Control Interno Informático

•Controla diariamente que todas las actividades de los sistemas de información sean
realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección
de la organización y/o la dirección informática, así como los requerimientos legales.
• Realizar en los diferentes sistemas (centrales, departamentales, redes locales, PC’s,
etc.) y entornos informáticos (producción, desarrollo o pruebas) el control de las
diferentes actividades operativas.

Objetivos Principales
•Asesorar sobre el conocimiento de las normas.
•Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorias
externas al grupo.
•Definir, implantar y ejecutar mecanismos y controles para comprobar el logro del
servicio informático.

Importancia
El Control Interno contribuye a la seguridad de los sistemas que se utiliza en la empresa,
fijando y evaluando los procedimientos administrativos, contables, financieros,
tecnológicos que ayudan a que la empresa realice su objeto. Detecta las irregularidades
y errores y propugna por la solución factible evaluando todos los niveles de autoridad,
la administración del personal, los métodos y sistemas contables para que así el auditor
pueda dar cuenta veraz de las transacciones y manejos empresariales.

Componentes del Control Interno

Tipos de Control Interno

•Controles preventivos. Tratan de evitar el hecho, como un software de seguridad que
impida los accesos no autorizados al sistema.

•Controles detectivos. Cuando fallan los preventivos, para conocer cuanto antes el
evento. Por ejemplo: el registro de intentos de acceso no autorizado, etc.

• Controles correctivos. Facilitan la vuelta a la normalidad cuando se ha producido

incidencias. Por ejemplo: la recuperación de un archivo dañado a partir de copias de
seguridad.
Metodología
• Fase 1. Definición de Objetivos de Control.
•Tarea 1. Análisis de la Empresa: Estudio de los procesos, organigramas y
funciones
•Tarea 2. Recopilación de Estándares: Todas las fuentes de información
necesarias para conseguir definir los objetivos de control a cumplir. ( ISO,
ITSEC, CISA )
•Tarea 3. Definición de los Objetivos de Control
•Fase 2. Definición de los Controles.
•Tarea 1. Definición de los Controles: Con los Objetivos de Control Definidos,
analizamos los procesos y vamos definiendo los distintos controles que se
necesiten.
•Tarea 2. Definición de Necesidades Tecnológicas ( HW y Herramientas de
control )
•Tarea3. Definición de los Procedimientos de Control: Se desarrollan los distintos
procedimientos que se generan en las áreas usuarias, informática, control
informático y control no informático.
•Tarea 4. Definición de las Necesidades de Recursos Humanos
• Fase 3. Implantación de los Controles.
Ya definidos los controles, las herramientas de control y los recursos humanos
necesarios, no resta mas que implantarlos en forma de acciones específicas.

Una vez terminada la implantación habrá que documentar los procedimientos nuevos y
revisar los afectados de cambio. Los procedimientos resultantes serán:
• Procedimientos propios de Control de la Actividad Informática.
• Procedimiento de distintas áreas usuarias de la informática, mejorados.
• Procedimientos de áreas informáticas, mejorados.
• Procedimientos de control dual entre control interno informático y el área informática,
los usuarios informáticos, y el área de control no informático.

Herramientas de control
Las herramientas de control son elementos SW que por sus características funcionales
permiten vertebrar un control de una manera más actual y más automatizada.
Las herramientas de control mas comunes son :
• Seguridad lógica del sistema. • Seguridad lógica complementaria al sistema
• Seguridad lógica para entornos distribuidos. • Control de acceso físico.
• Control de Presencia. • Control de copias • Gestión de soportes magnéticos.
• Control de proyectos. • Control de versiones. • Control de cambios.
Sistemas de Control Interno
Es el conjunto de todos los elementos e donde lo principal son las personas, los sistemas
de información, la supervisión y los procedimientos.
Sistemas de Control Interno Informático
•Este es de vital importancia, ya que promueve la eficiencia, asegura la efectividad,
previene que se violen las normas y los principios de general aceptación. Los directivos
de las organizaciones deben crear un ambiente de control, un conjunto de
procedimientos de control directo y las limitaciones del control interno.

