestaña Agentes Generadores. El software muestra la pantalla de la figura 3.15 con la lista de agentes existentes en la base de conocimientos, para que seleccione las que sean aplicables. La pantalla presenta los siguientes datos:



Id: Código de identificación del agente generador (es asignado por el software).



Descripción: Nombre del agente existente en la base de conocimientos



Checkbox: En esta caja de selección se hace clic para seleccionar el agente



Acción: Asociar Segmentos

Para seleccionar un agente generador de los existentes en la base de conocimientos, haga clic sobre el checkbox correspondiente. Para grabar la selección efectuada, haga clic sobre el botón Guardar.

Cómo adicionar un Agente Generador.

Haga clic sobre el botón Mantenimiento de Agentes y el software muestra la pantalla con la lista de agentes existentes en la base de conocimientos y el botón Agregar. Antes de adicionar un agente, utilice el botón buscar para establecer si existe o no en la base de conocimientos.

Para adicionar un agente, haga clic sobre el botón Agregar y el software muestra otra pantalla con los campos necesarios para ingresar información a los campos Tipo (interno o externo), Nombre y descripción. Haga clic sobre el botón Aceptar para grabar la información ingresada.

Figura 3.15 a.: Mantenimiento de Agentes Generadores.

Si desea adicionar otro agente, en la figura 3.15a, haga clic sobre el botón adicionar otro. Para regresar a la pantalla de la figura 3.12, haga clic sobre el botón volver.

Pestaña 4: Fuentes de Amenazas. Las fuentes de amenazas se refieren a las áreas organizacionales de la empresa (o terceros) y las actividades o escenarios del proceso o sistema

objeto de la auditoria, en donde pudieran

presentarse las amenazas.

Para ingresar a esta pestaña haga clic sobre el botón Fuentes y el software muestra la pantalla de la figura 3.16.

Figura 3.16.: Areas y actividades del proceso donde puede presentarse la amenaza

En esta pantalla el software presenta la lista de Areas Organizacionales ingresadas en la caracterización del proceso (etapa 2) y la lista de escenarios de riesgo (actividades del proceso) seleccionados en el alcance de la auditoría (etapa 1).

Por cada amenaza se debe seleccionar al menos una (1) dependencia y al menos un (1) escenario de riesgo. Para grabar la selección efectuada, haga clic sobre el botón Guardar.

Importante: Al finalizar la documentación de amenazas el software validará que todas las áreas organizacionales y todos los escenarios de riesgo estén asociadas al menos con una amenaza.

Pestaña 5: Impacto de las Amenazas (financiero y Operacional). El acceso a esta pestaña se activa cuando termine el ingreso de los datos de la pantalla de Agentes Generadores. El software muestra la pantalla de la figura 3.17, para realizar dos acciones: 1) Evaluar el impacto de la amenaza y 2) Describir las consecuencias (el riesgo) que afrontaría la organización en caso de presentarse la amenaza.

Figura 3.17: Evaluación del Impacto de la Amenaza en caso de presentarse.

El objetivo de esta pantalla es evaluar (medir) el impacto financiero y operacional que tendría la amenaza en caso de presentarse. El software ofrece por defecto cuatro (4) tipos de impacto probable de las amenazas. Estos son:

1) Financiero. 2) Reputacional. 3) Disponibilidad de Personas. 4) Tolerancia a Interrupciones.

De estos tipos de impacto, el único obligatorio es el impacto financiero.

Cada tipo de impacto está asociado con una lista de criterios de evaluación, de los cuales el auditor debe seleccionar uno. Cada criterio tiene asociado un valor entre 1 y 5, donde 5 es el de mayor impacto y 1 el de menor impacto.

Los tipos de impacto y los criterios de evaluación de cada tipo, se ingresaron en el Módulo de Parametrización, por usuarios de perfil Supervisor y están disponibles para ser utilizados en todas las auditorías de la Empresa que se realicen con AUDIRISK. Es decir, se definen una sola vez, como estándar para todas las auditorias en la empresa.

