Administracion de Riesgos de Información
12
Estrategia de TI Planeación de Auditoría Evidencia de Auditoría Sesión de Cierre Informes y presentació n Revisión e interpretación de hallazgos de auditoría BOSQUEJO Esta guía tiene tres partes: Bosquejo del Riesgo Esta parte explica qué papel tiene el riesgo en las operaciones de negocio del cliente y en la auditoría. Esto es un pre requisito para comprender los riesgos específicos de TI y cómo los auditores de TI pueden agregar más valor al auditado y a la auditoría. Orientación Esta parte hace un resumen de la mejor práctica en el momento para abordar los problemas de TI, y ofrece detalles sobre los principios fundamentales para complementar la sección anterior. Con el propósito de destacar los vínculos con el proceso de auditoría, esta parte se ha estructurado con los títulos que corresponden a las fases de la cadena de actividades de auditoría que se muestran en la siguiente figura: Referencia de Recursos
description
Riesgos de Información
Transcript of Administracion de Riesgos de Información
Estrategiade TI
Planeaciónde Auditoría
Evidenciade
Auditoría
Sesión deCierre
Informes ypresentació
n
Revisión einterpretación de
hallazgos deauditoría
BOSQUEJO
Esta guía tiene tres partes:
Bosquejo del RiesgoEsta parte explica qué papel tiene el riesgo en las operaciones de negocio del cliente y en la auditoría. Esto es un pre requisito para comprender los riesgos específicos de TI y cómo los auditores de TI pueden agregar más valor al auditado y a la auditoría.
OrientaciónEsta parte hace un resumen de la mejor práctica en el momento para abordar los problemas de TI, y ofrece detalles sobre los principios fundamentales para complementar la sección anterior.Con el propósito de destacar los vínculos con el proceso de auditoría, esta parte se ha estructurado con los títulos que corresponden a las fases de la cadena de actividades de auditoría que se muestran en la siguiente figura:
Referencia de Recursos
ADMINISTRACIÓN DE RIESGOS DE TI EN LAS AUDITORÍAS
INTRODUCCIÓN
Hoy en día la Auditoría de Sistemas adopta un enfoque basado en riesgos y, en caso quesea posible, un enfoque basado en los controles. La mayoría de las empresas utilizan laTI en todos los aspectos de sus negocios y el propósito de los auditores es identificar losriesgos de negocios relacionados con la TI y desarrollar un enfoque adecuado deauditoría.
CÓMO COMPRENDER Y EVALUAR EL RIESGO EN GENERAL
Objetivos de la Gerencia
La Gerencia es quien establece los objetivos de un negocio. También ésta consideracómo podría no llegarse a satisfacer los objetivos. Esto equivale a los riesgos denegocios. Debido a esto, instituyen pasos para minimizar los riegos, o sea, crean un plande negocios, una estrategia de mercadeo, un sistema de control interno, etc.
Existen tres categorías generales de objetivos de negocios:
o Objetivos Operativos – Estos corresponden a la efectividad y eficiencia de lasoperaciones e incluyen las metas de desempeño y rentabilidad así como el usoefectivo de los recursos.
o Objetivos de Emisión de Informes Financieros – Estos corresponden a lapreparación de informes financieros que sean confiables.
o Objetivos de Cumplimiento – Estos corresponden al cumplimiento de las leyesy regulaciones que apliquen.
Cumplimiento
Emisión deInformes
Financieros
Operativos
La mayor parte de los objetivos de la Gerencia tienden a ser operativos y, por lo tanto,la mayoría de sus actividades probablemente estén diseñadas para garantizar que susobjetivos se logren.
Las empresas, hoy en día, utilizan la TI a través de todo su negocio y, comoconsecuencia, la mayor parte de su uso de la TI está relacionado con lograr los objetivosoperativos.
