lunes, 4 de julio de 2011

CONCEPTOS DE AUDITORIA

AUDITORIA: Es la función de dirección cuya finalidad es analizar y apreciar, con vistas a las eventuales, las acciones correctivas, el control interno de las organizaciones para garantizar la integridad de su patrimonio, la veracidad de su información y el mantenimiento de la eficacia de sus sistemas de gestión.

AUDITORIA DE SISTEMA: Es la lrevisión que se dirige a evalar los métodos y procedimientos de uso en una entidad, con el propósito de determinar si su diseño y aplicación son correctos y comprobar el sistema de procesamiento de información como parte de la evaluación de control interno; asi como para identificar aspectos susceptibles de mejorarse o eliminarse.

AREAS DE LA T.I. (TECNOLOGÍA INFORMACIÓN): Las áreas de la tecnología de la información son las diferentes ramas en las que se divide la informática.

ALCANCES DE LA AUDITORIA: Su alcance describe el sistema de gestión de calidad, procedimientos y de todos los apartados de las normas de calidad aplicadas para la implantación del sistema, así como la información relativa a documentación legal y administrativa de la empresa por el equipo auditor, en factores tales como la ubicación física, actividades organizacionales y la forma de realizar los informes.
El alcance de la auditoria debe ser determinado entre el cliente y el auditor lider.

CONTROL INTERNO: El control interno comprende el plan de organización, los métodos y procedimientos que tiene implantados una empresa o negocio, estructurados en un todo para la obtención de tres objetivos fundamentales que son:
-La obtención de información financiera correcta y segura,
-La salvaguarda de los activos y
-la eficacia de las operaciones.

HALLAZGOS:  Los hallazgos en una auditoria son el resultado de la evaluación de las evidencias recaudadas durante la auditoria, frente a los criterios de la misma, entendiéndose  como evidencia el compendio de registros como: documentos, archivos, declaraciones de hechos o cualquier información relevante encontrada por el grupo auditor.
CONDICIÓN, CAUSA, EFECTO Y CRITERIO son atributos de hallazgos en auditoria:
-Condición: refleja ell grado en que los criterios o estándares están siendo logrados o aplicados; constituyen la situación encontrada por el auditor con respecto a una operación, actividad o transacción. Ejm. ¿Se están cumpliendo los criterios?
-Criterios:  Es el estandar con el cual el auditor mide la condición. Son las metas que la entidad fiscalizada está tratando de lograr.
-Causa: Es la razon o razones fundamentales por las cuales se presentó la condición o el motivo por el cual no se cumplió el criterio o el estandar. Las recomendaciones deben estar directamente relacionadas con las causas que se hayan identificado.
-Efecto: Es el resultado o consecuencia real o potencial que resulta de la comparación entre la condición y el criterio que debió ser aplicado.

EXIGENCIA: Son las reglas que se deben cumplir en cualquiera que sea el caso o reglamento establecido.

EVALUACIÓN DE RIESGO: Es el proceso mediante el cual se obtiene la información necesaria para que la organización esté en condiciones de tomar una decisión apropiada sobre la adopción de acciones preventivas y sobre el tipo de acciones que deben adoptarse.

INFORME DE AUDITORIA:  Es un documento preparado por un contador público en donde se expresa la opinión de un profesional independiente sobre la situación actual de la empresa, datos estos que se encuentran plasmados en dichos informes.

INFORMÁTICA: La infomática es la ciencia aplicada que abarca el estudio y aplicación del tratamiento automático de la información, utilizando dispositivos electrónicos y sitemas computacionales.  También está definida como el procesamiento automático de la información.

LAS PRUEBAS DE AUDITORIA: Son técnicas o procedimientos que utiliza el auditor para la obtención de evidencias comprobatorias:
Las pruebas pueden ser:
Pruebas de control (observación y cumplimiento)
Pruebas sustantivas ( analíticas y de detalle).

ORDEN DE TRABAJO DE ADMINISTRACIÓN:  orden de trabajo u orden de producción es un sencillo procedimiento que desde los inicios de la industrialización y de su racionalización, se viene utilizando en todas partes.  No obstante, la sencillez del sistema que contrasta con su gran aportación a la organización industrial, existen bastantes PYMES que no la utilizan o no le sacan todo el partido posible.

