Gestión Integral de Riesgos y Controles: Conceptos Clave y Marcos de Referencia

Conceptos Fundamentales de Riesgo y Activos

El siguiente documento aborda la terminología esencial en la gestión de riesgos, la identificación de activos y la clasificación de controles, elementos cruciales para la seguridad y continuidad del negocio.

Definición de Riesgo (Según Estándares)

El riesgo se define como el potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos, ocasionando pérdida o daño a estos mismos.

El impacto o relativa severidad del riesgo es proporcional al valor para el negocio de la pérdida/daño y a la frecuencia estimada de la amenaza.

Los Activos

Los activos se identifican y clasifican como tales porque necesitan protección debido a que son vulnerables a amenazas.

Ejemplos de activos típicos:

  • Información y datos
  • Hardware
  • Software
  • Servicios
  • Documentos
  • Personal
  • Edificios
  • Mercadería
  • Efectivo
  • Etc.

Clasificación del Riesgo

Los riesgos se pueden clasificar en varias categorías, especialmente en el contexto de la auditoría:

  • Riesgo Inherente: Riesgo de que exista un error que podría ser significativo. Ejemplo: errores de cálculos complejos.
  • Riesgos de Control: Es el riesgo de que exista un error material que no sea evitado o detectado oportunamente por el sistema de controles internos.
  • Riesgos de Detección: Es el riesgo de que el auditor de SI use un procedimiento inadecuado de comprobación y se concluya que no existen errores materiales.
  • Riesgo Total de Auditoría: Es la combinación de las categorías individuales de riesgo de auditoría determinados para un objetivo específico.
  • Riesgo Global

    Una vez que los elementos de riesgo han sido establecidos, estos se combinan para formar una visión global del riesgo. Un método común es calcular el impacto por la probabilidad de cada amenaza.

  • Riesgo Residual

    Es el nivel de riesgo restante una vez que se han aplicado los controles. Este riesgo residual puede ser usado para identificar áreas en que se requiere más control para reducir los riesgos.

Acciones sobre los Riesgos

Existen diversas estrategias para gestionar los riesgos identificados:

  • Evitar (Ejemplo: No construir donde hay peligro de inundaciones).
  • Transferirlos (Ejemplo: Guardar los respaldos de datos en otro lugar).
  • Reducirlos (Ejemplo: Incorporar sistema de detección de incendios).
  • Asumirlos (Es lo que se hace si se controla el riesgo).
  • Nada (No tomar ninguna acción).

Elementos Constitutivos del Riesgo

Amenazas

Afectan a los procesos y activos físicos como la información. Sus agentes pueden ser una persona, una inundación, incendio, robo de datos, sabotaje o divulgación.

El resultado del análisis de las vulnerabilidades es una lista de amenazas. Hay muchos tipos de amenazas que pueden afectar los activos o sistemas en proceso; las más comunes son: errores, fraudes, daño, ataques maliciosos y robo.

Vulnerabilidad

Es la situación creada por la falta de uno o varios controles con que la amenaza pueda aparecer y afectar el entorno informático.

Ejemplos de vulnerabilidades:

  • Faltas en control de acceso lógico.
  • Falta de conocimiento del usuario.
  • Falta de funcionalidad de la seguridad.
  • Mala elección de contraseñas (PSW).
  • Tecnologías no probadas.
  • Transmisión por medios de comunicaciones no protegidos.

Exposición o Impacto

La evaluación del efecto del riesgo frecuentemente se presenta en términos económicos, imagen de una empresa, honor, vidas humanas, etc.

Las amenazas que ocurren efectivamente tienen como consecuencias algún tipo de pérdida. En las organizaciones comerciales, las amenazas tienen a menudo como consecuencia una pérdida financiera directa en el corto o largo plazo.

Las pérdidas, por ejemplo, incluyen lo siguiente:

  • Pérdidas de dinero.
  • Violación de leyes.
  • Pérdida de reputación o plusvalía.
  • Violación de la confianza.
  • Pérdida de oportunidad de negocios.
  • Reducción de la eficiencia y rendimiento operacional.
  • Interrupción de actividad de negocios.