Es necesario que el auditor de Sistemas de TI tenga un buen entendimiento de losobjetivos de la Gerencia de manera que pueda enfocar la auditoría y prestar servicios alcliente de la mejor manera posible.
Riesgos que Amenazan el Logro de los Objetivos
En relación con cada objetivo de negocios existen riesgos de que el negocio no logre elobjetivo. Algunos dichos riesgos pueden surgir de factores externos que estén fuera delcontrol directo de la gerencia; otros dependen de factores internos por lo que hayposibilidad que la gerencia los controle.
La Gerencia crea un proceso de evaluación de riesgos que le permite reconocer yresponder a los riesgos. Puede que éste sea formal y estructurado, o informal y sinestructura. Muchos gerentes de negocios evalúan los riesgos de manera informal yestablecen prioridades con respecto al control, sin estar conscientes de que esto es unproceso aparte.
Es necesario que el auditor de TI reconozca y comprenda eventos relevantes internos yexternos de manera que pueda:
o Interpretar el alcance de la amenaza al logro de los objetivos de la gerencia o delcambio que la gerencia pueda efectuar en su enfoque con respecto a losobjetivos:
o considerar si la reacción de la gerencia a éstos es apropiada:o considerar si representan una oportunidad para ofrecer servicios al cliente.
Reacción de la Gerencia a los Riesgos
La gerencia puede adoptar una o más de las siguientes actitudes de reaccióndependiendo de la naturaleza del riesgo y la posibilidad de que ocurra y el efecto quetenga sobre el negocio.
AceptarEvitar
Transferir Reducir
o Aceptar el Riesgo – No hacer nada.o Reducir el Efecto – Controlar el Riesgo.o Transferir el Riesgo – Obtener seguro o crear una cobertura.o Evitar el Riesgo – Declinar o cesar el involucramiento en la actividad que
implica el riesgo.
Es necesario que el auditor de TI reconozca y comprenda la reacción del cliente conrespecto al riesgo de negocios de manera que pueda determinar cómo esto afecta suauditoría y, de ser así, cómo necesita reaccionar.
Impacto de la TI
Como se explicó anteriormente, la mayor parte del uso que hace una empresa de la TIestá relacionado con el logro de los objetivos operativos. Como resultado, la mayoría delos riesgos de negocios relacionados con la TI normalmente no están vinculadosdirectamente con el proceso de emisión de informes financieros. Sin embargo, eldesarrollo de sistemas de negocios cada vez más integrado que cada vez hay menosseparación entre el sistema operativo y el financiero.
Esto significa, a su vez, que los riesgos relacionados con la TI puede que tengansolamente un impacto limitado sobre el enfoque de auditoría y, por lo tanto, se necesitajuicio para determinar el alcance de trabajo de auditoría de TI que pueda necesitarsepara respaldar la opinión de auditoría.
Sin embargo, en adición, normalmente el alcance será mucho mayor para involucrarespecialistas de Manejo de Riesgos de Información en el contexto del trabajo que sehaga.
Lo más apropiado es que los especialistas en Manejo de Riesgos de información,primeramente consideren los riesgos relacionados con la TI desde una perspectivaglobal de negocios (operativa). Una vez hecho esto, puede concentrarse la atención,según sea necesario, en áreas específicas de la auditoría y en los asuntos más generalesdel servicio al cliente.
ESTRATEGIA Y PLANEACIÓN DE AUDITORÍA
Cómo Comprender la Utilización que Hacen las Empresas de la TI
Un resumen del uso que hace las empresas de la TI en términos que no sean técnicosnormalmente contribuye grandemente a mejorar el entendimiento de la empresa, y esesencial para evaluar los riesgos de negocios relacionados con la TI. El resumennormalmente trata sobre asuntos del personal (No., localidad, responsabilidades),asuntos de tecnología (Equipo de computadores, comunicaciones) y procesos (mapa delos sistemas de alto nivel que muestre los principales sistemas de negocios, los enlacesentre ellos, la información hacia los principales sistemas financieros).