Principios del Control Interno

•El control interno es un medio no un fin en sí mismo, es un proceso desarrollado por el
personal de la organización y no puede ser considerado infalible, ofreciendo solamente
una seguridad razonable. Por lo tanto, no es posible establecer una receta universal de
control interno que sea aplicable a todas las organizaciones existentes. Sin embargo, es
posible establecer algunos principios de control interno generales así:
 Deben fijarse claramente las responsabilidades. Si no existe delimitación el
control será ineficiente.
 La contabilidad y las operaciones deben estar separados. No se puede ocupar un
punto control de contabilidad y un punto control de operaciones.
 Deben utilizarse todas las pruebas existentes, para comprobar la exactitud, tener
la seguridad de que las operaciones se llevan correctamente.
 Ninguna persona individual debe tener a su cargo completamente una
transacción comercial. Una persona puede cometer errores, es posible
detectarlos si el manejo de una transacción está dividido en dos o más personas.
 Debe seleccionarse y entrenarse cuidadosamente el personal de empleados. Un
buen entrenamiento da como resultado más rendimiento, reduce costos y los
empleados son más activos.
 Si es posible se deben rotar los empleados asignados a cada trabajo, debe
imponerse la obligación de disfrutar vacaciones entre las personas de confianza.
La rotación evita la oportunidad de fraude.
 Las instrucciones de cada cargo deben estar por escrito. Los manuales de
funciones cuidan errores.
 Los empleados deben tener póliza de fianza. La fianza evita posibles pérdidas a
la empresa por robo.
 No deben exagerarse las ventajas de protección que presta el sistema de
contabilidad de partida doble. También se cometen errores.
 Deben hacerse uso de las cuentas de control con la mayor amplitud posible ya
que prueban la exactitud entre lo saldos de las cuentas.
 Debe hacerse uso del equipo mecánico o automático siempre que esto sea
factible. Con éste se puede reforzar el control interno.

