Riesgos a considerar en la Auditoria de Sistemas

Introducción

Los profundos cambios que ocurren hoy, su complejidad y la velocidad con los que se dan, son las raíces de la incertidumbre y el riesgo que las organizaciones confrontan. Las fusiones, la competencia global y los avances tecnológicos, las desregulaciones, y las nuevas regulaciones, el incremento en la demanda de los consumidores y de los habitantes, la responsabilidad social y ambiental de las organizaciones así como, la transparencia generan un ambiente operativo, cada día más riesgoso y complicado, surgiendo en adición nuevos retos con los cuales lidiar, resultado de los problemas que se presentan en las organizaciones que operan al margen de la ley o de conductas éticas.

La Auditoría es un proceso sistemático, practicado por los auditores de conformidad con normas y procedimientos técnicos establecidos, consistente en obtener y evaluar objetivamente las evidencias sobre las afirmaciones contenidas en los actos jurídicos o eventos de carácter técnico, económico, administrativo y otros, con el fin de determinar el grado de correspondencia entre esas afirmaciones, las disposiciones legales vigentes y los criterios establecidos. es aquella encargada de la valoración independiente de sus actividades. Por consiguiente, la Auditoría debe funcionar como una actividad concebida para agregar valor y mejorar las operaciones de una organización, así como contribuir al cumplimiento de sus objetivos y metas; aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y dirección.

Riesgos a considerar en la Auditoria de Sistemas

Es bien sabido para un auditor, especialmente de sistemas, los riesgos son una parte que siempre van a estar presente, dado que no siempre se encuentran errores o fallas mayores que puedan cambiar completamente las opiniones expresadas en el informe, los auditores pueden siempre tener el riesgo de divulgar información errónea. Por otra parte, la posibilidad de encontrar errores puede ocurrir en diferentes niveles, por lo que se debe analizar de la forma más adecuada para observar el impacto de cada nivel en la auditoría a realizar.

Un riesgo de auditoría es aquel que existe en todo momento por lo cual se genera la posibilidad de que un auditor emita una información errada por el hecho de no haber detectado errores o faltas significativas que podría modificar por completo la opinión dada en un informe.

La posibilidad de existencia de errores puede presentarse en distintos niveles, por lo tanto, se debe analizar de la forma más apropiada para observar la implicación de cada nivel sobre las auditorias que vayan a ser realizadas

Existen diferentes situaciones o eventos que dan lugar a diferentes formas de trabajar y permiten determinar el nivel de riesgo para cada situación en particular. Por esta razón, un proceso de auditoría que incluya problemas de detección, cuando la información no se analiza de manera adecuada, ciertamente no ayudará a detectar los riesgos inherentes y los riesgos de control que enfrenta la información de la entidad, lo que puede llevar a dar un dictamen incorrecto de la situación.

Generalmente se habla de Riesgo y conceptos de Riesgo en la evolución de los Sistemas de Control Interno, en los cuales se asumen tres tipos de Riesgo:

Riesgo inherente

Este tipo de riesgo tiene ver exclusivamente con la actividad económica o negocio de la empresa, independientemente de los sistemas de control interno que allí se estén aplicando.

Si se trata de una auditoría financiera es la susceptibilidad de los estados financieros a la existencia de errores significativos; este tipo de riesgo está fuera del control de un auditor por lo que difícilmente se puede determinar o tomar decisiones para desaparecer el riesgo ya que es algo innato de la actividad realizada por la empresa.

Entre los factores que llevan a la existencia de este tipo de riesgos esta la naturaleza de las actividades económicas, como también la naturaleza de volumen tanto de transacciones como de productos y/o servicios, además tiene relevancia la parte gerencial y la calidad de recurso humano con que cuenta la entidad.

Riesgo de control

El auditor, o la misma organización, puede perder el control, o no hacer el control necesario en el proceso de auditoría, por lo que esta cumplirá con su objetivo de detectar las distintas situaciones e irregularidades que se pueden tener en la empresa u organización auditada.