OBJETIVOS GENERALES DE AUDITORIA: en auditoria informática hay un sinnumero de objetivos, algunos de los cuales pasaremos a enumerar:
-Proporcionar a la ldirección y a los propietarios de la empresa unos estados financieros certificados por una autoridad independiente e imparcial.
-Proporcionar asesoramiento a la gerencia y a los responsables de las distintas áreas de la empresa en materia de sistemas contables y financieros, procedimientos de organizaciónoy otras numerosas fases de la operatoria de una empresa.
-Suministrar información objetiva que sirva de base a las entidades de inforformación y clasificación crediticia.
-Servir de punto de partida en las negociacioens parala compraventa de las acciones de una empresa.
-Reducir y controlar riesgos accidentales, fraudes y otras actuaciones anormales.
-Liberar implicitamente a la gerencia de sus responsabilidades de gestión.
-Cumplimiento de las normas de auditoria.

OBJETIVOS ESPECIFICOS DE LA AUDITORIA: 
- Participación en el desarrollo de nuevos sistemas:
      * evaluación de controles
      * cumplimiento de la metodología
- Evaluación de la seguridad en el área informática
- Evaluación de suficiencia en los planes de contingencia (respaldos, prepvver que va a pasar si se presentan fallas)
- Opcióon de la utilización de los recursos informáticos (resguardo y protección de activos).
- Control de modificación a las aplicaciones existentes (fraudes, control a las modificaciones de los programas).
- Participación en la negociación de contratos con los proveedores.
- Revisión de la utilización del sistema operativo y los programas (utilitarios, control sobre la utilización de los sistemas operativos, programas utilitarios).
- Auditoria de la base de datos (estructura sobre la cual se desarrollan las aplicaciones)
- Auditoria de la red de teleprocesos.
- Desarrollo de software de auditoria, (es el objetivo final de una auditoria de sistemas  bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.

PROGRAMAS DE AUDITORIA: es el procedimiento a seguir e el examen a realizarse. El mismo debe ser planeado y elaborado con anticipación y debe ser de contenido flexible, sencillo y conciso.

PROCEDIMIENTOS DE AUDITORIA:   Los procedimientos de auditoria son el conjunto de técnicas de investigación aplicables a una partida o a un grupo de hechos y circunstancias relativas a los estados financieros sujetos a examen, mediante los cuales el contador público obtiene las bases para fundamentar su opinión.

PAPELES DE TRABAJO: al hablar de papeles de trabajo nos estamos refiriendo al conjunto de documentos preparados por un auditor, los cuales permiten disponer de una información y de pruebas efectuadas durante su actuación profesional en la empresa, así como las decisiones tomadas para formar su opinión.

RIESGO DE CONTROL:  Es la probabilidad de que los sistemas de control interno y control contable que han sido diseñados e implementados por la administración de una entidad, sean incapaces de prevenir o en su defecto, detectar y corregir errores de importancia relativa en lasl cifras de sus estados financieros.

RIESGO INHERENTE: es la suceptibilidad de un saldo de cuenta o clase de transacciones a una representación erronea que pudiera ser de importancia relativa, individualmente o, en el agregado cuando se acumule con representaciones erróneas en otros saldos o clases, suponiendo que no hubiera un control interno relacionado.

RIESGO MUESTRAL:  es el riesgo de muestreo de saldos de transacciones que contienen representaciones erróneas de importancia relativa, que sean seleccionadas como parte de la muestra.

SISTEMA COMPUTACIONAL: consiste en un conjunto de componentes electrónicos y electromécanicos interconectados que almacenan y transforman símbolos en base a las instrucciones especificadas en los componentes (software ) del mismo sistema.
-

viernes, 1 de julio de 2011

CUESTIONARIO PARA UNA AUDITORIA EN UN CENTRO DE CÓMPUTO.

CUESTIONARIO DIRIGIDO A LOS USUARIOS, AL MOMENTO DE EFECTUAR UNA AUDITORIA EN UN CENTRO DE COMPUTO.

