comunes del negocio, los riesgos de TI relacionados y los controles relevantes.

También deben ser

capaces de evaluar la valoración de riesgos y las técnicas de gestión usadas por los gerentes del negocio
así como valorar el riesgo como ayuda para determinar el enfoque y planificar el trabajo de auditoría.
Además de una comprensión de los riesgos del negocio y su control, los auditores de SI deben entender
que existe riesgo dentro del proceso de auditoría.
Riesgo es la combinación de la probabilidad de un evento y sus consecuencias (Organización
Internacional de Normalización) [ISO] 31000.2009. Gestión de riesgos: Principios y directrices/Guía ISO
Guide73:2009: Gestión de riesgos-Vocabulario). Los riesgos del negocio pueden impactar negativamente
los activos, procesos u objetivos de una organización o negocio específico. El auditor de SI, a menudo, está
centrado en asuntos de alto riesgo asociados a la confidencialidad, la disponibilidad o la integridad de
información sensible y crítica, y a los sistemas y procesos subyacentes de información, que generan,
almacenan y manipulan dicha información.
Durante la revisión de esos tipos de riesgos de negocio relacionados con TI los auditores de SI deben
frecuentemente analizar la efectividad del proceso de gestión de riesgos que sigue la organización.
Al analizar los riesgos del negocio que surgen con el uso de tecnologías de la información (TI), es
importante que el auditor de SI tenga una comprensión clara de los siguientes aspectos:

• Procesos de gestión de riesgos de la industria y/o aceptados internacionalmente

• El propósito y la naturaleza del negocio, el entorno en el que opera el negocio y los riesgos del negocio
relacionados

• La dependencia de la tecnología para procesar y entregar información del negocio

• Los riesgos para el negocio que supone el uso de TI y cómo impactan en el logro de las metas y los
objetivos del negocio
• Una buena visión general de los procesos del negocio y del impacto de TI y los riesgos relacionados en
los objetivos de los procesos del negocio
Existen muchas definiciones de riesgo, lo que quiere decir que tiene distintos significados para diferentes
personas. Tal vez una de las definiciones de riesgo más holística en el mundo comercial de seguridad de
la información deriva de NIST Special Publication 800-30 Revision 1 Guide for Conducting Risk
Assessments:
Efectos adversos que pudieran ocurrir... a las operaciones de la organización (incluyendo misión,
funciones, imagen, reputación), activos de la organización, individuos, otras organizaciones... debido al
potencial para acceso, uso, divulgación, interrupción, modificación o destrucción no autorizada de la
información y/o de los sistemas de información.
Esta definición es usada comúnmente por la industria de TI porque coloca al riesgo en un contexto
organizacional usando los conceptos de activos y pérdida de valor, términos que los gerentes del negocio
comprenden fácilmente.
El proceso de evaluación del riesgo se caracteriza como un ciclo de vida iterativo que comienza
identificando los objetivos del negocio, los activos de información y los sistemas o recursos
de
información subyacentes que generan/almacenan, usan o manipulan los activos clave (hardware,
software, bases de datos, redes, instalaciones, personas, etc.) para lograr estos objetivos. Debido a que
los riesgos de TI son dinámicos, es clave que la gerencia reconozca la necesidad de un proceso dinámico
de gestión de riesgos de TI y que establezca un proceso de este tipo que respalde el proceso de gestión de
riesgos del negocio. Después de que se identifican los activos de información sensible o crítica, se realiza
una evaluación del riesgo para identificar las vulnerabilidades y amenazas y determinar la probabilidad
de que ocurran, el impacto resultante y las medidas adicionales que mitigarían este impacto a un nivel
aceptable para la dirección.
Luego, durante la etapa de mitigación de riesgos, se identifican los controles para mitigar los riesgos
identificados. Estos controles son contramedidas para la mitigación de riesgos que buscan prevenir o
reducir la probabilidad de que ocurra un evento de riesgo, detectar la ocurrencia del mismo, minimizar el
impacto
o transferir el riesgo a otra organización.
La evaluación de contramedidas debería realizarse mediante
un análisis costo-beneficio, en el que los
controles para mitigar riesgos se seleccionan de manera que se logre reducir los riesgos hasta un nivel
aceptable para la gerencia. Este proceso de análisis puede basarse en cualquiera de las siguientes
opciones:

• El costo del control comparado con el beneficio de minimizar el riesgo

• La tolerancia a riesgos de la gerencia (por ejemplo, el nivel de riesgo residual que la gerencia está
preparada para aceptar)
• Métodos preferidos de reducción de riesgos (por ejemplo, eliminar el riesgo, minimizar la probabilidad
de ocurrencia, minimizar el impacto, transferir el riesgo a través del seguro)
La etapa final se relaciona con el monitoreo de los niveles de desempeño de los riesgos gestionados
cuando se identifiquen cambios significativos en el ambiente, que darían lugar a 
una nueva evaluación
del riesgo, con lo que se garantizan cambios a su ambiente de control. Ello abarca tres procesos:
evaluación del riesgo, mitigación del riesgo y reevaluación
del riesgo, para determinar si el riesgo se
está mitigando hasta un nivel aceptable para la gerencia. Se debe señalar que, para
ser efectiva, la
evaluación del riesgo debe ser un proceso continuo en una organización que se esfuerza por identificar y
evaluar constantemente los riesgos a medida que éstos surgen y evolucionan. Consulte la figura 1.3 para
obtener un resumen del proceso de gestión de riesgos.

Desde la perspectiva del auditor de SI, el análisis de riesgos tiene más de un propósito:

• Apoya al auditor de SI en la identificación del riesgo y de las amenazas para un ambiente de TI y los
sistemas de SI, que debe tratar la gerencia, y en la identificación de los controles internos específicos del
sistema. Dependiendo del nivel de riesgo, este análisis apoya al auditor de SI en la selección de ciertas
áreas para examinar.
• Ayuda al auditor de SI en su evaluación de los controles durante la planificación de la auditoría.
• Apoya al auditor de SI a determinar los objetivos de la auditoría.
• Respalda la toma de decisiones de la auditoría basada en riesgos.
La figura 1.4 describe los procesos específicos utilizados por el auditor de SI para concretar los objetivos
descritos anteriormente