Aquí influye de manera muy importante los sistemas de control interno que estén implementados en la empresa y que en circunstancias lleguen a ser insuficientes o inadecuados para la aplicación y detección oportuna de irregularidades.

Es por esto la necesidad y relevancia que una administración tenga en constante revisión, verificación y ajustes los procesos de control interno.

Cuando existen bajos niveles de riesgos de control es porque se están efectuando o están implementados excelentes procedimientos para el buen desarrollo de los procesos de la organización. Entre los factores relevantes que determina este tipo de riesgo son los sistemas de información, contabilidad y control.

Riesgo de detección

Este tipo de riesgo está directamente relacionado con los procedimientos de auditoría por lo que se trata de la no detección de la existencia de errores en el proceso realizado. La responsabilidad de llevar a cabo una auditoria con procedimientos adecuados es total responsabilidad del grupo auditor, es tan importante este riesgo que bien trabajado contribuye a debilitar el riesgo de control y el riesgo inherente de la compañía.

Es por esto que un proceso de auditoría que contenga problemas de detección muy seguramente en el momento en que no se analice la información de la forma adecuada no va a contribuir a la detección de riesgos inherentes y de control a que está expuesta la información del ente y además se podría estar dando un dictamen incorrecto.

Normas generales de las distintas metodologías de la auditoría en sistemas

Las normas de auditoría son los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña ya la información que rinde como resultado de este trabajo.

Las normas de auditoría se clasifican en:

Normas personales

Son cualidades que el auditor debe tener para ejercer sin dolo una auditoría, basados en un sus conocimientos profesionales así como en un entrenamiento técnico, que le permita ser imparcial a la hora de dar sus sugerencias.

Normas de ejecución del trabajo

Son la planificación de los métodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditoría.

Normas de información

Son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo, también es conocido como informe o dictamen.

Objetivos de control de la metodología de auditoría

Evaluar las políticas generales acerca del ambiente laboral, desempeño, planeación, capacitación y cualificación, motivación y remuneración del personal de la organización.

Evaluar las políticas que tiene la organización con respecto al software, hardware, desarrollo y mantenimiento de los sistemas de información.

Evaluar las políticas de la organización que tienen con respecto a la seguridad tanto de la planta física, como de respaldo de la información.

Evaluar los recursos tecnológicos e informáticos de la organización.

Analizar cómo se concibe dentro de la organización la implementación y funcionalidad del sistema de aseguramiento de la información.

Una vez establecidos los objetivos, se procede a preparar planes, programas y presupuestos para la auditoría. Algunos aspectos a considerar en esta etapa son: las actividades a realizar, el personal responsable de realizar dichas actividades, recursos materiales y de tiempo, el proceso del evento como guía, los recursos humanos, materiales e informáticos estimados a utilizar, el tiempo estimado para las actividades y la auditoría, auditores responsables y participantes del evento; así como otras especificaciones de los procedimientos de auditoría.

Recopilación de la documentación y evidencias de la auditoria

La documentación en la auditoría son registros de los procedimientos realizados, la evidencia relevante obtenida de la auditoría y las conclusiones alcanzadas por los auditores

Una documentación es un registro de las actividades realizadas, los procedimientos utilizados para obtener evidencia y las conclusiones de las actividades. Para ello, el auditor debe desarrollar documentos que incluso quienes no están involucrados en el proceso pueden entender y enfatizar los resultados obtenidos. El documento se convierte en un elemento importante en la auditoría porque registra todas las actividades que se han realizado, los procedimientos para obtener evidencia y las conclusiones de las actividades. García, S (2013) indica que “los documentos preparados se identifican también por el grado de agregación o desagregación informativa que recogen”.

Evidencias

Es la información utilizada por el auditor para alcanzar las conclusiones en las que basa su opinión y sustenta el informe de auditoría.



