COMPRENSIÓN DEL PROCESO DE GESTIÓN DE RIESGOS
Estándar
01 de mayo de 2007
La identificación de riesgos, así como su probabilidad e impacto global, puede ayudar a los auditores internos principiantes a proporcionar recomendaciones que permitan a las empresas desarrollar un plan de gestión de riesgos eficaz .
Además de identificar los riesgos a los que se enfrenta una organización, los auditores internos ayudan a evaluar el impacto que los riesgos pueden tener sobre el rendimiento y los procesos de la empresa. Por lo tanto, la función de los auditores no es sólo evaluar los riesgos, sino determinar si se dispone de controles adecuados para mitigar los riesgos de manera eficaz. Familiarizarse con los diferentes elementos de un proceso eficaz de gestión de riesgos puede ayudar a los auditores internos principiantes a proporcionar recomendaciones que aborden las necesidades de gestión de riesgos de la organización e identificar los riesgos antes de que se conviertan en una amenaza para los activos de la empresa y los datos.
¿Qué es el riesgo?
Tanto la Comisión de Valores de Estados Unidos (SEC) como el Consejo de Exámenes de Instituciones Financieras Federales de Estados Unidos (FFIEC) han abordado la necesidad de llevar a cabo evaluaciones de riesgo, mientras que marcos como Basilea II , Objetivos de Control de ISACA para Tecnologías de Información y Tecnología , El enfoque de Octave del Instituto ha proporcionado pautas de evaluación de riesgos a organizaciones de todo el mundo. Mientras que las instituciones y marcos de gobernanza continúan ampliando sus discusiones sobre riesgo, los auditores principiantes pueden preguntarse cuál es el verdadero riesgo y por qué las evaluaciones de riesgos son importantes para la comunidad de auditoría interna.
De acuerdo con el IIA, el riesgo se define como la posibilidad de que ocurra un evento, lo que afectará el logro de los objetivos de una organización ( The Professional Practices Framework 2004). Hay muchas formas de riesgo en una organización, incluyendo riesgo de TI, riesgo financiero, riesgo operacional, riesgo de seguridad de red y riesgo de personal. Para abordar los riesgos con mayor eficacia, las organizaciones pueden utilizar un enfoque de gestión de riesgos que identifica, evalúa, administra y controla eventos o situaciones potenciales.
Entre otras cosas, el objetivo de una gestión eficaz de los riesgos es asegurar que cada riesgo se identifique, documente, priorice y mitigue cuando sea posible. Debido a que todas las organizaciones se enfrentan al riesgo, ya sea positivo (es decir, oportunidades) o negativo (es decir, los eventos que obstaculizan los procesos de la empresa), el desafío para los auditores es saber cuándo ocurrirá el riesgo y el impacto que tendrá en la organización.
Además, los auditores deben considerar la probabilidad de que ocurra el riesgo. Por ejemplo, puede que no sea necesario que la organización se preocupe por un riesgo particular de TI cuando la probabilidad de que ocurra es significativamente baja y su impacto es bajo también. Sin embargo, las organizaciones deben concentrarse en riesgos de baja probabilidad que tendrán un alto impacto negativo. Como resultado, es importante tener en cuenta el impacto y la probabilidad de cada riesgo al establecer un programa eficaz de gestión de riesgos que cubra el riesgo de toda la empresa.
El proceso de gestión de riesgos
Al establecer un proceso o iniciativa de gestión de riesgos, los auditores deben recomendar que las organizaciones examinen las mejores prácticas de gestión en el área. Normalmente, los planes de gestión de riesgos tienen los siguientes objetivos:
- Eliminar los riesgos negativos.
- Reducir los riesgos a un nivel “aceptable” si no se pueden eliminar los riesgos. Esto significa un nivel de riesgo con el que la organización puede vivir, asegurándose de que los controles adecuados están en su lugar para mantener los riesgos dentro de un rango aceptable.
- Transferir los riesgos por medio de un seguro (es decir, asegurar los activos de la empresa por robo o destrucción, como daño por huracán o incendio) o transferir el riesgo a otra organización (es decir, usar un proveedor externo para instalar equipo de red para que el proveedor Se responsabiliza por el éxito o el fracaso de la instalación).