Algunos Controles Internos

 Controles generales organizativos.
 Controles de desarrollo, adquisición y mantenimiento de sistemas de
información.
 Controles de explotación de sistemas de información.
 Controles en aplicaciones.
Auditoría y Control Interno Informático
Política
de
Segurida
Pland de
Seguridad
Normas y
Procedimientos
Medidas Tecnológicas
implantadas
Formación y Mentalización
Similitudes y Diferencias
CONTROL INTERNO AUDITOR INFORMÁTICO
INFORMÁTICO
SIMILITUDES PERSONAL INTERNO
Conocimientos especializados en tecnologías de información
verificación del cumplimiento de controles internos, normativa y
procedimientos establecidos por la dirección informática y la
dirección general para los sistemas de información.
DIFERENCIAS Análisis de los controles en el día Análisis de un momento
a día. informático determinado.
Informa a la dirección del Informa a la dirección general
departamento de informática. de la organización.
Sólo personal interno. Personal interno y/o externo.
El enlace de sus funciones es Tiene cobertura sobre todos los
únicamente sobre el componentes de los sistemas
departamento de informática. de información de la
organización.
ERROR–FRAUDE-DELITO PREVENCIÓN Y DETECCIÓN
Error
• Los errores pueden ser consecuencia de fallos matemáticos o administrativos en
los registros contables, aplicación errónea de los SGSI o malinterpretación de los
hechos existentes.
• Las irregularidades en los estados financieros, estructuras informáticas, etc.
pueden ser el resultado de una mal interpretación u omisión deliberadas de los
efectos de hechos, operaciones u otros cambios intencionados en los registros y
controles.
Tipos de Error
• Errores de Omisión: no son intencionales, son errores humanos y los mas
numerosos y costosos en la industria, pues contribuyen en mas al gasto o la falta
de beneficio.
 • Errores intencionales: son los desfalcos y falsificaciones de registros.
• Errores de Aplicación.- se produce cuando se utiliza incorrectamente una
normativa, leyes, procedimientos o estándares referentes al control y seguridad.
Errores más frecuentes
• Uno de los errores más frecuentes, son los cambios erróneos referentes al
servicio. Par evitar esto, se deben tener en cuenta lo siguientes planes:
• La contratación y formación del personal; • La reubicación;
• La formación al usuario; • Las comunicaciones sobre
los cambios;
• Los cambios en la naturaleza de la tecnología a la que se da soporte;
• El cierre formal de los servicios.
• Otro error común será el no asegurar que los compromisos, de continuidad y
disponibilidad, acordados con los clientes puedan cumplirse bajo todas las
circunstancias.
Error
• El Error se presenta por:
• Equivocaciones en los registros • Omisión o mala interpretación de
los hechos
• Mala aplicación de políticas, normas o procedimientos
• La información no refleja la realidad.
Delito
El delito es definido como una conducta típica, antijurídica e imputable, sometida a una
sanción penal y a veces a condiciones objetivas de punibilidad. Supone una conducta
infraccional, es decir, una acción u omisión tipificada y penada por la ley
Clasificación de los Delitos
• Por las formas de la culpabilidad
• Doloso: el autor ha querido la realización del hecho típico. Hay
coincidencia entre lo que el autor hizo y lo que deseaba.
• Culposo o imprudente: el autor no ha querido la realización del hecho
típico. El resultado no es producto de su voluntad, sino del
incumplimiento del deber de cuidado.
• Por la forma de la acción
• Por comisión: surgen de la acción del autor. Cuando la norma prohíbe
realizar una determinada conducta y el actor la realiza.
• Por omisión: son abstenciones, se fundamentan en normas que ordenan
hacer algo. El delito se considera realizado en el momento en que debió
realizarse la acción omitida.
• Por omisión propia: Los puede realizar cualquier persona, basta con
omitir la conducta a la que la norma obliga.
• Por omisión impropia: Es posible mediante una omisión, consumar un
delito de comisión (delitos de comisión por omisión), como consecuencia
el autor será reprimido por la realización del tipo legal basado en la
prohibición de realizar una acción positiva. No cualquiera puede cometer
un delito de omisión impropia, es necesario que quien se abstiene tenga
 el deber de evitar el resultado (deber de garante). Por ejemplo: La madre
que no alimenta al bebe, y en consecuencia muere. Es un delito de
comisión por omisión.
Delito Informático
• Un delito informático o ciberdelincuencia es toda aquella acción, típica,
antijurídica y culpable, que se da por vías informáticas o que tiene como objetivo
destruir y dañar ordenadores, medios electrónicos y redes de Internet. Debido a
que la informática se mueve más rápido que la legislación, existen conductas
criminales por vías informáticas que no pueden considerarse como delito, según
la "Teoría del delito", por lo cual se definen como abusos informáticos, y parte
de la criminalidad informática.
• Los delitos informáticos son aquellas actividades ilícitas que:
• Se cometen mediante el uso de computadoras, sistemas informáticos u
otros dispositivos de comunicación (la informática es el medio o
instrumento para realizar un delito); o
• Tienen por objeto causar daños, provocar pérdidas o impedir el uso de
sistemas informáticos (delitos informáticos).
• La criminalidad informática tiene un alcance mayor y puede incluir delitos
tradicionales como el fraude, el robo, chantaje, falsificación y la malversación de
caudales públicos en los cuales ordenadores y redes han sido utilizados como