1.     ¿El lugar donde se ubica el centro de cómputo está seguro de inundaciones, robo o
cualquier otra situación que pueda poner en peligro los equipos?
Si______    No_____
. ¿El lugar donde se ubica el centro de cómputo esta seguro de inundaciones, robo o
cualquier otra situación que pueda poner en peligro los equipos?
Si______
  2. ¿El centro de cómputo da hacia el exterior?

      Si______    No______

 3. ¿Existe lugar suficiente para los equipos?

     Si______     No______

 4. ¿Aparte del centro de cómputo se cuenta con algún lugar para almacenar otros equipos de cómputo, muebles, suministros, etc.?

     Si_____     ¿ No____      Dónde?__________________________________

 5. ¿Se cuenta con una salida de emergencia?

     Si______    No______

 6. ¿Es adecuada la iluminación del centro de cómputo?

     Si______        No______ ¿Por qué?   __________________________________

 7. ¿La temperatura a la que trabajan los equipos es la adecuada de acuerdo a las normas bajo las cuales se rige?

     Si______     No______

8. ¿El local cuenta con aire acondicionado?

Si______    No______    Cuántos_________

 9. ¿La ubicación de los aires acondicionado es estratégica?

Si______     No______

 10.¿Existe algún otro medio de ventilación aparte del aire acondicionado?

Si ______    No______       ¿Cuál?___________________________________

 11. ¿El aire acondicionado emite algún tipo de ruido?

     Si______   No ______

 12. El cableado de las instalaciones se encuentra correctamente ubicado?

      Si ______    No  ______

 13. ¿La instalación eléctrica del equipo de cómputo es independiente de otras instalaciones?

      Si______    No ______

14.  ¿Los equipos cuentan con regulador de voltaje?

      Si _____    No______

15.  ¿Cada qué periodo de tiempo se da mantenimiento a los equipos e instalaciones?

         ____________________________

 16.   ¿Se cuenta con alarma contra incendio?

         Si ______   No ______

17.   ¿Se cuenta con alarma contra inundaciones?

          Si ____   No ______

 18.   ¿El local cuenta con extintores?  ¿Se encuentran visibles?   ¿Son suficientes?

        Si____   No ____                         Si _____   No_____             Si_____  No____

 19.    ¿Se cuenta con algún tipo de control de entrada y salida de usuarios?

         Si_____   No_____        especifique________________________________

 20.    ¿Qué tipo de programas tienen los equipos de cómputo?

           __________________________________, ______________________________,

           __________________________________, ______________________________,

           __________________________________,  ______________________________,

21.   ¿El personal está debidamente capacitado para asistir a los usuarios en caso de requerirlo?

         Si  ______    No______

22.    ¿Se cuenta con reglamento para el usuario y el personal?

          SI_____    No______    Está a la vista?  __________________

 23.   ¿Los equipos se encuentran en buen estado?

           Si _____   No______

 24.     ¿Tienen acceso a las instalaciones de computo personas ajenas al personal?

          Si  _____   No ______

 25.    ¿Se cuenta con copia de los archivos y documentación en lugar distinto a las computadoras?

         Si _____  No ______

26.   ¿Se tienen establecidos procedimientos de actualización de estas copias?

         Si _____  No ______

 27.   ¿Se han instalado equipos que protejan la información y los dispositivos en caso de variación      de voltaje, como reguladores de voltajes, supresores pico, UPS, generadores de energía, etc?

        Si _____   No _____

 28.   ¿Se tiene programas de Antivirus dentro de cada uno de los equipos?

        Si _____   No ______

 29.   ¿Se encuentra el personal preparado y entrenado para un caso de emergencia?

        Si _____   No _____

 30.   ¿El personal que labora regularmente está capacitado para cumplir con sus funciones?

        Si _____  No _____

 31.    ¿Cuenta el Centro de Cómputo con un horario flexible y acorde al usuario?

         Si____   No  _____

 32.   ¿El local está suficientemente equipado para el requerimiento del mercado?

       Si  ____   No _____

 33.  ¿Cuenta el Centro de Computo con su documentación (patente, Aseo, etc.) en lugar visible?

       Si ____  No  _____

 34.  ¿Se sienten los usuarios satisfechos con los servicios brindados?