Cuando el auditor termine de seleccionar los criterios de evaluación por cada tipo de impacto, el software automáticamente seleccionará uno para la amenaza; éste será “el de mayor valor numérico” entre los diferentes tipos de impacto, como se indica enseguida:

Criterios de Evaluación Tipos de Impacto

1: Insignificante

Financiero

2: Bajo

3: Moderado

4: Alto

X

Reputacional

X

Disponibilidad de personas claves

X

Tolerancia a Interrupciones

X

En esta matriz de ejemplo, el tipo de impacto “Disponibilidad de Personas” tiene el mayor valor. Entonces el impacto de la amenaza será “4: Alto”. En caso de haber empate entre los criterios de mayor valor, se selecciona uno de los dos.

No todos los tipos de impacto deben ser aplicables a una amenaza. El único obligatorio para todas las amenazas es el financiero.

Impacto Financiero. Se refiere al valor estimado de las pérdidas que experimentaría la organización cada vez que se presente la amenaza. Para estimar este valor, haga clic sobre la caja de selección de Impacto financiero y el software mostrará una lista de Rangos de pérdida en millones de $, para que el auditor seleccione uno de la lista. Valor del Impacto

Rangos de Pérdidas Económicas por Ocurrencia de la Amenaza – En Miles de $ De

1: Insignificante 2: Bajo 3: Moderado 4: Severo 5: Catastrófico

Hasta

Punto Medio

1.

Catastrófi co

Los rangos de pérdida deben establecerse a la medida de cada organización, considerando el valor de sus activos y su patrimonio. Para algunas empresas, la pérdida de $5 millones puede tener un impacto “insignificante”, mientras que para otras puede ser “Severo”.

Importante. El software valida que la suma del valor de los activos impactados por la amenaza (definidos en la pestaña 1), sea menor o igual que el límite superior del rango de pérdidas seleccionado por el auditor. Un mensaje de error se genera cuando este control no se satisface.

IMPACTO DE LA DISPONIBILIDAD DE LAS PERSONAS

CLAVES PARA LA OPERACION DEL

PROCESO.

Se refiere a los problemas operacionales que se presentan cuando una o más personas claves para la operación del proceso se ausentan del trabajo por razones de fuerza mayor, tales como calamidad doméstica, enfermedad, incapacidad, invalidez, muerte, retiro de la empresa, etc. Considere que estas ausencias se presenten en fechas críticas para la operación del proceso (por ejemplo: cierres contables, reuniones de Comités directivos)

Valor del Impacto

Descripción del Criterio No hay personas indispensables. En caso de ausencias hasta de 5 días hábiles, el trabajo

1: Insignificante

puede ser realizado por sus compañeros de labores o el trabajo represado es fácil de poner al día y genera costos adicionales bajos. No hay personas indispensables. Las ausencias hasta de 5 días hábiles,

2: Bajo

pueden ser

compensadas por sus compañeros de labores y el trabajo represado genera costos adicionales moderados de recuperación (para poner al día). No hay personas indispensables.

3: Moderado

Las ausencias hasta de 5 días hábiles, pueden ser

compensadas por sus compañeros de labores y el trabajo represado genera costos adicionales significativos de recuperación (para poner al día) En el proceso hay al menos una (1) persona indispensable y entre sus compañeros no

4: Severo

hay

personas preparadas para reemplazarla. Su ausencia

temporal o definitiva

ocasionaría problemas severos a la empresa. En el proceso hay dos (2) o más personas indispensables y entre sus compañeros no 5: Catastrófico

hay personas preparadas para reemplazarlas. Su ausencia temporal o definitiva ocasionaría problemas catastróficos a la empresa.

La magnitud del impacto de estas interrupciones se mide por la cantidad de personas claves para la operación del proceso y la disponibilidad de personas para reemplazarlas.