Un resumen por lo general resulta apropiado en cualquiera de las siguientes situaciones:
Cuando se realiza por primera vez una auditoría de sistemas de información; Cuando ha habido cambios en la TI o en los riesgos relacionados en la
organización de la empresa; Cuando la documentación permanente de auditoría de TI se ha hacho obsoleta
gradualmente.
Es preferible que el resumen se prepare con anticipación a las reuniones de estrategia deauditoría para que pueda considerarse el alcance de involucramiento adicional de losespecialistas.
Cómo Comprender y Evaluar los Riesgos de Negocios Relacionados con la TI
La evaluación del riesgo es una función importante de la gerencia, quien debeconsiderar el riesgo desde una perspectiva de negocios y en el contexto de sus objetivosde operación, de emisión de informes financieros y de cumplimiento.
Para el auditor de TI, evaluar el riesgo es una parte esencial de su estrategia yplaneación de auditoría. Definitivamente, le interesa conocer los riesgos globales denegocios que la empresa encara y utiliza es información para concentrar su servicioglobal de auditoría.
La TI y los Sistemas de Información tienen ciertos riesgos que se relacionan con su uso.No obstante el uso generalizado de la TI en las organizaciones hoy en día, no evalúan ensu justa medida los riesgos, algunas veces críticos, de la TI y el impacto potencial queéstos pueden tener tanto en el negocio como en la auditoría. Por otra parte, las empresasnormalmente utilizan la TI para controlar los riesgos de negocio de manera másefectiva, más eficiente y más económica que antes.
Por lo tanto, usualmente es necesario considerar los diversos riesgos relacionados con laTI como parte del proceso de auditoría y de estrategia y planeación. Al hacerlo, seconsideran los siguientes factores de riesgo:
1. Dependencia de TI: Grado de automatización; Complejidad y Sofisticación; Usoy Sensibilidad de los datos; Tiempo que se puede funcionar sin TI.
2. Cambios en TI: Proyectos principales, nuevos sistemas; Versiones de paquete encomparación con las creadas para un propósito; Introducción de nuevatecnología; Rediseño de procesos de negocios.
Factores deRiesgo de TI
Dependenciade TI
Cambios enTI
Habilidadesy Recursos
de TI
Concentración de
Negocios
Confiabilidad en TI
TI Externa
3. Habilidades y Recursos de TI: Habilidades actualizadas; Recursos encomparación con la carga de trabajo; Estructura Gerencial; Rotación delpersonal clave.
4. Concentración de Negocios: Estrategia de TI guiada por el negocio;Conocimiento de TI de la Gerencia principal; Necesidades presentes encomparación con funcionalidad de la TI; Legislación y regulaciones; Motivaciónpara cometer fraude.
5. Confiabilidad en TI: Complejidad; Integración en comparación confragmentación; Errores / intervención manual; Sistemas viejos de herencia.
6. TI Externa: Delegación de funciones a terceros; Servicios de asistencia decomputadoras; Proveedores de programas; Computación de usuarios.
Cuando la evaluación preliminar de los riesgos relacionados con la TI sea alta (basadaen un riesgo importante de un factor o una combinación de riesgos de diversos factores),el auditor de TI ayuda a evaluar el impacto de ello. Planea cualquier trabajo de auditoríade TI que sea apropiado, y puede contribuir a identificar las soluciones pertinentes.
Los resultados de este proceso , el auditor de TI, puede documentarlos en un formularioestructurado, como una matriz de asuntos de TI (Matriz de Riesgos), que actualizaposteriormente durante la auditoría con los resultados del trabajo adicional. La matrizmuestra los riesgos identificados, el trabajo realizado (ya sea como parte de obtenerevidencia de auditoría o para proveer parte del servicio de auditoría), y las conclusionesalcanzadas. La matriz puede entonces trasladarse a auditorías futuras.