Suficiente: medida cuantitativa, referida a la cantidad de evidencia obtenida.



Apropiada: medida cuantitativa, referida a la relevancia, fiabilidad y lagalmente valida.

Fallas y debilidades del sistema computacional

Son muchas las vulnerabilidades y amenazas informáticas a las que están expuestas las empresas en la actualidad. Por eso la inversión en ciberseguridad y sistema de protección ha experimentado un gran aumento en los últimos años, siendo los profesionales en ciberseguridad uno de los perfiles más buscados en el sector de la informática.

Vulnerabilidades del sistema

 Errores de configuración.

 Errores en la gestión de recursos.

 Errores en los sistemas de validación.

 Errores que permiten el acceso a directorios.

 Errores en la gestión y asignación de permisos.

Amenazas de ataques de denegación de servicio

Amenazas de Malware

 Virus: Los virus informáticos son un software que se instalan en un dispositivo con el objetivo de ocasionar problemas en su funcionamiento.

 Gusanos: Es uno de los malware más comunes que infectan los equipos y sistemas de una empresa, ya que no requieren de la intervención del usuario ni de la modificación de algún archivo para poder infectar un equipo.

 Troyanos: Los troyanos son programas que se instalan en un equipo y pasan desapercibidos para el usuario.

 Ransomware: Consiste en encriptar toda la información de la empresa, impidiendo el acceso a los datos y los sistemas y se pide un rescate para poder liberar la información.

 Keyloggers: Se instalan a través de troyanos y se encargan de robar datos de acceso a plataformas web, sitios bancarios y similares.

Técnicas y herramientas necesarias para identificar los riesgos a que está expuesta la información

Para identificar y evaluar los posibles riesgos que puedan existir en un sistema ya sea durante o no de una auditoria, la norma ISO 31010 tiene normalizadas (valga la redundancia) ciertas herramientas.

 Los check-lists son una de ellas, una manera bastante sencilla de determinar un riesgo. Esta técnica genera una lista de incertidumbres generales a ser consideradas. Los usuarios buscan listas, códigos o estándares desarrollados previamente.

 Están los sistemas SWIFT, esto es un sistema que permite a los equipos identificar los peligros asociados con el análisis de riesgos y las decisiones técnicas. Así como los análisis mediante árbol de errores; diseñados para identificar todas las formas en que esto puede suceder, comenzando con el evento inesperado. Estos eventos se muestran gráficamente en un diagrama de árbol lógico. Una vez generado el árbol de errores, conviene examinar las posibilidades de minimizar o eliminar las posibles causas / fuentes

 También están, los diagramas de causa y efecto; donde los efectos pueden incluir varios elementos que se pueden agrupar en diferentes categorías. Estos elementos generalmente se representan como

estructuras en "espina de pescado" identificadas mediante una lluvia de ideas. Esto puede revelar la raíz de los problemas y los cuellos de botella en su proceso.

 Otra herramienta es AMDEC (Metodología de análisis de errores y efectos); este método identifica y analiza las posibles fallas, sus mecanismos y sus impactos. Principalmente, se utiliza en el diseño de componentes, productos, sistemas, fabricación, procesos de montaje, servicios y software.

 Por último, ejemplo se tiene al análisis funcional del comportamiento (HAZOP). La identificación de posibles desviaciones del desempeño esperado o deseado es un proceso común de identificación de riesgos. Se utiliza bastante para detectar inestabilidad en plantas industriales debido a procesos operativos o productivos.