IMPACTO REPUTACIONAL. Se refiere al impacto que sufriría la organización por desprestigio, mala imagen, publicidad negativa, cierta o no, respecto de la empresa y sus prácticas de negocios. Por ejemplo, podría ocasionar pérdida de clientes, disminución de ingresos o procesos judiciales.

Valor del Impacto

Descripción del Criterio

1: Insignificante

Afectación a nivel Interno del proceso

2: Bajo

Afectación a nivel Local (la ciudad o el municipio)

3: Moderado

Afectación a nivel Regional (no trasciende mas allá de la vecindad o zona geográfica dentro del país)

4: Severo

Afectación a nivel Nacional – en todo el país

5: Catastrófico

Afectación a nivel Internacional – impacta la imagen de la empresa en el mundo

La magnitud del impacto de estas interrupciones se mide por la transcendencia que tenga el evento o amenaza en el proceso o sistema que se esté auditando.

IMPACTO “TOLERANCIA A INTERRUPCIONES. Se refiere al impacto operacional que generaría la interrupción de los servicios informáticos (causada por caídas de la Red de datos o de internet, VoIP, daños en los equipos de cómputo críticos, la no disponibilidad de energía eléctrica, etc), cuando el tiempo de interrupción es superior al Máximo Tiempo Tolerable de caída de los servicios informáticos y tecnológicos.

Valor del Impacto

Descripción del Criterio

1: Insignificante

La interrupción tolerable de interrupción es mayor de 12 horas

2: Bajo

La interrupción tolerable de interrupción está entre 8 y 12 Horas

3: Moderado

La interrupción tolerable de interrupción está entre 4 y 8 Horas

4: Severo

La interrupción tolerable de interrupción está entre 2 y 4 Horas

5: Catastrófico

Interrupción tolerable de interrupción es menor de 2 horas

El tiempo máximo tolerable de interrupción de cada proceso o sistemas es una variable que se define en el Plan de Continuidad del Negocio o el Plan de Contingencias del Tecnología de Información,

La magnitud del impacto de estas interrupciones se mide por El Tiempo Máximo Tolerable de Caída (MTD) del proceso o sistema que se esté auditando. Este es el espacio de tiempo durante el cual un proceso puede estar inoperante sin que la Entidad empiece a sufrir pérdidas ó colapse (usualmente se mide en horas)

Consecuencias sobre la Organización.

En este campo de la figura 3.17, el auditor describe en forma concreta, las consecuencias que traería a la organización la ocurrencia de la Amenaza.

Para grabar la información seleccionada e ingresada de Impacto, haga clic sobre el botón grabar.

Pestaña 6: Incidentes Ocurridos. Esta pestaña es opcional. El objetivo de la pantalla que se muestra en la figura 3.18 es ingresar información que describa los antecedentes de ocurrencia de esta amenaza en la organización.

Figura 3.18: Ingreso de información sobre Incidentes de Seguridad Ocurridos.

Para ingresar un incidente de seguridad, haga clic sobre Mantenimiento de incidentes de seguridad y el software mostrará la pantalla de la figura 3.19

Figura 3.19: Mantenimiento de Incidentes de Seguridad Ocurridos.

Ingrese los datos en los campos descripción y fecha de ocurrencia. Para grabar los datos ingresado haga clic sobre el botón Aceptar.

Paso 3.6: Evaluar Riesgo Inherente. El objetivo de este paso es evaluar (medir) el riesgo inherente de las amenazas documentadas en el paso 3.5, utilizando los valores de Probabilidad de Ocurrencia e Impacto asignados a cada amenaza.

Para acceder a esta paso, haga clic sobre Evaluar Riesgo Inherente y el software muestra la pantalla de la figura 3.20

Figura 3.20: Evaluar Riesgo Inherente

En esta pantalla el software presenta tres alternativas para ver los resultados de la evaluación del riesgo inherente del proceso o sistema objeto de la auditoria. 

Por categorías de riesgo;



Por Areas Organizacionales; y



Por Actividades o Escenarios de Riesgo.