Ejemplo: El factor del riesgo que tiene mayor posibilidad de tener un impacto significativosobre una empresa, es un proyecto para implementar nuevos sistemas. Las encuestasmuestran que más del 60% de los proyectos importantes de TI encaran gravesproblemas (sobre pasan el presupuesto, no logran cierto objetivo importante o sedesiste de ellos). Observe que esto no necesariamente tiene un impacto directo sobreel trabajo que es necesario efectuar para respaldar la opinión de auditoría, pero confrecuencia preocupa grandemente a la empresa auditada (desde la perspectiva denegocios de la gerencia) y puede dar lugar a un mejoramiento significativo deldesempeño y a oportunidades de prestar nuevos servicios de auditoría de TI. Tambiénpueda que tenga un impacto sobre la continuidad de los procesos y el mantenimientoadecuado de registros.
Las seis razones principales de que ocurran problemas significativos son:1. que los objetivos del proyecto no estén completamente especificados;2. que la planeación y estimación sean deficientes;3. que la tecnología sea nueva para la organización;4. que el proyecto esté administrado de manera inadecuada;5. que no se involucre suficiente personal especializado;6. que no se cuente con el apoyo de los proveedores de equipos y programas
de computadoras.
Mientras más alta sea la evaluación preliminar de los riesgos relacionados con la TI,mayor es la posibilidad de que se requiera a un auditor de TI para asistir en laevaluación de riesgos adicionales y controles posteriormente a la fase de estrategia.
Controles Generales de TI
En caso que una auditoría tradicional haya terminado, se requiere de un auditor de TI(debido a que el riesgo relacionado con TI es alto), lo más recomendado es que elAuditor de TI considere los controles generales de TI. Esto se requiere para laDocumentación de Controles Generales como parte de la planeación. La revisión yevaluación de los controles generales de TI deben llevarse a cabo con el contexto delriesgo de auditoría y los objetivos de auditoría relevantes.
La consideración de los objetivos relevantes de auditoría y el riesgo específico de TIrelacionado con dichos objetivos pueden resultar en una concentración mayor o menoren ciertas plataformas de equipos y programas y en aspectos específicos de los controlesgenerales de TI destinados generalmente a tales plataformas. Esto también suele ser unfactor al evaluar los resultados de la revisión debido a que la naturaleza y el alcance delos problemas identificados pueden tener un impacto diferente sobre los objetivosrelevantes de Auditoría. Por ejemplo, en caso que el control de los cambios de sistemassea generalmente efectivo, pero las pruebas de los sistemas sean débiles, puede que senecesiten pruebas substantivas adicionales si el cliente utiliza un cálculo muy complejo,diseñado internamente para calcular la información que sea significativa o crítica para laauditoría. Una debilidad de este tipo no presenta un problema tan grave cuando elcálculo no es ni crítico ni complejo o cuando el sistema proviene de un paquetereconocido y que se usa comúnmente.
La tabla que se presenta a continuación ilustra la relación que existe entre los siguientestres factores:
Riesgo de TI – el nivel de riesgo de negocios relacionados con el uso de la TIpor la empresa.
Control de TI – la efectividad de los controles establecidos para mitigar el riesgode TI.
Impacto – el impacto global sobre la empresa de la combinación específica deriesgo y control.
Observe que la combinación específica de riesgo y control puede que no tenga unimpacto directo en el trabajo que el auditor de TI necesita hacer para respaldar laopinión de auditoría, pero suele preocupar a la empresa auditada.
Riesgo de TI Control de TI
Fuertes Medianos DébilesAltoModeradoBajo
Impacto
Bajo
Moderado
Alto
Observe que esto tiene el solo propósito de servir de orientación general. En todos loscasos, debe emplearse juicio profesional y, en caso que sea apropiado (normalmentecuando el impacto es alto o moderado), debe consultarse al auditor de TI. Lashabilidades y experiencias del auditor de TI contribuirán a garantizar que se haganjuicios sensatos.