Todos los documentos fuente deben estar controlados de manera apropiada. Se deben establecer
procedimientos para garantizar que todos los documentos de origen se hayan introducido y tomado en
cuenta. La numeración previa de los documentos fuente facilita este control.
Controles de procesamiento por lotes y de balance
Los controles de procesamiento por lote agrupan las transacciones de entrada para proveer totales de
control. El control de procesamiento por lote puede estar basado en un importe monetario total, el total
de elementos, el total de documentos o totales de comprobación (hash totals).
Los formularios que encabezan el lote son un control de preparación de datos. Todos los formularios a
ingresar o capturar en el sistema deben estar identificados con claridad con el nombre de la aplicación y
los códigos de transacción. Cuando sea posible, se recomienda que los formularios sean preimpresos y
prenumerados con los códigos de identificación de transacción y otros datos constantes. Esto ayudaría a
asegurar que se hayan registrado todos los datos pertinentes en los formularios de entrada y puede
reducir los errores de registro/entrada de datos.
Los tipos de controles de procesamiento por lote incluyen:
•
Importe monetario total-Verificación de que el valor monetario total de los elementos procesados es
igual al valor monetario total de los documentos del lote. Por ejemplo, el valor monetario total de las
facturas de venta en el lote coincide con el valor monetario total de las facturas de venta procesadas. Esto
proporciona garantías sobre la integridad y exactitud del valor de ventas procesado para el lote.
•
Total de elementos-e-Verificación de que el número total de los elementos incluidos en cada documento
del lote concuerda con el número total de los elementos procesados. Por ejemplo, el número total de
unidades ordenadas en el lote de facturas concuerda con el número total de unidades procesadas. Esto
proporciona garantías sobre la integridad y exactitud de las unidades solicitadas en el lote procesado.
•
Total de documentos-Verificación de que el número total de documentos en el lote concuerda con el
número total de documentos procesados. Por ejemplo, el número total de facturas en un lote concuerda
con el número total de facturas procesadas. Esto proporciona garantías sobre la integridad de la cantidad
de facturas procesadas.
•
Totales de comprobación (hash totals)--Verificación de que el total en un lote coincida con el total
calculado por el sistema. El total de comprobación es el total de los campos numéricos sin valor en el lote
(como el total de fechas o campos de números de clientes, que por sí solos, no poseen valor informativo).
Esto proporciona garantías sobre la integridad y exactitud de los datos ingresados para los campos
numéricos en el lote.
El balance entre lotes se puede realizar a través de
reconciliación manual o automatizada. La suma total del
lote debe estar combinada con procedimientos adecuados de
seguimiento. Deben existir controles adecuados para asegurar
que cada transacción crea un documento de entrada, que todos
los documentos están incluidos en un lote, que todos los lotes
son remitidos para su procesamiento, que todos los lotes son
aceptados por la computadora, que se realice la reconciliación del lote, que se sigan los procedimientos
para investigación y corrección oportuna de las diferencias y que existan controles para el
reprocesamiento de los elementos rechazados.
Los tipos de balance de lotes incluyen:
•
Registros por lotes-Estos registros permiten la captura de los totales de los lotes y posterior comparación
con los totales reportados por el sistema.
•
Cuentas de control-Una cuenta de control se utiliza mediante el uso de un archivo inicial de edición con el
cual se verifican los totales por lote. Los datos son luego procesados para el archivo maestro y se realiza
una reconciliación entre los totales procesados para el archivo inicial de edición y para el archivo
principal o maestro.
•
Reconciliaciones hechas por el computador (Computer Agreement)--Una reconciliación de los totales por
lote realizada por el computador se efectúa por medio del ingreso de detalles de encabezado de lote que
registran los totales de lote; el sistema compara éstos con los totales calculados, y acepta o rechaza el lote.
Reporte y Manejo de Errores
El procesamiento de ingreso de datos al sistema requiere que se identifiquen controles para verificar que
sólo se acepten los datos correctos en el sistema y que se reconozcan y corrijan los errores de entrada.
Es necesario corregir los errores que se presentan durante el proceso de conversión de datos. Los errores
se pueden originar en duplicación de transacciones e introducción de datos incorrectos. Estos errores
pueden, a su vez, causar un alto impacto en la integridad y la exactitud de los datos. Las correcciones a los
datos se deben realizar por medio de un proceso normal de conversión de datos y éstos deben ser
verificados, autorizados y reingresados al sistema como parte del procesamiento normal.
El tratamiento que se puede dar a los errores que se presentan en el ingreso de datos puede ser:
•
Rechazar sólo las transacciones que tengan errores-Sólo las transacciones que contengan errores serían
rechazadas; el resto del lote sería procesado.
•
Rechazar todo el lote de las transacciones-Cualquier lote que contenga errores sería rechazado para que
sea corregido antes ser procesado.
•
Mantener el lote en espera-Cualquier lote o lotes que contengan errores no serían rechazados; sin
embargo, el lote sería marcado y dejado en espera de corrección.
•
Aceptar el lote y marcar las transacciones que contienen errores-Cualquier lote que contuviera errores
sería procesado; sin embargo, las transacciones que tuvieran errores serían señaladas mediante una
identificación permitiendo la corrección posterior del error.
Las técnicas de control en el ingreso de datos incluyen:
• Registro de transacciones-Contiene una lista detallada de todas las actualizaciones. El registro puede
ser mantenido manualmente o bien generado de manera automática por registro de la computadora. Un
registro (log) de transacciones puede ser reconciliado con el número de documentos fuente
recibidos para verificar que todas las transacciones hayan sido introducidas.
•
Reconciliación de los datos-Controla que todos los datos recibidos hayan sido grabados y procesados
correctamente.
•
Documentación-Evidencia escrita de procedimientos\ del usuario, de ingreso y de control de datos
•
Procedimientos para la corrección de errores-Estos procedimientos incluyen: -Registro de errores -
Correcciones oportunas -Ingreso de los datos corregidos -Aprobación de las correcciones -Archivo en
suspenso -Archivo de error -Validación de las correcciones
•
Anticipación-El usuario o grupo de control anticipa la recepción de los datos.
•
Registro (Iog) de transmisión-Este registro documenta la transmisión o recepción de datos.
•