En 2002, el Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) publicó un conjunto de mejores prácticas de gestión de riesgos de seguridad de TI. El documento del NIST, Guía de Gestión de Riesgos para Sistemas de Tecnología de la Información (PDF), trata en detalle el proceso de gestión de riesgos de seguridad de TI. Según la guía, la gestión del riesgo de TI consiste en evaluaciones de riesgos, mitigación de riesgos y evaluaciones y evaluaciones de riesgos en curso. Por ejemplo, la etapa de evaluación del riesgo es donde el auditor identifica y evalúa cada riesgo, el impacto que estos riesgos tienen en la organización y cualquier recomendación que reduzca el riesgo. La etapa de mitigación del riesgo consiste en priorizar, implementar y mantener las medidas apropiadas de reducción de riesgos que se recomiendan en el proceso de evaluación de riesgos,
Como se menciona en la guía del NIST, las evaluaciones de riesgos deben ser el primer paso en una iniciativa de gestión de riesgos de TI. El resultado final de la evaluación del riesgo es determinar el alcance de la amenaza potencial y su riesgo asociado, que se define como la probabilidad de que una amenaza determinada pueda explotar o aprovechar una vulnerabilidad particular. Por ejemplo, si un auditor está evaluando un sistema de TI, las amenazas al sistema deben analizarse junto con posibles vulnerabilidades y controles implementados.
Identificación de riesgos
El proceso de evaluación de riesgos comienza con la identificación de las categorías de riesgo. Una organización muy probablemente tendrá varias categorías de riesgo para analizar e identificar los riesgos que son específicos de la organización. Ejemplos de categorías de riesgo incluyen:
- Riesgos técnicos o informáticos.
- Riesgos de gestión de proyectos.
- Riesgos organizacionales.
- Riesgos financieros.
- Riesgos externos.
- Riesgos de cumplimiento.
Por ejemplo, los riesgos técnicos están asociados con el funcionamiento de aplicaciones o programas que incluyen computadoras o dispositivos de seguridad perimetral (por ejemplo, una computadora que se conecta directamente a Internet podría estar en riesgo si no tiene software antivirus). Un ejemplo de un riesgo de gestión de proyecto podría ser la insuficiencia del gerente de proyecto para completar y entregar un proyecto, lo que provoca que la compañía retrasa la liberación de un producto al mercado. Los riesgos organizacionales tratan de cómo la infraestructura de la empresa se relaciona con las operaciones comerciales y la protección de sus activos (por ejemplo, la empresa no tiene una clara separación de funciones entre sus entornos de producción y desarrollo) Mientras que los riesgos financieros incluyen eventos que tendrán un impacto financiero en la organización (por ejemplo, invertir las reservas de efectivo de la compañía en un esquema de inversión altamente especulativo). Los riesgos externos son aquellos eventos que afectan a la organización pero que se producen fuera de su control (por ejemplo, desastres naturales como terremotos e inundaciones). Por último, un riesgo de cumplimiento se produce cuando una empresa no cumple con las regulaciones federales obligatorias, que a menudo resulta en multas o sanciones legales.
Determinación del nivel de probabilidad de riesgo
Nivel de probabilidad
|
Definición de probabilidad
|
Alto | La fuente de la amenaza está altamente motivada y suficientemente capaz, y los controles que impiden que se ejerza la vulnerabilidad son ineficaces. |
Medio | La fuente de la amenaza está motivada y es capaz, pero existen controles que pueden impedir el éxito de la vulnerabilidad. |
Bajo | La fuente de la amenaza carece de motivación o capacidad, y existen controles para prevenir o impedir significativamente que se ejerza la vulnerabilidad. |
Tabla 1: Niveles de Verosimilitud de Riesgo (Adaptado de la Guía de Gestión de Riesgos del NIST para Sistemas de Tecnología de la Información) |
Una vez que se identifican los riesgos, el siguiente paso es determinar la probabilidad de que la vulnerabilidad potencial pueda ser explotada. Para determinar esta probabilidad hay que tener en cuenta varios factores. En primer lugar, el auditor debe considerar la fuente de la amenaza, la motivación detrás de la amenaza y la capacidad de la fuente. A continuación, los auditores deben determinar la naturaleza de la vulnerabilidad y, finalmente, la existencia y efectividad de los controles actuales para disuadir o mitigar la vulnerabilidad. La probabilidad de que una vulnerabilidad potencial pueda ser explotada puede describirse como alta, media o baja, como se indica en la Tabla 1 a la derecha.
Identificación del impacto del riesgo
El siguiente paso es determinar el impacto que la amenaza podría tener en la organización. Es importante que los auditores comprendan que no todas las amenazas tendrán el mismo impacto. Esto se debe a que cada sistema de la organización probablemente tendrá un valor diferente (es decir, no todos los sistemas de la organización valen lo mismo o se consideran de la misma manera). Por ejemplo, para evaluar el valor de un sistema, los auditores deben identificar los procesos realizados por el sistema, la importancia del sistema para la empresa y el valor o la sensibilidad de los datos en el sistema. Un sistema que maneje la nómina de la compañía tendrá más valor que el sistema que se utiliza para mantener la base de datos del menú del comedor.