Para evaluar los riesgos relacionados con TI y evaluar los controles generales de TI, losAuditores de TI utilizan diversas herramientas que incluyen su programa deestablecimiento de puntos de referencia y la base de datos correspondientes, las listas deverificación de Revisión de Controles de TI y las Notas de Manejo de Riesgos deInformación. Dichas herramientas le facilitan poder proveer servicios de calidad a laempresas que se auditan.
Específicamente, la herramienta de establecimiento de puntos de referencia hace posibleque el auditor de TI compare los niveles de riesgo y control de TI de la empresaauditada con organizaciones similares (tamaño, industria o tecnología). Por lo tanto, lasconclusiones alcanzadas y las recomendaciones hechas son prácticas y comerciales yevitan comentarios de tipo “libro de texto”. En adición, esta herramienta genera unproducto gráfico que es fácil de entender y útil para las presentaciones a la empresa.
Información y Comunicación
La ‘información’ se refiere a la información que hace posible que el negocio seconduzca y se administre. La ‘Comunicación’ provee tal información según seaapropiado: hacia los niveles inferiores de una organización, a través de los niveles deigual importancia y hacia los niveles más altos, al igual que externamente. Lainformación y la comunicación existen en dos niveles:
1. A nivel de la entidad – la Gerencia recibe información de los sistemasindividuales de información y otras fuentes y vigila y administra el negocio;
2. A nivel de las actividades – los sistemas individuales de información respaldanlas actividades individuales. Un sistema de información financiera, tal como elsistema de ventas, existe al nivel de las actividades.
Cuando se realiza una auditoría de estados financieros o contable, en la mayoría de loscasos es necesario involucrar al auditor de TI, para que respalde y garantice que ladocumentación proporcionada está completa. Los siguientes son algunos ejemplos decasos en que la asistencia auditor de TI puede ser útil:
Casos en que los sistemas involucran el uso de tecnología más avanzada conrespecto a la que no se ha desarrollado aún controles maduros, ya sea de manerageneral o en el caso de una empresa específica.
Casos en que los sistemas son muy viejos, están fragmentados y son complejos,lo que los hace difíciles de comprender.
Casos en que los sistemas están altamente automatizados y/o integrados conpista limitadas de auditoría que están “impresas” (sistemas automatizados depago o sistemas automatizados de pedidos y control de inventario / almacenaje).
Cómo Presentar los Resultados – Los Riesgos y Controles y los Sistemas
Los resultados de las evaluaciones de riesgo y evaluaciones e control puedendocumentarse en diversas formas, desde notas narrativas hasta matrices de riesgo ydiagramas que muestran puntos de referencia de los riesgos y controles de las empresasauditadas en comparación con entidades similares en su industria. El enfoque adoptadolo determinan los requisitos de la auditoría, la cantidad de tiempo y presupuestodisponibles, las expectativas de la empresa y las habilidades del auditor de TI.
Independientemente del enfoque, es esencial llegar a conclusiones precisas queidentifiquen las fortalezas y debilidades relativas conjuntamente con el impacto deauditoría y las medidas que se tomen. También puede que sea posible, en los trabajosque se continúan, identificar tendencias, por ejemplo, si los controles están mejorando,están estables o se están deteriorando.
Resumen
En resumen, la calidad de asesoramiento que provenga de los auditores de TI dependede la calidad de la información y antecedentes que se le provea, de cuánto se involucrenen el proceso de estrategia y planeación y cuán familiarizados estén con el negocio de laempresa auditada.
EVIDENCIA DE AUDITORÍA, REVISIÓN E INTERPRETACIÓN
Introducción
Existen diversas actividades que respaldan las fases de evidencia de auditoría, revisión einterpretación. Entre ellas se encuentran las técnicas de análisis de datos y emisión deinformes, que son áreas en las que normalmente es beneficioso que se involucre a unauditor de TI.