Los valores de riesgo inherente que puede tener una amenaza se muestran en el siguiente gráfico:

Por cada amenaza el riesgo el riesgo inherente tendrá una de las siguientes calificaciones: E: Extremo; A: Alto; M: Moderado; B: Bajo (tolerable).

El significado de los niveles de riesgo inherente, estimados por métodos cualitativos es el siguiente: Niveles de Riesgo (Inherente o Residual ) 1: Bajo

2: Moderado

3: Alto

4: Extremo

Consecuencias en caso de Presentarse La ocurrencia del evento (amenaza) tendría consecuencias leves, tolerables por la organización. Se puede gestionar mediante procedimiento de rutina. En caso de presentarse no desestabiliza a la organización. En caso de presentarse ocasionaría consecuencias que superan el nivel de tolerancia de la organización. Requiere atención de la Gerencia. Debe ser gestionado con controles para disminuir su impacto o la frecuencia de ocurrencia. En caso de presentarse ocasionaría consecuencias financieras y operacionales de impacto severo o significativo para la organización. Es necesaria la atención inmediata de la Gerencia. Debe gestionarse con acciones para transferir el riesgo a terceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia. Su ocurrencia ocasionaría consecuencias financieras y operacionales de impacto catastrófico para la organización. Es necesaria la atención inmediata de la Gerencia. Debe gestionarse con mecanismos para evitar su ocurrencia o transferir el riesgo a terceros, dispersar el riesgo y reducir su impacto o la frecuencia de ocurrencia.

Evaluación de Riesgos Inherentes por Categorías de Riesgo. Sobre la pantalla de la figura 3.20, marque el botón de radio Por Categorías de Riesgo y haga clic sobre el botón aceptar. El software muestra la pantalla del la figura 3.21 con la lista de las categoría de riesgo criticas para la auditoria que se esta ejecutando.

Figura 3.21: Evaluar Riesgo Inherente por categorías de riesgo Haga clic sobre la acción Ver Reporte a la derecha de la categoría de riesgo que desee evaluar y el software muestra la pantalla de la figura 3.22

Figura 3.22: Evaluar Riesgo Inherente para una Categoría de Riesgo

En la parte superior de la pantalla se muestran las amenazas identificadas por el auditor para esta categoría de riesgo, con los valores utilizados en la evaluación. Por cada amenaza muestra los siguientes datos:



Id: código de identificación de la amenaza (asignado por el sistema).



Amenaza: Descripción corta o nombre de la amenaza.



Probabilidad. Evaluación de la probabilidad de ocurrencia de la amenaza, asignada por el software, con base en la frecuencia anual de ocurrencia de la amenaza.



Valor. Valor numérico asignado por el software a la probabilidad de ocurrencia. Un valor entre 1 y 5.



Impacto: Evaluación del Impacto Potencial de la amenaza, asignada por el software, con base en los criterios de evaluación de los tipos de impacto señalados por el auditor para cada amenaza.



Valor. Valor numérico asignado por el software al impacto potencial de la amenaza. Un valor entre 1 y 5.



Riesgo Inherente El valor que corresponda a la amenaza, según su localización en el Mapa de Riesgos inherentes o “matriz de probabilidad e impacto” (E: Extremo; A: Alto; M: Moderado o B: Bajo). La calificación del riesgo inherente está marcada con el color que corresponda.

En la parte inferior de la pantalla se muestra el Mapa de Riesgos Inherentes por Categoría de Riesgo. Los números de identificación de las amenazas están localizados en las celdas que correspondan según las calificaciones de probabilidad de ocurrencia (eje Y) e impacto (eje x) asignados.

Reportes del Mapa de Riesgos Inherentes.

Haga clic sobre el botón reporte localizado en la parte inferior de la pantalla 3.22 y el software genera el reporte que se muestra en la figura 3.23, Riesgo Inherente por Categorías de Riesgo. .

Figura 3.23: Reporte de Riesgo Inherente por Categoría de Riesgo.