El impacto de un evento de seguridad puede definirse como una violación o pérdida de confidencialidad, integridad o disponibilidad, lo que puede resultar en una divulgación no autorizada de información de la compañía (es decir, pérdida de confidencialidad), la modificación incorrecta de la información De integridad), y la indisponibilidad de un sistema cuando es necesario (es decir, pérdida de disponibilidad). La magnitud del impacto también puede clasificarse como alta, media o baja como se muestra en la Tabla 2 a continuación.
Impacto
|
Definición
|
Alto | Riesgos de alto impacto pueden dar lugar a la alta costosa pérdida de los activos; Riesgos que violen, dañan o impiden operaciones de manera significativa ; O riesgos que causan muerte humana o lesiones graves. |
Medio | Los riesgos medios de impacto pueden resultar en la costosa pérdida de activos; Riesgos que violen, dañan o obstaculizan las operaciones; O riesgos que causan lesiones humanas. |
Bajo | Los riesgos de bajo impacto pueden resultar en la pérdida de algunos activos o pueden afectar notablemente las operaciones. |
Tabla 2: Niveles de Impacto del Riesgo(Adaptado de la Guía de Gestión de Riesgos del NIST para Sistemas de Tecnología de la Información) |
Además, los auditores deben medir el impacto real del riesgo en la organización. Esto se puede hacer midiendo el impacto del riesgo de manera cuantitativa (por ejemplo, la pérdida de ingresos o el costo de reemplazar el equipo de TI) o cualitativa (por ejemplo, la pérdida de confianza pública cuando se anuncia una violación de seguridad en los medios). Existen ventajas y desventajas para ambos enfoques.
El enfoque de análisis de impacto cuantitativo proporciona una medida definida de la magnitud del impacto, que puede utilizarse para calcular el análisis costo-beneficio de un control. Por ejemplo, si el impacto de pérdida de disponibilidad de un activo se define cuantitativamente como US $ 1,000, entonces un control de US $ 10 dólares para mitigar la amenaza tiene un costo-beneficio de 100 a 1 ($ 1,000 / $ 10).
Una desventaja importante de este enfoque cuantitativo es el uso de amplios rangos numéricos que pueden llegar a ser bastante confusos. Por ejemplo, se puede obtener un cálculo de costo-beneficio de 100 a 1 de una pérdida de $ 1,000 y un control atenuante de $ 10 o de una pérdida de $ 500 y un control atenuante de $ 5. Por lo tanto, simplemente mirar el beneficio de costo final de 100 a 1 realmente no da a los auditores una idea del impacto negativo real o del costo del control de mitigación. Todo lo que el auditor recibe son números en forma de ratios.
Por otro lado, la ventaja del análisis cualitativo (es decir, alto, medio o bajo) es que permite al auditor priorizar los riesgos e identificar áreas de mejora rápidamente. Sin embargo, este enfoque no proporciona los medios para calcular el costo-beneficio para cualquiera de los controles recomendados. Es decir, el auditor puede determinar que un activo particular tiene un alto riesgo, pero él o ella no sabrá cuál será el costo del impacto o la eficacia del control atenuante.
Probabilidad de Amenaza
|
Impacto bajo(1-10)
|
Impacto medio(11-20)
|
Alto Impacto(21-30)
|
Alta (1.0) |
Medio
10 (10 x 1,0) |
Medio
20 (20 x 1,0) |
Alto
30 (30 x 1.0) |
Medio (0,5) |
Baja
5 (10 x 0,5) |
Medio
10 (20 x 0,5) |
Medio
15 (30 x 0,5) |
Bajo (0,1) |
Bajo
1 (10 x 0,1) |
Baja
2 (20 x 0,1) |
Baja
3 (30 x 0,1) |
Tabla 3: Tabla de probabilidad de amenaza |
Una vez que se mide el impacto de un riesgo, el auditor puede identificar su probabilidad de ocurrir y completar una evaluación de impacto para cada riesgo. La tabla 3 a la derecha puede usarse para determinar la probabilidad o probabilidad de ocurrencia del riesgo:
Al usar la Tabla 3, el auditor evaluará el riesgo como teniendo un impacto bajo, medio o alto. La tabla define la escala de impacto del riesgo como:
- Bajo: 1 a 10.
- Medio: 11 a 20.
- Alta: 21 a 30.