Técnicas de Análisis de Datos y Emisión de Informes
Una auditoría enfatiza el uso de la experiencia, la pericia y juicio de todo el personal dela misma. Esto normalmente requiere un análisis a fondo y emisión de informes dedatos para concentrar los esfuerzos y juicio. Las técnicas características de análisis dedatos y emisión de informes de datos del cliente por medio de herramientas tales comoel Lenguaje de Comando de Auditoría (conocido por sus siglas en inglés, ACL),Microsoft Excel o herramientas TAAC (Técnicas Auditoría Asistida por Computadora).
Cuándo deben usurase las técnicas de análisis de datos y emisión de informes
Las técnicas de análisis de datos y emisión de informes han de mejorar la calidad de laevidencia de auditoría o reducir el costo de obtenerla. Puede que dichas técnicas no seanrelevantes a la auditoría de las transacciones rutinarias procesadas sistemáticamente, enlas que el enfoque de auditoría más eficiente sea comprobar los controles y confiar enellos. Pero las técnicas de análisis y de emisión de informes pueden añadir valor en unenfoque de auditoría basado en los sistemas, siempre que se requiera evidenciaindependiente para respaldar el juicio o cuando sea necesario identificar transaccionespoco comunes con diferencias pequeñas; o sea, en el caso de transacciones no rutinariasy estimaciones contables. El auditor debe concentrarse en estos aspectos cuandoconsidere el uso de tales técnicas. Como ejemplo podríamos citar las TAAC paracomprobar el análisis de antigüedad del inventario, la fijación de precios del inventarioy las provisiones para éste o para informar sobre transacciones grandes o poco comunesque ocurran próximas al final del período.
Quiénes deben efectuarlas
La mayoría de las técnicas de análisis de datos y de emisión de informes debenefectuarlas individuos que no sean especialistas, pero que tengan las habilidades y elentrenamiento apropiados. Pero es recomendable que el auditor de TI participe endichas tareas, sobre todo cuando la auditoría se realiza por primera vez en una empresa.He aquí tareas específicas con las que los auditores de TI pueden asistir o que puedendesempeñar:
Evaluar los beneficios posibles de utilizar herramientas de análisis de datos yemisión de informes, incluso las TAAC.
Identificar los archivos de datos, registros y campos específicos que se requierenpara satisfacer los objetivos.
Evaluar la accesibilidad de los datos. Identificar el programa de computadora que sea más apropiado. Establecer contacto con la gerencia financiera y de TI de la empresa para
confirmar los requisitos técnicos.
Asegurarse que los datos que se obtengan estén completos y exactos mediantereferencia a los conteos del registro y totales de control.
Controlar los datos que se extraigan de estructuras de archivos o bases de datoscomplejas.
Conciliar la información relevante de control y explicar completamente lasdiferencias.
Evaluar la utilidad del sistema propio de emisión de informes de la empresaauditada.
Revisar e interpretar lo generado por las técnicas empleadas. Preparar la mínima cantidad necesaria de papeles de trabajo para garantizar que
la técnica que se utilice se documente debidamente para la revisión y eficienciao para uso futuro.
Requisitos de Confirmación
Aún cuando los auditores confíen en que la empresa le provea los archivos de datos parasu uso, es necesario confirmar los requisitos técnicos por escrito. También es importanteque el auditor especifique independientemente la lógica del procesamiento, basado en elentendimiento del proceso o procedimiento sometido a prueba. Es necesario abordarambas preguntas: ¿la empresa está haciendo lo que debe hacer?, ¿lo está haciendo bien?.
De no ser así, podrían surgir problemas relacionados con nuestro uso de tales técnicas.Los problemas que normalmente son que se recibe la información correcta pero llevadaa la fecha incorrecta, información incompleta, información que se encuentra en formatoilegible, volúmenes inesperadamente altos de información o demoras en la informaciónque se provee.