Referencias Bibliográficas

Alvarez Basaldúa, L. D. (2005). Seguridad en informática: auditoría de sistemas. Página Web en Línea. Disponible en:

https://ri.ibero.mx/bitstream/handle/ibero/1010/014663_s.pdf?sequence=1

Consultado: [marzo, 2023]

Barrio, J. F. V. (1999). La auditoría de los sistemas de gestión de la calidad. FC editorial. Página Web en Línea. Disponible en:

https://books.google.es/books?hl=es&lr=&id=oRg7CUUrgdcC&oi=fnd&pg=PA7&dq= auditor%C3%ADa+de+sistemas&ots=060vB5XmBn&sig=Xtq9qcZkp1yRQi_2eYpMaK

WMU6o#v=onepage&q=auditor%C3%ADa%20de%20sistemas&f=false

Consultado: [marzo, 2023]

Copyright. 14 métodos y herramientas para gestionar el riesgo. Página Web en Línea. Disponible en:

https://www.piranirisk.com/es/academia/especiales/14-metodos-y-herramientaspara-gestionar-el-riesgo Consultado: [marzo, 2023]

Copyright. 7 herramientas para la evaluación de riesgos. Página Web en Línea. Disponible en: https://www.ealde.es/herramientas-evaluacion-de-riesgos/ Consultado: [marzo, 2023].

Copyright. Auditoría informática. Página Web en Línea. Disponible en: https://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica Consultado: [marzo, 2023].

Copyright. Riesgos de auditoría y sus tipos. Página Web en Línea. Disponible en: https://www.gerencie.com/tipos-de-riesgos-de-auditoria.html Consultado: [marzo, 2023].

marcus. Planificación. Página Web en Línea. Disponible en: https://www.monografias.com/trabajos82/planificacion-auditoria/planificacionauditoria2.shtml Consultado: [marzo, 2023].

Naranjo, A. (2009). Conceptos de la auditoria de sistemas. El Cid Editor. Página Web en Línea. Disponible en: https://d1wqtxts1xzle7.cloudfront.net/48105921/Auditoria_de_Sistemaslibre.pdf?1471399885=&response-contentdisposition=inline%3B+filename%3DAuditoria_de_Sistemas.pdf&Expires=16778975

95&Signature=R8VpxWFFSRs8nzDEHVldbjCqgKixdQ4sO-Cib~jS9XQvL~p~OrOPkQqslNhr0~gbwCKPUg9YGdnCxDrvrVc6E6iuIcqe4nmlfRKqRqBu6XGOeW11GBk1JG136etP ar8EcOCF3aVo5f-

YY9Rmyx3wTL5c2ZXqLacX0SuYY4RfItloExLt0FagY2BikURcgDJhHCEhqEmAMHdeHM0 d1Pd30s8oJHr8xQTY7i3cs4-wD3m-~-gaIAcDkwlhhTmnQVQoOCCqZ~wYAArxiLw9C~VMA8kUcdBZALVwmItU3bbIrcjQhi9wmmuhiUaCG1p3JfBTL8hPkU0XVM8WXvSjJ5Q__&Key-PairId=APKAJLOHF5GGSLRBV4ZA Consultado: [marzo, 2023].

Razo, C. M. (2002). Auditoría en sistemas computacionales. Pearson Educación. Página Web en Línea. Disponible en:

https://books.google.es/books?hl=es&lr=&id=3hVDQuxTvxwC&oi=fnd&pg=PR11&dq =auditor%C3%ADa+de+sistemas&ots=3gRornwToj&sig=XXVc5xmDuIguEalS3u5KvER09E#v=onepage&q=auditor%C3%ADa%20de%20sistemas&f=false Consultado: [marzo, 2023]

Tamayo Alzate, A. (2003). Auditoría de sistemas una visión práctica. Facultad de Ingeniería y Arquitectura. Página Web en Línea. Disponible en:

https://repositorio.unal.edu.co/handle/unal/60273 Consultado: [marzo, 2023].

Villar, A. Importancia de la Evidencia y Documentación de Auditoría para las Empresas. Página Web en Línea. Disponible en:

https://repository.ucc.edu.co/bitstream/20.500.12494/19881/4/2020_importancia_e videncia_documentaci%C3%B3n.pdf Consultado: [marzo, 2023].