       Si  ___  No ___

 35.  ¿Se tiene un control eficaz en cuanto al personal y al uso de los equipos dentro del Centro de   Cómputo?

       Si ____  No____

 36.  ¿El personal del Centro de Cómputo brinda una atención adecuada y amable a los usuarios?

       Si____  No _____

 37.   ¿El encargado del Centro de Cómputo, esta anuente a atender al usuario cuando se requiere?

      Si ____  No  ____

38.   ¿El centro de Cómputo se encuentra ubicado en un lugar estratégico y de fácil acceso?

      Si ____  No _____

39.  ¿Es adecuado el orden, espacio y ubicación de los equipos dentro del  local, a fin de no incomodarse los usuarios unos a otros?

      Si____   No ____

 40.  ¿El espacio entre una máquina y otra, es de tu agrado?

     Si_____   No____

 41.  ¿La atención que brindan los encargados del Centro hacia los usuarios es agradable y correcta?

     Si  _____  No _____

 Cuestionario anexo a charla presentada por el grupo No. 1 de Auditoria de Informática en un Centro de Cómputo.

METODOLOGIA PARA REALIZAR AUDITORIAS DE SISTEMAS COMPUTACIONALES.

AUDITORIA DE SISTEMAS COMPUTACIONALES.
1 Metodología Para Realizar Auditorías De Sistemas Computacionales
A continuación se detalla la metodología para realizar auditorías de sistemas computacionales, para lo cual estaré presentando sus etapas:

  1. Identificar el origen de la auditoria
  a. Por solicitud de accionista, socios y dueños
  b. Por solicitud expresa de procedencia externa
  c. Como consecuencia de emergencias y condiciones especiales
  d. Por riesgos y contingencias informáticas
  e. Como resultado de los planes de contingencias
  f. Por resultados obtenidos de otras auditorias
  g. Como parte del programa integral de auditoria

  2. Realizar una vista preliminar al área que será evaluada
  a. Contacto inicial con funcionarios y empleados del área
  b. Identificación preliminar de la problemática del área de sistemas
  c. Prever los objetivos iníciales de la auditoria
  d. Calcular los recursos y personas necesarias para la auditoria

  3. Establecer objetivos de la auditoria
  a. Objetivo general
  b. Objetivos particulares
  c. Objetivos específicos de la ASC

  4. Determinar los puntos que serán evaluados en la auditoria
  a. Evaluación de las funciones y actividades del personal del área de sistemas
  b. Evaluación de la áreas y unidades administrativas del centro de computo
  c. Evaluación de la seguridad de los sistemas de información
  d. Evaluación de la información, documentación y registros de los sistemas
  e. Evaluación de los sistemas, equipos, instalaciones y componentes
  f. Elegir los tipos de auditorías que serán utilizados
  g. Determinar los recursos que serán utilizados en la auditoria

  5. Elaborar planes, programas y presupuestos para realizar la auditoria

  a. Elaborar el documento formal de los planes de trabajo de la auditoria
  b. Contenido de los planes para realizar la auditoria
  c. Elaborar el documento formal de los programas de auditoria
  d. Elaborar los programas de actividades para realizar la auditoria
  e. Elaborar los presupuestos de la auditoria

  6. Identificar los riesgos según su amenaza.


2.  PLANES, PROGRAMAS Y PRESUPUESTOS PARA REALIZAR UNA AUDITORIA DE SISTEMAS.
Planes, programas y presupuestos para realizar la auditoria. Antes de realizar una auditoría, la persona encargada, en este caso el auditor, debe realizar una serie de planes, programas y presupuestos, a fin de que su trabajo se realice de manera eficiente.

  a. Elaborar el documento formal de los planes de trabajo de la auditoria
  b. Contenido de los planes para realizar la auditoria
  c. Elaborar el documento formal de los programas de auditoria
  d. Elaborar los programas de actividades para realizar la auditoria
  e. Elaborar los presupuestos de la auditoria

Debemos tratar de que se cumplan ciertas funciones que son:

Función del Control. Una definición que es correcta y a la cual representa el valor de la Función del Control es la de ayudar a los Funcionarios que tienen responsabilidad Administrativa, Técnica y/u Operacional a que no incurran en falta. Y es por ello que aquí el Control es Creativo,  Inteligente, y Constructivo de asesoramiento oportuno a todas las Direcciones o Gerencias a fin de que la Toma de Decisiones sea acertada, segura y se logren los objetivos, con la máxima eficiencia.

