Riesgo Inherente

Riesgo inherente

El riesgo inherente es la tendencia de un área de Tecnología de Información a cometer un error que podría ser material, en forma individual o en combinación con otros, suponiendo la inexistencia de controles internos relacionados. Por ejemplo, el riesgo inherente asociado a la seguridad del sistema operativo es normalmente alto dado que los cambios en los datos o programas, o aun su divulgación, a través de las deficiencias en la seguridad del sistema operativo podrían tener como resultado una desventaja competitiva o información de gestión falsa. Por otro lado, el riesgo inherente asociado a la seguridad de una PC independiente es normalmente bajo, cuando un análisis adecuado demuestra que no se utiliza con propósitos críticos de negocio.

El riesgo inherente para la mayoría de las áreas de auditoría de la tecnología de la información es normalmente alto dado que, por lo general, el posible efecto de los errores se extiende a varios sistemas de negocios y a un gran número de usuarios.

Al evaluar el riesgo inherente, el Auditor de TI debe tener en cuenta tanto los controles generales de TI como los detallados. Ello no se aplica en los casos en que la tarea del Auditor Interno esté relacionada exclusivamente con controles generales.

En lo que respecta a los controles generales de TI, el Auditor Interno debe tener en cuenta lo siguiente, al nivel apropiado para el área de auditoría en cuestión:

• La integridad, experiencia y conocimiento de la Gerencia de TI.

• Los cambios en la Gerencia de TI.

• La presión ejercida sobre la Gerencia de TI, que puede predisponerla a ocultar o distorsionar información (por ej., pérdida de datos en grandes proyectos críticos de negocios, actividades de hackers, etc.).

• La naturaleza del negocio y de los sistemas de la organización (por ej., la posibilidad de ejercer el comercio electrónico, la complejidad de los sistemas, la falta de sistemas integrados, etc.).

• Los factores que afectan el rendimiento de la organización en general (por ej., cambios tecnológicos, disponibilidad del personal de TI, etc.).

• El grado de influencia de terceros en el control de los sistemas auditados (por ej., debido a la integración de la cadena de suministro, la tercerización de los procesos de TI, las alianzas estratégicas de negocio y el acceso directo de los clientes).

Al nivel de los controles detallados de TI, el Auditor Interno debe tener en cuenta, en el nivel apropiado para el área de auditoría en cuestión:

• Los hallazgos y fecha de auditorías anteriores en el área.

• La complejidad de los sistemas involucrados.

• El nivel de intervención manual requerida.

• La propensión a la pérdida o apropiación indebida de los bienes controlados por el sistema (por ej., inventario, nómina, etc.).

• La probabilidad de que se produzcan picos de actividad en ciertos momentos del período de auditoría.

• Las actividades que no estén comprendidas en la rutina de procesamiento de SI (por ej., el uso de los utilitarios del sistema operativo para corregir datos, etc.).

• La integridad, experiencia y habilidades de la gerencia y el personal que participan en la aplicación de los controles de TI.

Los riesgos inherentes son mucho, aunque en el presente trabajo nos inclinaremos en el sabotaje informático, que afecta en varias formas a los sistemas de información de todo el mundo.

¿QUÉ ES EL SABOTAJE INFORMÁTICO?

Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema.

¿COMO FUNCIONA?

El ingrediente subjetivo previsto en el tipo, justifica la incorporación

...