Evaluación de Riesgos Inherentes por Areas Organizacionales. Sobre la pantalla de la figura 3.20, marque el botón de radio Por Areas Organizacionales y haga clic sobre el botón aceptar. El software muestra la pantalla del la figura 3.24 con la lista de las áreas organizacionales que intervienen en el proceso o sistema que se está ejecutando.

Figura 3.24: Evaluar Riesgo Inherente por Areas Organizacionales Haga clic sobre la acción Ver Reporte a la derecha del área organizacional que desee evaluar y el software muestra una pantalla similar a la figura 3.22, en cual se muestra la evaluación de riesgos para las amenazas asociadas con el Area Organizacional.

Evaluación de Riesgos Inherentes por Escenarios de Riesgo. Sobre la pantalla de la figura 3.20, marque el botón de radio Por Escenarios y haga clic sobre el botón aceptar. El software muestra la pantalla del la figura 3.25 con la lista de las actividades del proceso (escenarios de riesgo de la auditoria) o sistema que se está ejecutando.

Figura 3.25: Evaluar Riesgo Inherente por Escenarios de Riesgo.

Haga clic sobre la acción Ver Reporte a la derecha del Escenario de Riesgo que desee evaluar y el software muestra una pantalla similar a la figura 3.22, en cual se muestra la evaluación de riesgos para las amenazas asociadas con el escenario.

Paso 3.7: Perfiles de Riesgo Inherente. El objetivo de este paso es presentar la evaluación del riesgo inherente realizada en el paso 3.6 para las amenazas del proceso o sistema bajo auditoría, agrupada y desagregada en tres niveles:



Nivel 1: Cantidad de amenazas y evaluación promedio del Riesgo Inherente, agrupadas por categorías de riesgo, áreas organizacionales

y escenarios de riesgo, agentes

generadores de riesgo y segmentos de agentes generadores. 

Nivel 2: Discriminación del riesgo inherente

para las amenazas asociadas

a los

agrupamientos del nivel 1, en tres estratos de riesgo: Bajo (color verde); Alto (color amarillo, incluye riesgos con calificaciones M- moderado y A- Alto) y Muy Alto (color rojo, incluye riesgos con calificación E - Extremo). 

Nivel 3: Mostrar la cantidad de amenazas del nivel 2 que correspondan a los diferentes rangos de pérdida estimada según la evaluación del impacto financiero de las amenazas y el nombre de la amenaza que desee consultar (después de hacer clic en el link ver).

Los conceptos de agrupamiento del nivel 1 para los perfiles de riesgo se muestran en la pantalla de la figura 3.26 y son:

a) Por Categorías de Riesgo. b) Por Área Organizacional. c) Por Escenarios de Riesgo. d) Por Agentes Generadores del Riesgo. e) Por Segmentos de los Agentes Generadores de riesgo.

Figura 3.26: Agrupamiento de los Perfiles de Riesgo Inherente – Nivel 1

Perfil de Riesgo por Categorías de Riesgo – Nivel 1.

Para acceder a este perfil,

haga clic sobre la ruta Perfil de Riesgo Inherente - Categoría de

Riesgo y el software muestra la pantalla de la figura 3.27

Figura 3.27: Perfil de Riesgo Inherente por Categorías de Riesgo. La pantalla muestra, por cada categoría de riesgo los siguientes datos: 

Id: código de identificación de la categoría de riesgo (asignado por el sistema).



Categoría de Riesgo: Nombre de la categoría de riesgo.



Total Amenazas: La cantidad de amenazas identificadas para la categoría de riesgo en este proceso.



Riesgo Inherente (RI): el valor promedio de las calificaciones del riesgo inherente de las amenazas identificadas en este proceso para la categoría de riesgo.



Significado RI: el significado de la calificación promedio del riesgo inherente de las amenazas para la categoría de riesgo.



Acción Ver: link para visualizar la cantidad de amenazas de esta categoría agrupadas en cada perfil (Muy Alto, Alto o Bajo).