medio. Con el desarrollo de la programación y de Internet, los delitos
informáticos se han vuelto más frecuentes y sofisticados.
• La criminalidad informática incluye una amplia variedad de categorías de
crímenes. Generalmente este puede ser dividido en dos grupos:
• Crímenes que tienen como objetivo redes de computadoras, por
ejemplo, con la instalación de códigos, gusanos y archivos maliciosos,
Spam, ataques masivos a servidores de Internet y generación de virus.
• Crímenes realizados por medio de ordenadores y de Internet, por
ejemplo, espionaje, fraude y robo, pornografía infantil, pedofilia, etc.
Fraude
• Es un acto intencional realizado por una o más personas de la administración,
personal de la empresa o terceros, que da como resultado una representación
equivocada de los controles y estados de la tecnología, pudiendo implicar:
• Manipulación, falsificación o alteración de registros o documentos
• Uso indebido de activos y/o ingresos
• Supresión u omisión de los efectos de ciertas transacciones en los
registros o documentos
• Registro de transacciones sin sustancia o respaldo
• Incorrecta aplicación o no aplicación de normas contables
• Alteración en la recepción de productos • La
sustracción de activos
• Pago de servicios o productos que no se han recibido •Uso de activos
para uso personal
El Porque de los Fraudes
 • Se considera que hay fraudes por:
• Falta de controles adecuados. •Poco y mal capacitado personal.
• Baja / alta rotación de puestos. •Documentación confusa.
• Salarios bajos. • Existencia de activos de fácil conversión: bonos,
pagares, etc.
• Legislación deficiente. •Actividades incompatibles entre sí.
• Es un hecho demostrado que evitar fraudes es responsabilidad de todos
los empleados. Por ello, es importante crear una cultura empresarial
encaminada a minimizar el riesgo de fraude.
• Oportunidad.- Para que exista un fraude debe existir una oportunidad.
Esta puede ser provocada por la falta de controles.
Fraude Informático
• Son conductas que consisten en la manipulación ilícita, a través de la creación de
datos falsos o la alteración de datos o procesos contenidos en sistemas
informáticos, realizada con el objeto de obtener ganancias indebidas.
• Pueden ser realizados mediante manipulación de computadoras, la cual se
subdivide en:
• Fraudes cometidos mediante manipulación de datos de entrada • Manipulación
de programas
• Manipulación de datos de salida • Fraude efectuado por la manipulación de la
información.
• Manipulación de los datos de entrada: conocido también como sustracción de
datos o manipulación del input, es el más común de los delitos informáticos ya
que es fácil de cometer y difícil de descubrir. Este tipo de fraude no requiere de
conocimientos técnicos de informática y es realizable por cualquier persona que
tenga acceso a las funciones normales de procesamiento de datos en la fase de
adquisición de los mismos. Consiste en alterar datos, omitir ingresar datos
verdaderos o introducir datos falsos, en un ordenador.
• La manipulación de programas: es el denominado Caballo de Troya, consiste en
interferir en el correcto procesamiento de la información, alterando el programa
o secuencia lógica con el que trabaja el ordenador. Esta modalidad puede ser
cometida tanto al modificar los programas originales existentes en el sistema de
computadoras, como al adicionar al sistema programas especiales que introduce
el autor, es decir, insertar instrucciones de computadora de forma encubierta en
un programa informático para que pueda realizar una función no autorizada al
mismo tiempo que su función normal.
• Manipulación de los datos de salida: modalidad denominada también
manipulación del output, es efectuada fijando un objetivo al funcionamiento del
sistema informático. Una característica general de este tipo de fraude,
interesante para el análisis jurídico, es que, en la mayoría de los casos
detectados, la conducta delictiva es repetida varias veces en el tiempo, producto
a que una vez que el autor descubre o crea una laguna o falla en el sistema, tiene
la posibilidad de repetir, cuantas veces pretenda, la comisión del hecho. El
ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos
 mediante la falsificación de instrucciones para la computadora en la fase de
adquisición de datos. Tradicionalmente esos fraudes se hacían a base de tarjetas
bancarias robadas; sin embargo, en la actualidad se usan ampliamente equipos
y programas de computadora especializados para codificar información
electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las
tarjetas de crédito
• Fraude efectuado por manipulación informática: El autor lo ejecuta valiéndose
de las repeticiones automáticas de los procesos del cómputo. Esta es una técnica
especializada que se denomina "técnica del salchichón" en la que "rodajas muy
finas" apenas apreciables, de transacciones financieras, se van sacando
reiteradamente de una cuenta y se transfieren a otra.
Fraude en pedidos, despachos y facturación de empresa manufacturera
• Una compañía manufacturera, disponía de sistemas de información, pero
mantenía otros procesos de forma manual, como la elaboración de notas de
entrega y algunos procesos de facturación. Actividades importantes como la
elaboración de facturas comenzaban manualmente, siendo registradas en el
sistema al ocurrir el despacho de mercancía.
• Ciertos miembros del personal implementaron un mecanismo de fraude interno
que consistía en el registro de empresas de su propiedad, para luego proceder al