El Control de Sistemas e Informática, consiste en examinar los recursos, las operaciones, los beneficios y los gastos de las producciones (servicios y/o productos de los Sistemas Informáticos), de los Organismos sujetos a control, con la finalidad de evaluar la eficacia y eficiencia Administrativa Técnica y/u Operacional de los Organismos, en concordancia con los principios, normas, técnicas y procedimientos normalmente aceptados. Asimismo de los Sistemas (Planes, Programas y Presupuestos, Diseño,  Software, Hardware, Seguridad, Respaldos y otros) adoptados por la Organización para su dinámica de Gestión en salvaguarda de los Recursos del Estado.

Existe otra definición sobre el "control técnico" en materia de Sistemas e Informática, y esta se orienta a la revisión del Diseño de los Planes, Diseños de los Sistemas, la demostración de su eficacia, la Supervisión compulsa de rendimientos, Pruebas de Productividad de la Gestión - Demanda llamada "Pruebas intermedias", el análisis de resultados, niveles y medios de seguridad, respaldo, y el almacenamiento. Así mismo medición de la vida útil del Sistema Informático adoptado por la Organización bajo control.  

Objetivos de la Auditoría y Control de Sistemas e Informática.
Los principales objetivos que constituyen a la auditoría Informática son:

        ·       El control de la función informática (Sistema de Información - SI y la Tecnología de la Información -TI).
       ·       El análisis de la eficiencia de los SI y la TI.
       ·       La verificación del cumplimiento de la Normativa General de la Organización.
      ·       La verificación de los Planes, Programas y Presupuestos de los Sistemas Informáticos.
      ·       La revisión de la eficaz gestión de los recursos materiales y humanos informáticos.
      ·       La revisión y verificación de Controles Técnicos Generales y Específicos de Operatividad.
      ·       La revisión y verificación de las Seguridades.
           o   De Cumplimiento de normas y estándares.
           o   De Sistema Operativo.
           o   De Seguridad de Software.
           o   De Seguridad de Comunicaciones.
           o   De Seguridad de Base de Datos.
           o   De Seguridad de Proceso.
           o   De Seguridad de Aplicaciones.
           o   De Seguridad Física.
           o   De Suministros y Reposiciones.
           o   De Contingencias.
     ·       El análisis del control de resultados.
     ·       El análisis de verificación y de exposición de debilidades y disfunciones.

El auditor informático.  Es el profesional que ha de cuidar y  velar por la correcta utilización de los diversos recursos de  la organización y debe comprobar que se esté llevando acabo un eficiente y eficaz Sistema de Información y la Tecnología de la Información.
                                                                                                                                                                                    