Haga clic sobre la acción Ver colocada a la derecha de la categoría de riesgo para la cual desea visualizar el perfil y el software presenta la pantalla de la figura 3.28, nivel 2.

Para la categoría seleccionada la pantalla muestra la cantidad de amenazas en cada perfil y un gráfico de barras con la “cantidad de amenazas Vs Perfil”.

Figura 3.27: Cantidad de Amenazas en el perfil de Riesgo Inherente por Categoría de Riesgo – Nivel 2.

Haga clic sobre la palabra Ver colocada a la derecha de la cantidad de amenazas en cada perfil y el software muestra la pantalla de la figura 3.29, perfil nivel 3

Figura 3.29: Rangos de Perdida de las Amenazas en el perfil de riesgo inherente por categoría de riesgo. Nivel 3 Haga clic sobre la palabra Ver a la derecha de la cantidad de amenazas del rango de pérdida que desea consultar y el software mostrará el nombre de las amenazas asociadas con este rango de pérdida.

Perfil de Riesgo por Areas Organizacionales.

Para acceder a este perfil,

haga clic sobre la ruta

Perfil de Riesgo Inherente -

Organizacionales y el software muestra la pantalla de la figura 3.30

Areas

Figura 3.30: Perfil de Riesgo Inherente por Área Organizacional.

La pantalla muestra, por cada Área Organizacional los siguientes datos: 

Id: código de identificación del Área Organizacional (asignado por el sistema).



Área Organizacional: Nombre de las dependencias o de terceros que intervienen en el proceso o sistema bajo auditoria.



Total Amenazas: Cantidad de identificadas para el área organizacional.



Riesgo Inherente (RI): el valor promedio de las calificaciones del riesgo inherente de las amenazas identificadas en este proceso para el área organizacional.



Significado RI: el significado de la calificación promedio de las amenazas en el área organizacional.



Acción Ver: link para visualizar la cantidad de amenazas del área organizacional en cada perfil (Muy Alto, Alto o Bajo).

Haga clic sobre la acción Ver colocada a la derecha del área organizacional para la cual desea visualizar el perfil y el software presenta la pantalla similar a la figura 3.31.

Figura 3.31: Cantidad de Amenazas en los perfiles de Riesgo Inherente, por Área organizacional.

Para el Área Organizacional seleccionada la pantalla muestra la cantidad de amenazas en cada perfil y un gráfico de barras con la “cantidad de amenazas Vs Perfil”.

Haga clic sobre la palabra Ver colocada a la derecha de la cantidad de amenazas en cada perfil y el software muestra la pantalla de la figura 3.32

Figura 3.32: Rangos de Perdida Financiera de las Amenazas en cada perfil de riesgo inherente por Área Org.

Haba clic sobre la palabra Ver a la derecha de la cantidad de amenazas del rango de pérdida que desea consultar y el software mostrará las amenazas asociadas con este rango de pérdida.

Perfil de Riesgo por Escenarios de Riesgo.

Para acceder a este perfil,

haga clic sobre la ruta Perfil de Riesgo Inherente - Escenario de

Riesgo y el software muestra la pantalla similar la figura 3.27

Los demás acciones para visualizar e imprimir este perfil, son similares a los que describen en los perfiles por Categoría de Riesgo y Área Organizacional.

Perfil de Riesgo por Agentes Generadores de Riesgo.

Para acceder a este perfil,

haga clic sobre la ruta Perfil de Riesgo Inherente - Agentes

Generadores de Riesgo y el software muestra la pantalla similar la figura 3.27

Los demás acciones para visualizar e imprimir este perfil, son similares a los que describen en los perfiles por Categoría de Riesgo y Área Organizacional.

Perfil de Riesgo por Segmentos de Agentes Generadores de Riesgo.