registro de pedidos, emisión manual de la factura, elaboración manual de la nota
de despacho, despacho de mercancía y omitiendo al final el registro de la factura
correspondiente en el sistema.
• Para lograr esto, existía complicidad con el personal encargado del registro de
las facturas en el sistema, lo que les permitía omitir el registro de ciertas facturas,
evadiendo así la cobranza de los despachos de mercancía realizados.
• Para el momento en que fue detectada la irregularidad, el daño patrimonial a la
organización rondaba por el orden de los 550.000 Dólares y sólo fueron
detectados después del cierre de un ejercicio cuando ya era demasiado tarde.
Características del Fraude Informático
• El fraude esta en el aprovechamiento, utilización o abuso de las características
funcionales de los sistemas informáticos como instrumentos para realizar una
conducta astuta, engañosa, artera, subrepticia.
• El carácter informático del fraude alude al instrumento con cuyo auxilio se
efectúa la defraudación.
• La defraudación informático debe tener las notas las características y
configuradoras de una defraudación, es decir que debe existir la causación de un
perjuicio económico, irrogado mediante un comportamiento engañoso, astuto,
artero, ósea a un, medio fraudulento que en este caso seria la propia
manipulación informática.
• Ayuda a distinguir el fraude informático de otros hechos delictivos, que no
obstante ser realizados por medios informáticos.
• No constituyen defraudaciones, por ejemplo, atentando contra la intimidad
cometidos por medio de manipulaciones informáticas.
 • La finalidad perseguida por el sujeto activo, es la que condiciona el tipo de delito,
que se produce, ya que para ellos las manipulaciones informáticas se aplican a
todos los delitos informáticos.
Origen del Fraude
• El fraude interno frecuentemente involucra: el hurto de información privilegiada
u otra propiedad de la compañía ; relaciones inadecuadas con vendedores o
asesores que llevan a conflictos de intereses ; la desviación de fondos de los
asegurados o de la compañía por los mismos empleados ; el uso de información
confidencial o la tergiversación intencional por agentes a posibles clientes sobre
las características o cobertura de los productos de compañía.
• El fraude externo puede involucrar esquemas tales como reclamaciones
fraudulentas de vida, automóvil, salud o incapacidad, el uso de productos de
seguros con ventajas tributarias para ocultar los orígenes de fondos ilícitos al
igual que la negociación de cheques falsificados.
• La acción de colusión fue creada con el fin de juzgar y sancionar procedimientos
fraudulentos entre dos o más personas, efectuados para causar perjuicios a
terceros; de ahí que, el que mediante algún procedimiento o acto colusorio
hubiere sido perjudicado en cualquier forma, como entre otros, en el caso de
privársele del dominio, posesión o tenencia de algún bien inmueble o de algún
derecho real de uso, usufructo, habitación, servidumbre o anticresis constituido
sobre un inmueble o de otros derechos que legalmente le correspondan
Tipos de Fraude
• Data diddiling o introducción de datos falsos, es una manipulación de datos de
entrada al ordenador con el fin de producir o lograr movimientos falsos en
transacciones de una empresa ora otorgarle solvencia moral y económica a una
persona que no la tiene. También puede ocurrir de publicar datos sensibles,
como los referentes a las convicciones religiosas, políticas o a la vida íntima de
las personas.
• Trojan horse o caballo de Troya, consiste en introducir rutinas en un programa
para que actúen en forma distinta a como estaba previsto.
• Rounding down o la técnica de salami, consiste en introducir al programa unas
instrucciones para que remita a una determinada cuenta los céntimos de dinero
de muchas cuentas corrientes. Aprovecha las repeticiones automáticas de los
procesos de cómputo. Es una técnica especializada, consistente en que las
cantidades de dinero muy pequeñas, se van sacando repetidamente de una
cuenta y se transfiere a otra. Esta modalidad de fraude informático se realiza sin
grandes dificultades y es muy difícil de detectar. Uno de los casos más ingeniosos
es el redondeo hacia abajo, que consiste en una instrucción que se da al sistema
informático para que transfiera a una determinada cuenta, los centavos que se
descuenten por el redondeo.
• Superzapping o llave no autorizada que abre cualquier archivo del ordenador
por muy protegido que esté, con el fin de alterar, borrar, copiar, insertar o
utilizar, en cualquier forma no permitida, datos almacenados en el ordenador.
 • Trap doors o puertas falsas, consiste en la práctica de introducir interrupciones
en la lógica de los programas con objeto de chequear en medio de procesos
complejos, si los resultados intermedios son correctos, producir salidas de
control con el mismo fin o guardar resultados intermedios en ciertas áreas para
comprobarlos mas adelante.
• Logic bombs o bombas lógicas o cronológicas, es una especie de bomba de
tiempo que debe producir daños posteriormente como si se tratase de un
sabotaje, venganza o deseo de perjudicar. Consiste en la introducción de un
programa con un conjunto de instrucciones indebidas que van a actuar en
determinada fecha o circunstancias; destruyendo datos del ordenador,
distorsionando el funcionamiento del sistema o paralizando el mismo. Las
bombas lógicas, son difíciles de detectar antes de que exploten; son las que
pueden resultar más dañinas y prever que exploten cuando el delincuente ya se