Riesgo (Reiteración)

La probabilidad de que una amenaza llegue a acaecer por causa de una vulnerabilidad.

Posibilidades y Amenazas

Combinación de la probabilidad de que ocurra una amenaza y la frecuencia de los mismos.

Identificación de los Riesgos Relevantes

  • Riesgo País
  • Riesgo organizacional
  • Riesgo del Negocio
  • Riesgo tecnológico
  • Riesgo operacional
  • Riesgo informático
  • Riesgo de la Auditoría

El Control

Definición de Control

Se define como las políticas, prácticas y estructuras organizativas diseñadas para brindar garantía adicional de que se lograrán los objetivos del negocio y se impedirán, detectarán o corregirán los acontecimientos no deseados.

Una vez que los riesgos han sido identificados, se pueden evaluar los controles existentes o diseñar nuevos para alcanzar un nivel aceptable de riesgo.

Hay una relación directa entre el riesgo y el control.

La fortaleza del control se mide en términos de su diseño y la probabilidad de que sean eficaces.

Objetivo de Control

Un objetivo de control es una declaración del resultado o del propósito que se desea alcanzar mediante procedimientos de implementación de controles en una actividad en particular.

Informe COSO: Componentes del Sistema de Control Interno

Los componentes principales del sistema de control interno, según el marco COSO, son:

  • Controles Internos de Contabilidad: Dirigidos a las operaciones de contabilidad, para salvaguardar los activos y la fiabilidad de los registros financieros.
  • Controles Operacionales: Conciernen a las operaciones, funciones y actividades cotidianas para asegurar que la operación esté cumpliendo los objetivos del negocio. Dentro de estos podemos incluir el control interno informático.
  • Controles Administrativos: Conciernen a la eficiencia operativa en un área funcional de la empresa y el acatamiento de las políticas de la gerencia.

Clasificación del Control

Los controles se clasifican en función de su propósito:

Controles Preventivos

Función:

  • Detectar los problemas antes de que surjan.
  • Monitorear las operaciones y el ingreso de datos.
  • Predecir problemas potenciales antes que ocurran.
  • Impedir que ocurran errores o minimizar que ocurran.

Ejemplos de medidas preventivas:

  • Emplear solo personal calificado.
  • Controlar el acceso a instalaciones.
  • Usar documentos bien diseñados.

Controles Detectivos

Función:

  • Controles que detectan que ha ocurrido un error, una omisión o acto malicioso y lo reportan.

Ejemplos:

  • Intentos de ingreso no autorizados (hackers).
  • Revisión de resultados de totales brutos.
  • Funciones de auditoría interna.
  • Doble verificación de los cálculos.

Controles Correctivos

Función:

  • Minimizar el impacto de una amenaza.
  • Solucionar problemas descubiertos.
  • Identificar la causa del problema.
  • Corregir los errores que surjan del problema.
  • Modificar el o los sistemas de procesamiento.

Ejemplos:

  • Planificación de contingencias.
  • Procedimientos de copias de seguridad.

Tipos de Controles (Según Mecanismo)

  • Control automático.
  • Semi automáticos.
  • Manuales.

Marcos de Referencia y Procesos

Existen marcos reconocidos para la implementación de controles y gestión de riesgos:

  • COSO
  • COBIT
  • Normas ISO

Desagregación de Procesos y Matrices de Riesgo

Se debe desarrollar el proceso de desagregación de la matrícula y toma de ramos (ejemplo ilustrativo). Hecho ello, determinar:

  • El objetivo.
  • El riesgo.
  • Calcular la probabilidad e impacto.

(Nota: Se menciona la necesidad de mostrar tablas para calcular probabilidad e impacto, y se hace referencia a un proyecto y factibilidad, indicando un contexto práctico de aplicación.)

(El documento presenta repeticiones de secciones anteriores, las cuales se han consolidado en la estructura anterior para evitar redundancia y mantener la integridad del contenido original.)