    ·       Creatividad.
         o   Sistemas Informáticos de Baja Performance creativa.
         o   Deficiente manejo de Imaginación y Creatividad para las Producciones de Servicios.
         o   No permite variabilidad y atención a Usuarios.
         o   Falta de una buena Integración de la Información y Difusión del Organismo con la Sociedad, a través de medios y del internet.
         o   Pocos Servicios Creativos, donde el usuario manifiesta su descontento.
         o   Exceso de monotonía y rutina de procesos administrativos y técnicos.
         o   Deficiente nivel de Proceso de la Investigación y Desarrollo Creativo.
         o  Usuarios se quejan por engorrosos procedimientos Informáticos. 
  ·       Inteligencia.-
         o   La Organización no cuenta con Formación de Conocimientos en Sistemas y Tecnología Informática.
         o   Exceso de averías en los Sistemas Informáticos.
         o   No hay Capacitación ni entrenamiento de nuevas Tecnologías.
         o   Tratamiento de la Tecnología para la Inteligencia Empresarial muy deficiente.
        o   Los Estándares de Productividad son bajos.
        o   Bajo Índice de Producción de Servicio (Planificación, Producción y Soporte Técnico), 
        o   Usuarios salen conformes con la resolución de problemas (Relacionados a los Sistemas Informáticos).
        o   Informática de Comunicaciones, Tele Comunicaciones y Redes; no se encuentra Integrado a los Procesos Intranet, Extranet e Internet.
        o   Los Controles Inteligentes de procesos son deficientes.
        o   Deficiente nivel de Investigación y Desarrollo Tecnológico.
        o   Alto Índice de desatendidos y asuntos pendientes (Relacionados a Tecnologías de la Información).
  ·       Personalidad.-
       o   Carencia de Identidad, Rumbo y de Mística Laboral y Personal.
       o   Síntomas de mala Imagen.
       o   Baja Productividad de Trabajo.
       o   Alto Índice de estrés laboral.
       o   Pérdida de credibilidad del Organismos.
       o   Usuarios manifiestan su descontento con el trato y atención.
  ·      Organización.-
       o   Desorganización estructural y Funcional.
       o   Descoordinación Funcional Horizontal - Vertical.
       o   Demasiado Centralismo Funcional y Operativo de los Sistemas Informáticos.
       o   Alto riesgo de Inseguridad Operativa, de Tecnología y de Información.
       o   Las áreas de Producción, Desarrollo, Sistemas, Comunicaciones y Seguridad en estado Crítico.
       o   Usuarios manifiestan excesiva desubicación en los desplazamientos por la organización.
       o   Usuarios manifiestan descontento porque no se cumplen con los plazos de entrega de resultados periódicos.
   ·      Dirección.-
       o   Carencia de Objetivos, Estrategias y Planes de los Sistemas e Informática.
       o   Toma de Decisiones deficientes por Tecnologías de la Información inadecuadas.
       o   Los Programas de Auditorías y Control no logra recomponer fallas.
       o   Descoordinación en la Toma de decisiones.
       o   Desviaciones Presupuestarias significativas.
       o   Incremento desmesurado de costos y gastos.
       o   Carencia de Proyectos de Sistemas e Informática.
       o   Baja adopción de Medidas del Plan de Contingencias.
       o   Usuarios se quejan por ineficacias de Resoluciones en Niveles Directivos.

Herramientas y Técnicas para la Auditoría Informática:
       Cuestionarios.
       Entrevistas.
       Formularios Checklist.
      Formularios Virtuales,
       Pruebas de Consistencias.
       Inventarios y Valorizaciones.
       Historias de cambios y mejoras.
       Reporte de Bases de Datos y Archivos
       Reportes de Estándares.
       Compatibilidades e Uniformidades.
       Software de Interrogación:
       Certificados, Garantías, otros del Software.
       Fotografías o Tomas de Valor (Imágenes).
       Diseño de Flujos y de la red de Información.
       Planos de Distribución e Instalación (Para Estudio y Revisión).
       Listado de Proveedores.
       Otros.

3. DEFINIR RIESGOS INFORMATICOS

Un riesgo es un problema potencial que puede ocurrir en un procesador segmentado. Típicamente los riesgos se clasifican en tres tipos: riesgos de datos, riesgos de salto o de control y riesgos estructurales.
El Riesgo en auditoría representa la posibilidad de que el auditor exprese una opinión errada en su informe  debido a que los estados financieros o la información suministrada a él estén afectados por una distorsión material o normativa.

Hay que tomar en cuenta que el análisis de riesgo detallado, es un trabajo muy extenso y consumidor de tiempo, porque requiere que se compruebe todos los posibles daños de cada recurso de una institución contra todas las posibles amenazas, es decir terminaríamos con un sinnúmero de grafos de riesgo que deberíamos analizar y clasificar. Por otro lado, hay que reconocer que la mayoría de las organizaciones

4. CLASIFICACIÓN DE LOS RIESGOS INFORMATICOS.
Los negocios pueden fallar o sufrir pérdidas como un resultado de un variedad de causas. Las diferencias en esas causas y sus efectos constituyen las bases para diferenciar los riesgos, los cuales se pueden clasificar así:

Inherente, de Control y de Detección. El riesgo inherente es la posibilidad de que existan errores significativos en la información auditada, al margen de la efectividad del control interno relacionado; son errores que no se pueden prever.
El riesgo de control está relacionado con la posibilidad de que los controles internos imperantes no prevén o detecten fallas que se están dando en sus sistemas y que se pueden remediar con controles internos más efectivos.
El riesgo de detección está relacionado con el trabajo del auditor, y es que éste en la utilización de los procedimientos de auditoría, no detecte errores en la información que le suministran. El riesgo de auditoria  se encuentra así: RA = RI x RC x RD