encuentra lejos. La bomba lógica puede utilizarse también como instrumento de
extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en
donde se halla.
• Asyncronous attack o ataques sincrónicos, basados en la forma de funcionar los
sistemas operativos y sus conexiones con los programas de aplicación a los que
sirven y soportan en su ejecución. Es un fraude de alto conocimiento técnico,
muy difícil de detectar.
• Acavenging o recogida de información residual, es el aprovechamiento de
información abandonada sin ninguna protección como residuo de un trabajo
previamente autorizado. To scavenge, traduce, recoger basura. Puede
efectuarse físicamente cogiendo papel de desecho de papeleras o
electrónicamente, tomando información residual que ha quedado en memoria
o en soportes magnéticos.
• Data leakage o divulgación no autorizada de datos reservados, es una variedad
del espionaje industrial que sustrae información confidencial de una empresa.
• Pyppybacking and impersonation o toma no autorizada de información,
consiste en acceder a áreas restringidas para pillar información de una empresa,
aprovechando que el empleado encargado del equipo no está presente.
• Wiretgapping o pinchado de líneas telefónicas de transmisión de datos para
recuperar la información que circula por ellas, por medio de un radio, un modem
y una impresora.
• Simulation and modeling o planificación y simulación de un delito informático
antes de realizarlo, para ver qué repercusión va a tener en los asientos contables
de una empresa.
• Manipulación de información por hackers o jóvenes fanáticos de la
informática, que son capaces con un modem de acceder a redes de transmisión
de datos, saltándose las medidas de seguridad y leer información confidencial,
sustraerla, alterarla, destruirla o cometer fraude sobre ella.
Prevención del Fraude
• Realizar una copia de seguridad o backup: Es importante que realice de forma
periódica una copia de seguridad. Puede hacerlo de forma manual, guardando la
 información en medios extraíbles (disco duro rígido, cd-rom grabable, cintas
magnéticas, discos ZIP, JAZ o magnetoópticos) o con programas especialmente
creados para realizar copias de seguridad.
• ·Evita dar información a través de e-mail, teléfono, nunca llenes formularios en
blanco que llegue a través de e-mail.
• Contraseñas No Descifrables fácilmente Es importante que la contraseña
contenga letras mayúsculas, minúsculas y números. NUNCA enviar contraseñas
por e-mail, Messenger, chats, etc, No emplear la misma contraseña para todos
los servicios y cambiar periódicamente la contraseña.
• Habilita MAC: número distintivo que no pertenece a la computadora, sino al
dispositivo conectado a la red, llamado número MAC. Por ello es posible habilitar
un filtro para que sólo se conecten a nuestra red los dispositivos con un
determinado número MAC.
• Las solicitudes típicas de phishing no están personalizadas. A diferencia de su
banco o de la compañía emisora de su tarjeta de crédito, que pueden incluir su
nombre y/o un identificador o tipo de cuenta, las solicitudes de phishing en
general mantienen el saludo y la información acerca de usted de una manera
genérica.
• Sospeche de direcciones Web o URL numérica Por lo general, la dirección Web o
URL de una compañía incluye parte del nombre de la compañía seguido de .com,
.org o .net. Un sitio falso que usa una dirección Web (o dirección de IP) numérica
o que contiene un símbolo "@" dentro de la dirección puede constituir una alerta
de que se trata de un sitio fraudulento Tomado
[Link]
Riesgo
• Riesgo es la vulnerabilidad ante un potencial perjuicio o daño para las unidades,
personas, organizaciones o entidades (en general "bienes jurídicos protegidos").
Cuanto mayor es la vulnerabilidad mayor es el riesgo, pero cuanto más factible
es el perjuicio o daño, mayor es el peligro. Por tanto, el riesgo se refiere sólo a la
teórica "posibilidad de daño" bajo determinadas circunstancias, mientras que el
peligro se refiere sólo a la teórica "probabilidad de daño" bajo esas
circunstancias. Por ejemplo, desde el punto de vista del riesgo de daños a la
integridad física de las personas, cuanto mayor es la velocidad de circulación de
un vehículo en carretera mayor es el "riesgo de daño" para sus ocupantes,
mientras que cuanto mayor es la imprudencia al conducir mayor es el "peligro
de accidente" (y también es mayor el riesgo del daño consecuente).
Riesgo Informático
• Riesgo se puede definir como aquella eventualidad que imposibilita el
cumplimiento de un objetivo. De manera cuantitativa el riesgo es una medida
de las posibilidades de incumplimiento o exceso del objetivo planteado. Así
definido, un riesgo conlleva dos tipos de consecuencias: ganancias o pérdidas.
• En lo relacionado con tecnología, generalmente el riesgo se plantea solamente
como amenaza, determinando el grado de exposición a la ocurrencia de una
 pérdida (por ejemplo el riesgo de perder datos debido a rotura de disco, virus
informáticos, etc.).
• La Organización Internacional por la Normalización (ISO) define riesgo
informática como:
• “La probabilidad de que una amenaza se materialice, utilizando
vulnerabilidad existentes de un activo o un grupo de activos informáticos,
generándole perdidas o daños a la empresa o institución”.
• En la definición anterior se pueden identificar varios elementos que se deben
comprender adecuadamente para, por ende, comprender integralmente el
concepto de riesgo manejado.
• Estos elementos son: probabilidad, amenazas, vulnerabilidades, activos e
impactos.

