Elaboración de una guía práctica y automatizada para analizar y evaluar el riesgo en el área de informática en las empresas.

Abstract

Con el presente trabajo se propone la creación de una herramienta para el análisis y evaluación de los riesgos a que se está expuesto en cualquier centro de procesamiento de datos, independientemente de la actividad a que se dedique alguna empresa. El proyecto, en su primer capítulo, inicia con una síntesis de lo que es el riesgo y de por qué existe la necesidad de evaluarlo, así como de los beneficios que lograremos cuando se tengan identificados y se hayan instaurado los controles necesarios para minimizar los mismos, todo desde el punto de vista del control interno. También se realiza una pequeña expedición al control interno, a sus objetivos y los elementos que deben estar presentes en el mismo. De la misma manera se detalla el concepto de empresa y de las diferentes clasificaciones sin dejar de lado la administración y las fases que la conforman, además se dan algunos criterios para establecer un sistema de control interno y se identifican los tipos de medidas existentes, a saber, preventivas, detectivas y correctivas. Todo lo anterior con el fin de ir definiendo el marco conceptual del trabajo y demarcar el propósito y el área de aplicación de la herramienta que se genere. La relación entre el control interno y la exposición al riesgo es tema trascendental en este trabajo, porque en este apartado es donde se dan las pautas que se deben seguir en la formulación de los cuestionarios, que serán la base fundamental para lograr una plena identificación de la exposición al riesgo. Continuando con el desarrollo del proyecto, nos encontramos con un modelo de valoración propuesto por los autores, que servirá para minimizar la subjetividad en la valoración de los riesgos y los medios por los cuales se puede llegar a materializar un riesgo. Otro de los temas medulares del presente trabajo es la presentación y análisis de las metodologías para evaluación de riesgos presentadas por el mexicano Alejandro Lambarri Valencia, el dominicano Enrique González Abreu y el colombiano Euclides Cubillos. Dichas metodologías servirán como eje fundamental para la formulación de la metodología propuesta. En el segundo capítulo se definen las áreas que se consideran básicas en el funcionamiento de un centro de cómputo. Para cada área se definen los puntos de control que servirán de guías para agrupar luego las medidas de control que participan y conforman los cuestionarios de evaluación. En el tercer capítulo se presentan formalmente los cuestionarios y las respectivas comprobaciones para cada medida incluida en los mismos. En las comprobaciones se detallan todos los puntos que se deben analizar y verificar para validad cada una de la metodología propuesta y las guías para la asignación de valores que se utilizarán en la determinación de la exposición a los riesgos. El cuarto capítulo hace referencia a los programas fuentes de la herramienta automatizada para la evaluación y análisis de la exposición a riesgos. El quinto y último capítulo presenta los cuestionarios y comprobaciones aplicados en el Instituto Nacional de Aprendizaje (INA). Además, se indica y detalla la evaluación de riesgos realizada. Para finalizar, también se incluye la interpretación de los resultados obtenidos.

With this work, the creation of a tool for the analysis and evaluation of the risks to which it is exposed in any data processing center is proposed, regardless of the activity to which a company is engaged. The project, in its first chapter, begins with a synthesis of what risk is and why there is a need to evaluate it, as well as the benefits that we will achieve when they are identified and the necessary controls have been established to minimize them. , all from the point of view of internal control. There is also a small expedition to internal control, its objectives and the elements that must be present in it. In the same way, the concept of the company and the different classifications are detailed without leaving aside the administration and the phases that make it up, in addition some criteria are given to establish an internal control system and the types of existing measures are identified, to know, preventive, detective and corrective. All of the above in order to define the conceptual framework of the work and demarcate the purpose and area of ​​application of the tool that is generated. The relationship between internal control and risk exposure is a transcendental issue in this work, because this section is where the guidelines to be followed in the formulation of the questionnaires are given, which will be the fundamental basis for achieving a full identification of exposure to risk.