 Riesgos financieros: El riesgo financiero envuelve la relación entre una organización y una ventaja que puede ser perdida o perjudicada. De este modo el riesgo financiero envuelve 3 elementos:
  La organización que está expuesta a perdidas
 Los elementos que conforman las causas de pérdidas financieras
 Un peligro que puede causar la pérdida (amenaza a riesgo).
Riesgos dinámicos: Son el resultado de cambios en la economía que surgen de dos conjuntos de factores:
1. Factores del entorno exterior; la economía, la industria, competidores y clientes.
2. Otros factores que pueden producir las pérdidas que constituyen las bases del riesgo especulativo son las decisiones de la administración de la organización.

Riesgos estáticos: Estos riesgos surgen de otras causas distintas a los cambios de la economía tales como: deshonestidad o fallas humanas.
Riesgo especulativo: Describe una situación que espera una posibilidad de pérdida o ganancia. Un buen ejemplo es una situación aventurada o del azar.
Riesgo puro: Designa aquellas situaciones que solamente generan pérdida o ganancia, un ejemplo es la posibilidad de pérdida en la compra de un bien (automóviles, casas, etc.). Los riesgos puros pueden ser clasificados de la siguiente forma:

  • Riesgo Personal : Consiste en la posibilidad de pérdida sujeta a los siguientes peligros : muerte prematura, enfermedad e incapacidades
  • Riesgos de las posesiones: Abarcan 2 distintos tipos de pérdida que son: pérdidas directas por destrucción de bienes, y pérdidas indirectas causados por las consecuencias de las pérdidas directas o gastos adicionales.
  • Riesgos de Responsabilidades: Su peligro básico consiste en el perjuicio de otras personas o daño de una propiedad por negligencia o descuido.
  • Riesgos físicos: Se tienen en esta clase por ejemplo: El exceso de ruido, Iluminación inadecuada, exposición a radiaciones, instalaciones eléctricas inadecuadas.
  • Riesgos químicos: Se tienen en esta clase por ejemplo: Exposición a vapores de los solventes, humo de combustión y gases.
  • Riesgos biológicos: Hongos y bacterias.
  • Riesgos psicosociales: Ingresos económicos injustos, monotonía, falta de incentivos y motivación.
  • Riesgos ergonómicos: Puesto de trabajo incomodo, Posición corporal forzada, movimiento repetitivo al operar máquinas, etc.
Riesgo fundamental: Envuelve las pérdidas que son impersonales en origen y consecuencia. La mayor parte son causados por fenómenos económicos, sociales. Ellos afectan parte de una organización.

Riesgo particular: Son pérdidas que surgen de eventos individuales antes que surjan de un grupo entero. Desempleo, guerra, inflación, terremotos son todos riesgos fundamentales; el incendio de una casa y el robo de un banco son riesgos particulares

5. MATRIZ DE RIESGOS INFORMATICOS.  METRICAS UTILIZADAS.
La Matriz para el Análisis de Riesgo, es  una Herramientas para la colaboración, información y comunicación seguras” y fue punto clave en analizar y determinar los riesgos en el manejo de los datos e información de las organizaciones. La Matriz, no dará un resultado detallado sobre los riesgos y peligros de cada recurso de la institución, sino una mirada aproximada y generalizada de los riesgos.

MÉTRICAS UTLIZADAS EN AUDITORIA DE SISTEMA.
Métricas de los riesgos: medidas preventivas y reactivas del hombre, de las organizaciones y de los sistema tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma.

 Métricas de calidad. El concepto de métrica es el término que describe muchos y muy variados casos de medición. Siendo una métrica una medida estadística (no cuantitativa como en otras disciplinas ejemplo física) que se aplica a todos los aspectos de calidad de software, los cuales deben ser medidos desde diferentes puntos de vista como el análisis, construcción, funcional, documentación, métodos, proceso, usuario, entre otros.
Tres tipos diferentes de métricas de medición son:   métricas técnicas, métricas Bang y métricas de punto de función.
a. Métricas Técnicas. Estas métricas se derivan de una relación empírica según las medidas contables del dominio de información del software y de evaluaciones de complejidad. Ejemplo,
número de entradas usuario– cada una de las entradas de datos.