Amenazas
• Las amenazas siempre existen y son aquellas acciones que pueden ocasionar
consecuencias negativas en la operativa de la empresa. Comúnmente se indican
como amenazas a las fallas, a los ingresos no autorizados, a los virus, uso
inadecuado de software, los desastres ambientales como terremotos o
inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc.
• Las amenazas pueden ser de carácter físico o lógico, como ser una inundación en
el primer caso, o un acceso no autorizado a una base de datos en el segundo
caso.
Activos
• Los activos a reconocer son aquellos relacionados con sistemas de información.
• Ejemplos típicos son los datos, el hardware, el software, servicios, documentos,
edificios y recursos humanos.
Impacto
• Las consecuencias de la ocurrencia de las distintas amenazas son siempre
negativas. Las pérdidas generadas pueden ser financieras, no financieras, de
corto plazo o de largo plazo.
• Se puede establecer que las más comunes son: la pérdida directa de dinero, la
pérdida de confianza, la reducción de la eficiencia y la pérdida de oportunidades
de negocio. Otras no tan comunes, felizmente, son la pérdida de vidas humanas,
afectación del medio ambiente, etc.

Probabilidad
 • Establecer la probabilidad de ocurrencia puede realizarse de manera
cuantitativa o cualitativa, pero siempre considerando que la medida no debe
contemplar la existencia de ninguna acción paliativa, o sea, debe considerarse
en cada caso qué posibilidades existen que la amenaza se presente
independientemente del hecho que sea o no contrarrestada.
• Existen amenazas, como por ejemplo incendios, para las cuales hay información
suficiente (series históricas, compañías de seguros y otros datos) para establecer
con razonable objetividad su probabilidad de ocurrencia. Otras amenazas
presentan mayor dificultad en establecer cuantitativamente la probabilidad. Por
ejemplo, el acceso no autorizado a datos; dónde se hacen estimaciones sobre la
base de experiencias.
• Siguiendo con el ejemplo, para el personal interno del Centro de
Cómputos (CPD), la probabilidad puede ser el 70%, para el personal de
la organización, externo al CPD, del 45%, y para personas de fuera, el 80%
(a través de acceso por Internet).