Para acceder a este perfil, haga clic sobre la ruta Perfil de Riesgo Inherente - Segmentos y el software muestra la pantalla similar la figura 3.27

Los demás acciones para visualizar e imprimir este perfil, son similares a los que describen en los perfiles por Categoría de Riesgo y Área Organizacional.

Paso 3.8: Seleccionar Alternativas de Respuesta a Riesgos. El objetivo de este paso es definir las alternativas de manejo o acciones de respuesta a riesgos por cada amenaza.

Para acceder a este perfil,

haga clic sobre la ruta Perfil de Riesgo Inherente - Categoría de

Riesgo y el software muestra la pantalla de la figura 3.33.

Figura 3.33: Acceso a Seleccionar Alternativas de Respuesta a Riesgos.

Esta pantalla presenta la lista de amenazas identificadas para la auditoría. Por cada amenaza muestra los siguientes datos: 

Id: código de identificación de la amenaza (asignado por el sistema).



Descripción: Nombre o descripción corta de la amenaza.



Riesgo Inherente (RI): la calificación del riesgo inherente obtenida por la amenaza. Observe que a la derecha de las amenazas con riesgo inherente BAJO, se coloca un checbox para indicar si se desea continuar o no con esa amenaza en las demás etapas de la auditoria.



Terminada: en esta columna el software coloca la silabas SI o NO para indicar si ya fue asignada al menos una opción de manejo de riesgo para la amenaza.



Alternativa de Manejo de Riesgo Ver: link para visualizar y seleccionar alternativas de manejo de riesgo.

Para seleccionar alternativas de manejo de riesgo, en la pantalla de la figura 3.33 haga clic sobre la acción Ver y el software muestra la pantalla de la figura 3.34

Figura 3.34: Selección de Alternativas de Respuesta a Riesgos.

Sobre esta pantalla, en el chexbox marque la alternativa de manejo de riesgo seleccionada y haga clic en el botón Guardar

Por defecto el software ofrece cinco alternativas de manejo de riesgos que son: 

Evitar el Riesgo: Utilizar procedimientos diferentes a los que están generando el riesgo.



Reducir el Riesgo: Mitigar el impacto o la probabilidad que ocurra el riesgo mediante la implementación de medidas de seguridad y de control.



Dispersar el Riesgo: Desconcentrar o Distribuir entre diferentes personas las actividades que generan el riesgo.



Transferir el Riesgo: Pasar el costo que representarían las pérdidas por la ocurrencia del riesgo, a otro bien u otra organización.



Asumir el Riesgo: La gerencia está de acuerdo en aceptar las consecuencias y pérdidas que pueda ocasionar la ocurrencia del riesgo.

Por cada amenaza se debe seleccionar al menos una alternativa de manejo de riesgos. Para decidir la alternativa de manejo por cada amenaza, pueden utilizarse la tabla que se incluyen a continuación.

Mapa de Riesgos Inherentes y Acciones de Respuesta a Riesgos

PROBABILIDAD

Basada en Estándares AS/NZ 4360 e ISO 31000

5: Casi Cierto

Zona de Riesgo Alta. Mitigar, transferir, distribuir

Zona de Riesgo Zona de Riesgo Extremo Alta. . Evitar, transferir, Mitigar, transferir, mitigar distribuir

4: Probable

Zona de Riesgo Moderada. Mitigar

Zona de riesgo Alta. Prevenir, transferir

Zona de riesgo Alta. Prevenir, transferir

3: Posible

Zona de Riesgo Baja. Aceptar, mitigar el Riesgo

Zona de Riesgo Moderada. Mitigar

Zona de riesgo Alta. Prevenir, transferir

2: Poco Probable

Zona de Riesgo Zona de Riesgo Baja. Baja. Aceptar, mitigar el Aceptar el Riesgo Riesgo

Zona de Riesgo Moderada. Mitigar

1: Raro

Zona de Riesgo Baja. . Aceptar el Riesgo

Zona de Riesgo Baja. . Aceptar el Riesgo

Zona de Riesgo Moderada. Mitigar

1: Insignificante

2: Menor

3: Moderado

Zona de Riesgo Extremo . Evitar, transferir, mitigar Zona de Riesgo Extremo . Evitar, transferir, mitigar Zona de Riesgo Extremo . Evitar, transferir, mitigar