Número de salidas usuario – cada una de las salidas de datos.
Número de peticiones usuario – cada generación de un evento.

Número de archivos – cada tabla, archivo
Número de interfaces externas – son interfaces, discos, copias de seguridad, transmisiones de datos.

b- Métricas bang. Estas ayudan a evaluar el análisis y diseño, proporcionan medidas de la complejidad, y ayudan a diseñar pruebas más efectivas. Estas métricas se dividen en : Medidas del análisis, medidas de especificación, medidas de diseño.

c- Métricas de punto de función de Albrecht. Miden la aplicación desde una perspectiva del usuario dejando de lado los detalles de codificación, estos evalúan con fiabilidad:
•El valor comercial de un sistema para el usuario
•Tamaño del proyecto, costo y tiempo de desarrollo
•Calidad y productividad de lo programado
•Esfuerzo de adaptación, modificación y mantenimiento
•Posibilidad de desarrollo propio
•Beneficios de implementación en 4GL

6. IMPACTO QUE PUEDEN TENER LOS RIESGOS INFORMATICOS.

Conocimiento del impacto cuantificado en la corporación
Es esencial entender los riesgos en términos de probabilidad de un evento capaz de generar alguna situación de este tipo, y en términos del valor temporal de la exposición a un peligro en caso de producirse dicho riesgo. Asimismo, los riesgos necesitan ser cuantificados para cada aplicación empresarial esencial. Conociendo estos dos parámetros, las personas encargadas de tomar decisiones pueden plasmar estos valores en un sencillo gráfico bidimensional, asignando las prioridades de reducción/solución de riesgos a diferentes aplicaciones. Además de esto, se puede definir y aplicar una política de forma efectiva y sistemática a toda la empresa, para ocuparse de diferentes riesgos o de múltiples categorías de riesgos.

 7.  PLAN DE CONTINGENCIA

Se entiende por PLAN DE CONTINGENCIA o PLAN DE EMERGENCIA,  los procedimientos alternativos al orden normal de una empresa, cuyo fin es permitir el normal funcionamiento de esta, aun cuando alguna de sus funciones se viese dañada por un accidente interno o externo.

Que una organización prepare sus planes de contingencia, no significa que reconozca la ineficacia de su empresa, sino que supone un avance a la hora de superar cualquier eventualidad que puedan acarrear pérdidas o importantes pérdidas y llegado el caso no solo materiales sino personales.

El Plan de Emergencia
Una Planificación de Contingencias debe ser también un Plan de Emergencia que contenga los siguientes elementos:

a) La naturaleza de la contingencia
b) Las repercusiones operativas de la contingencia
c) Las respuestas viables
d) Las implicaciones financieras de las respuestas
e) Cualquier efecto en otro proceso

Se deberán valorar los diferentes escenarios, esta actividad es la más intuitiva y sin embargo una de las más importantes ya que sienta las bases de toda la planificación posterior. Para establecer escenarios es necesario formular distintas hipótesis, aunque estas se basen en todos los conocimientos disponibles, nunca se debe eliminar el elemento de imprevisibilidad.

Debe ser un documento “vivo”, actualizándose, corrigiéndose, y mejorándose constantemente. No se trata de un documento que deba ser revisado exhaustivamente y fecha fija, sino de un documento que esté en permanente estado de cambio.

8. EJEMPLO DE PLAN DE CONTINGENCIA.
Hacer un respaldo de toda la información importante que se guarda dentro de la empresa, previendo que pueda acontecer un catástrofe, inundación, daño en los equipos, borrón de la información guardada, etc., este back up se debe guardar en un lugar seguro, pero diferente de las instalaciones donde ejerce la empresa u organización y sobre todo, debe ubicarse en un lugar seguro.

Por otro lado, dentro de la organización se deben tener extintores por cualquier incendio, sistemas de alarma para en caso de inundaciones, y sobre todo unos buenos seguros.