Vulnerabilidades
• Son ciertas condiciones inherentes a los activos o presentes en su entorno que
facilitan que las amenazas se materialicen llevan a esos activos a ser vulnerables.
Mediante el uso de las debilidades existentes es que las amenazas logran
materializarse, o sea, las amenazas siempre están presentes, pero sin la
identificación de una vulnerabilidad no podrán ocasionar ningún impacto.
• Estas vulnerabilidades son de naturaleza variada. A modo de ejemplo se citan
las siguientes: falta de conocimiento del usuario, tecnología inadecuadamente
probada (“testeada”), transmisión por redes públicas, etc.
• Una vulnerabilidad común es contar con antivirus no actualizado, la cual
permitirá al virus actuar y ocasionar daños. Si el antivirus estuviese actualizado
la amenaza (virus) si bien potencialmente seguiría existiendo no podría
materializarse.
Riesgo Inherente
• Es el riesgo intrínseco de cada actividad, sin tener en cuenta los controles que de
éste se hagan a su interior. Este riesgo surge de la exposición que se tenga a la
actividad en particular y de la probabilidad que un choque negativo afecte la
rentabilidad y el capital de la compañía.
• El riesgo inherente es propio del trabajo o proceso, que no puede ser eliminado
del sistema; es decir, en todo trabajo o proceso se encontrarán riesgos para las
personas o para la ejecución de la actividad en sí misma.
• Algunos ejemplos:
• Transporte: Choques, colisiones, volcamiento
• Metalmecánica: Quemaduras, golpes
• Minería: Derrumbes, explosiones, caídas, atrapamiento, asfixia
• En auditoría, "Riesgo inherente" es la susceptibilidad del saldo de una cuenta o
clase de transacciones a una representación errónea que pudiera ser de
importancia relativa, individualmente o cuando se agrega con representaciones
 erróneas en otras cuentas o clases, asumiendo que no hubo controles internos
relacionados. Un riesgo inherente es uno que se encuentra en el ambiente y
afecta a varias categorías o clases de transacciones.
• Este tipo de riesgo tiene ver exclusivamente con la actividad económica o
negocio de la empresa, independientemente de los sistemas de control interno
que allí se estén aplicando.
• Si se trata de una auditoría informática es la susceptibilidad de las seguridades
de la información a la existencia de errores significativos; este tipo de riesgo está
fuera del control de un auditor por lo que difícilmente se puede determinar o
tomar decisiones para desaparecer el riesgo ya que es algo innato de la actividad
realizada por la empresa.
• Entre los factores que llevan a la existencia de este tipo de riesgos esta la
naturaleza de las actividades económicas, como también la naturaleza de
volumen tanto de transacciones como de productos y/o servicios, además tiene
relevancia la parte gerencial y la calidad de recurso humano con que cuenta la
entidad.