Zona de Riesgo Extremo. Evitar, Mitigar, tranferir

Zona de Riesgo Extremo. Evitar, Mitigar, tranferir Zona de Riesgo Extremo. Evitar, Mitigar, tranferir Zona de Riesgo Zona de riesgo Extremo. Alta. Evitar, Mitigar, Prevenir, transferir tranferir Zona de riesgo Zona de riesgo Alta. Alta. Prevenir, transferir Prevenir, transferir 4: Severo

5: Catastrófico

IMPACTO

Administración de Riesgos y Diseño de Controles

59

Para las amenazas con riesgo inherente BAJO (color verde), el trabajo de auditoría puede terminar, puesto que la auditoria trabaja selectivamente y deberá enfatizar en los riesgos que tienen calificaciones EXTREMO, ALTO y MODERADO.

Por defecto, el software excluye las amenazas con riesgo inherente BAJO para las demás etapas de la auditoria. No obstante, el auditor puede cambiar esta decisión marcando estas amenazas en el checkbox colocado a la derecha de la calificación del riesgo inherente.

Reporte.

Haga clic sobre el botón Reporte para generar el reporte “Alternativas de Manejo de Riesgos” que se muestra en la figura 3.35.

Figura 3.35: Reporte Alternativas de Manejo de Riesgos seleccionadas por Amenaza.

Paso 3.9: Papeles de Trabajo. Haga clic sobre Papeles de Trabajo y el software presenta la pantalla de la figura 3.36.

Figura 3.36: Papeles de trabajo de la Etapa 3, identificar riesgo críticos En esta pantalla se presentan, igual que en todas las etapas de la auditoría, la lista de los principales soportes de papeles de trabajo. Para visualizar y exportar los reportes, haga clic sobre la acción Ver colocada a la derecha de cada reporte. Estos reportes se pueden guardar en una carpeta fuera del control de AUDIRISK, para

satisfacer posibles requerimientos de los organismos de control y supervisión (del Estado, por ejemplo).

Paso 3.10: Estado de Avance de la Auditoría Este paso consta de tres (3) tareas que se visualizan cuando se hace clic sobre Estado de Avance de la Auditoria.

Las tareas son:



Control de Tiempo de Auditoria por Etapas.



Control de Tiempo de la Auditoria por Auditores.



Control de tiempo acumulado de la Auditoria.

Figura 3.37: Control de Tiempo de la Auditoria por Etapas. Los procedimientos para desarrollar esta tarea, son los mismos que se describieron para la etapa 1 en los siguientes numerales:

1.3.1: Control de tiempo de la Auditoria por Etapas 1.3.2 Control de tiempo de la auditoria por auditores

1.3.3 Control de tiempo Acumulado en la Auditoria, por Auditores.

3.10.1 Control de Tiempo de la Auditoria por Etapas.

Sobre la figura 3.37, en el recuadro correspondiente a la columna Horas Reales, ingrese la cantidad de horas gastadas en la ejecución de esta etapa. Esta duración podrá ser ingresada por el cualquiera de los auditores que intervienen en la auditoria.

3.10.2 Control de Tiempo por Auditores en la Etapa.

Figura 3.38: Control de Tiempo de la Auditoria por Auditor.

En el recuadro correspondiente a la columna Horas Reales por Auditor,

ingrese la cantidad de

horas gastadas en la ejecución de esta etapa. Esta duración podrá ser ingresada por el cualquiera de los auditores que intervienen en la auditoria.

3.10.3

Control de Tiempo Acumulado en la Auditoria, por Auditores.

Haga clic sobre este submenú para generar el reporte que se muestra enseguida, en la figura

Figura 3.39: Control de Tiempo Acumulado de la Auditoria, por auditores.