La Tabla 3 también define un alto riesgo como teniendo un valor de 1,0, un riesgo medio como teniendo un valor de 0,5 y un bajo riesgo como un valor de 0,1. Una amenaza tiene el riesgo más alto (es decir, un valor de 30) si el impacto es alto y la probabilidad de amenaza es alta (es decir, un valor de 1,0). Una amenaza tiene el riesgo más bajo (es decir, un valor de 1) si el impacto es bajo y la probabilidad de amenaza es baja (es decir, un valor de 0,1). Antes de utilizar esta tabla, los auditores deben tener en cuenta que los rangos utilizados en estos ejemplos son arbitrarios. Los auditores pueden utilizar cualquier rango, como 1 a 25 para amenazas de bajo impacto, 26 a 50 para una amenaza de impacto medio y 51 a 75 para una amenaza de alto impacto si lo desea. Por ejemplo, los auditores sólo pueden elegir uno de los números de cada uno de los conjuntos (es decir, 1, 2, 3 para las amenazas de bajo impacto, 5, 10, 15 para las amenazas de impacto medio y 10, 20, 30 para las amenazas de alto impacto). El concepto principal es asignar un rango de valor para las amenazas de bajo, mediano y alto impacto de manera que el auditor tenga un punto de referencia de evaluación del riesgo común. Lo mismo ocurre con los números de posibilidad de amenaza utilizados en el gráfico.
Al abordar los riesgos, muchas organizaciones suelen corregir esos riesgos con un menor impacto en la organización y una menor probabilidad, ya que son más fáciles de solucionar y fijar un mayor número de problemas abiertos en un corto período de tiempo se ve mejor en el papel. Sin embargo, los auditores deben recomendar que las organizaciones empiecen por abordar aquellos riesgos que tengan mayor probabilidad de ocurrir y que tengan el mayor impacto. Esto se debe a que al concentrarse en los riesgos de bajo impacto en primer lugar, la empresa sigue siendo vulnerable a los riesgos de alto impacto que pueden causar daños irreparables.
Además, aunque los riesgos de alto impacto / alta probabilidad deberían ser de alta prioridad, los riesgos de bajo impacto / alta probabilidad y los riesgos de alto impacto / baja probabilidad también pueden requerir atención inmediata. Por lo tanto, cada riesgo debe ser cuidadosamente evaluado antes de determinar qué riesgo necesita ser abordado en primer lugar. Por ejemplo, un sistema conectado a Internet puede ser muy vulnerable porque no se instala un parche de software específico y cualquier troyano procedente de Internet puede infectar el sistema. Como resultado, si el sistema permanece sin parche, podría tener un gran impacto en las operaciones cotidianas de la organización (es decir, si el sistema permanece sin revisión, es muy probable que el sistema tenga un alto impacto en la organización).
Ahora, imagine que la organización utiliza otro sistema que no está conectado a Internet. En este caso, el impacto en la organización sigue siendo alto, porque el sistema no está protegido y es vulnerable a cualquier troyano que atraviese la red. Sin embargo, debido a que la máquina no está conectada a Internet, la probabilidad de amenaza es baja (es decir, este es un ejemplo de alto impacto / riesgo de baja probabilidad). A partir de estas dos situaciones, el auditor puede determinar que el primer sistema plantea un mayor riesgo para la organización y debe fijarse primero.
Avanzando
Muchas organizaciones están implementando programas de administración de riesgos que pueden ayudarles a enfrentar los riesgos de toda la compañía y las amenazas potenciales. En el área de TI, un programa eficaz de gestión de riesgos se basa en la experiencia del auditor, lo que permite a la organización aplicar los controles necesarios de gestión de riesgos a un área específica o sistema de TI.
Para maximizar su eficacia, los auditores deben recomendar que la iniciativa de gestión de riesgos reciba el apoyo y el compromiso de la alta dirección. Esto ayudará a establecer el tono adecuado en la parte superior para el programa, así como garantizar que los controles se gestionan adecuadamente y las políticas y procedimientos de gestión de riesgos implementados son cumplidos por el personal de la empresa. Además, el tono adecuado en la parte superior ayudará a establecer la actitud de la organización hacia el riesgo y los tipos de riesgos que son aceptables. Por último, el equipo de auditoría debe tener la formación adecuada o experiencia en el área de gestión de riesgos para identificar y calificar mejor los niveles de riesgo, así como evaluar los controles para determinar si cumplen con las necesidades de gestión de riesgos de la organización.
Además de la guía del NIST y los reglamentos y marcos mencionados al principio de este artículo, los auditores internos principiantes pueden consultar los dos documentos siguientes para obtener información adicional sobre el proceso de gestión de riesgos:
” Auditing System Conversions ” por Dan Swanson, CIA, CMA, CISA, CISSP, CAP.
” El papel de la auditoría interna en toda la gestión del riesgo ” (PDF) por el IIA.
” El papel de la auditoría interna en toda la gestión del riesgo ” (PDF) por el IIA.
No hay comentarios.:
Publicar un comentario