Cancelación de los documentos fuente-Son procedimientos para marcar los documentos fuente que ya
han sido ingresados, por ejemplo, perforándolos con huecos o marcándolos, para evitar que se duplique
la entrada.
3.13.2 PROCEDIMIENTOS Y CONTROLES DE PROCESAMIENTO
Los procedimientos y controles de procesamiento tienen la finalidad de garantizar la confiabilidad del
procesamiento mediante programas de aplicaciones. Los auditores de SI
necesitan entender los procedimientos y controles que pueden ejercerse sobre el procesamiento para
evaluar qué riesgos están cubiertos por estos controles y cuáles riesgos permanecen. Procedimientos de
validación y edición de datos Se deben establecer procedimientos para asegurar que los datos que se
ingresen al sistema sean validados y editados tan cerca, como sea posible, del momento y punto de origen
de los mismos. Los formatos programados previamente para el ingreso de datos aseguran que los datos
sean introducidos en el campo correcto y en el formato correcto. Si los procedimientos de entrada
permiten que un supervisor anule la validación y edición de los datos, debe quedar un registro
automático de esta operación. Un gerente que no inició la sustitución debe revisar este registro (log).
La validación de datos permite identificar errores de datos, datos incompletos o faltantes e
inconsistencias entre elementos de datos relacionados. Se puede efectuar la edición y validación de los
datos del front-end mediante el uso de terminales inteligentes. Los controles de edición son controles
preventivos que se usan en un programa, antes de que los datos sean procesados. Si no están
implementados o no funcionan efectivamente, los controles preventivos no son útiles. Esto puede
ocasionar que el procesamiento de los datos sea incorrecto. La figura 3.33
describe varios tipos de ediciones de validación de datos.
Controles de procesamiento
Los controles de procesamiento tienen la finalidad de garantizar la integridad y exactitud de los datos
acumulados. Estos controles asegurarían que los datos contenidos en un archivo/ base de datos sigan
siendo completos y exactos hasta que sean cambiados como resultado de un procesamiento o de rutinas
de modificación autorizadas. Las siguientes son técnicas de control de procesamiento que pueden ser
usadas para tratar el aspecto de integridad y exactitud de los datos acumulados.
•
Recálculos manuales-Una muestra de transacciones puede ser recalculada manualmente para asegurar
que los datos fueron procesados correctamente,
•
Edición-Una verificación de edición es una instrucción o subrutina de programa que prueba que los datos
ingresados y procesados por una aplicación sean correctos, íntegros y válidos. Se puede usar para
controlar la entrada o posterior procesamiento de datos.
•
Totales de ejecución en ejecución (run-to-run totals}Proporcionan la habilidad de verificar los valores de
los datos a través de las fases de procesamiento de la aplicación. La verificación de un total de de
ejecución en ejecución (Run-to-run totals) asegura que los datos leídos a una computadora fueron
aceptados y luego aplicados al proceso de actualización.
•
Controles programados-Se puede utilizar software para detectar e iniciar una acción correctiva sobre los
errores en los datos y en el procesamiento. Por ejemplo, si se suministra un archivo incorrecto o una
versión incorrecta de archivo para su procesamiento, el programa de aplicación podría desplegar
mensajes dando instrucciones de que se usen el archivo y la versión apropiados.
•
Verificación de razonabilidad de los valores calculadosLos programas de aplicación pueden verificar si las
cantidades calculadas son razonables. La razonabilidad puede ser probada para asegurar que los datos se
ajustan a los criterios
predeterminados. Cualquier transacción que se determine que no es razonable puede ser rechazada y
quedar pendiente de una revisión adicional.
•
Verificaciones de límite sobre los valores calculados-Una verificación de edición puede proporcionar el
aseguramiento mediante el uso de límites predeterminados que las sumas o cantidades calculadas hayan
sido digitadas correctamente. Cualquier transacción que exceda el límite puede ser rechazada y
suspendida para someterla una investigación adicional.
•
Reconciliación de los totales de los archivos-La reconciliación de los totales de los archivos se debe
realizar de manera rutinaria. Las reconciliaciones pueden realizarse a través del uso de una cuenta
mantenida manualmente, un archivo de registros de controlo un archivo de control independiente.
•
Reportes de excepción-Un reporte de excepción es generado por un programa que identifica las
transacciones o los datos que parecen incorrectos. Estos datos pueden estar fuera de un rango
predeterminado o pueden no ajustarse a criterios especificados.
Procedimientos de control de archivos de datos
Los controles de archivo deben asegurar que únicamente se realicen procesamientos autorizados sobre
los datos almacenados. Los tipos de controles sobre los archivos de datos se muestran en la figura 3.34.
Los archivos de datos, o incluso las tablas de base de datos, caen generalmente en cuatro categorías:
•
Parámetros de control de sistema-Las entradas en estos archivos cambian los funcionamientos del
sistema y pueden alterar los controles ejercidos por el sistema; por ejemplo, la tolerancia permitida antes
de que una transacción excepcional es reportada o bloqueada. Cualquier cambio a estos archivos debería
ser controlado en una forma similar a los cambios de programa.
•
Datos vigentes--Estos "archivos maestros" incluyen datos, tales como nombres y direccionesde
proveedor/cliente,queno cambian con frecuencia y se hace referencia a ellos durante el procesamiento.
Estos datos deben ser autorizados antes de la entrada o del mantenimiento. Los controles de entrada
pueden incluirunreportededatoscambiadosqueesverificadoy aprobado. Las pistasde auditoríapueden
registrartodos loscambios.
•
Datos principales/datos de balance-Los balances y los totales resultantes del procesamiento, que son
actualizados por transacciones, no deben ser susceptibles de ajustes, excepto bajo estricta aprobación y
controles de revisión. Las pistas de auditoría son importantes en estos casos, ya que cualquier cambio
puede traer aparejadas implicaciones financieras.
•
Archivos de transacción-Estos se controlan usando verificaciones de validación, totales de control,
reportes de excepción, etc.
Se debe destacar que los controles creados en la aplicación representan el diseño de gestión de controles
sobre cómo se debe ejecutar un proceso de negocio (abastecimiento o ventas o nómina). Mientras que las
aplicaciones contienen las reglas para el negocio, los datos que son el resultado del procesamiento se
almacenan en la base de datos. Una entidad puede tener los mejores controles dentro de la aplicación,
pero si el personal administrativo actualiza los datos directamente en la base de datos, entonces se
invalidará el beneficio de los mejores controles en