Introducción a la Auditoría Informática

Definición de Auditoría

En el ámbito económico, auditar se define como evaluar y medir en profundidad las características de una organización con el objetivo de demostrar sus debilidades y fortalezas, teniendo en cuenta una serie de factores como la eficiencia y la rentabilidad. Asimismo, se define como un método sistemático a través del cual un sujeto independiente (auditor) lleva a cabo la revisión objetiva de un proceso (situación auditada), con el fin de emitir una opinión imparcial acerca de su razonabilidad (o fidelidad) sobre la base de un patrón o estándar previamente establecido.

Tipos de Auditoría

La auditoría puede ser interna o externa:

• Interna: Se realiza desde dentro de la empresa, para la revisión encargada por la dirección u otros propósitos internos.
• Externa:
  • Auditoría externa del proveedor u otra auditoría externa de la parte interesada.
  • Auditoría externa por organizaciones auditoras independientes, tales como las autoridades reglamentarias/legales o aquellas que proporcionan la certificación/acreditación.

Otros tipos de auditoría incluyen:

• Operacional
• Integral
• Forense
• Fiscal
• Financiera

Auditoría Informática: Alcance y Objetivos

La auditoría informática abarca:

• Evolución de sistemas y procedimientos.
• Eficiencia en el uso de la información.
• Evaluación del procesamiento de datos.
• Seguridad y confidencialidad de la información.

Los objetivos de la auditoría informática son:

• Integridad de datos.
• Efectividad de sistemas.
• Eficiencia de sistemas.
• Seguridad y confidencialidad.
• Cumplimiento normativo.

Conceptos Fundamentales en Auditoría y Gestión de Riesgos

Riesgo

Efecto que genera la incertidumbre en los objetivos. Los objetivos pueden tener un efecto si nos desviamos de lo esperado. Puede ser positivo, negativo o ambos, y puede abordar, crear o dar lugar a oportunidades y amenazas.

Medida

Término fundamental con unidades específicas:

• Número de ventas
• Distancia
• Duración
• Temperatura
• Peso

Métrica

Cantidad medible utilizada para monitorear un proceso. Ejemplo: litros de cerveza por cliente.

KPI (Key Performance Indicators) – Indicador Clave de Rendimiento

Valor medible que demuestra cuán efectiva es una organización al alcanzar sus objetivos clave. Expresa el logro de un nivel deseado de resultados en un área relevante para la actividad de la organización.

Lead KPI

Miden la influencia en el futuro, son predictivos. Miden el desempeño antes de que el resultado del proceso o del negocio comience a seguir un patrón o tendencia particular. Los KPI líderes se utilizan para predecir cambios o tendencias y ayudar a administrar el rendimiento de un sistema o proceso.

Lag KPI

Miden resultados, pero no pueden responder a preguntas predictivas. Se miden después de que un evento ha ocurrido. Se utilizan para confirmar tendencias a largo plazo y para determinar qué tan bien se gestionó un proceso o sistema.

KRI (Key Risk Indicators) – Indicador Clave de Riesgo

Métricas que proporcionan una advertencia temprana con respecto a una mayor exposición al riesgo en ciertas áreas. Es un indicador para determinar la posibilidad existente de que ocurra un evento probable en una empresa, en conjunto con las consecuencias que acarrea dicho evento (ya sean favorables o desfavorables), que pueda provocar un riesgo que lleve a la empresa a situaciones críticas. Mide el impacto negativo en un KPI. Ejemplo: Tiempo medio entre fallos, medido desde el momento en que el sistema falla inicialmente hasta que ocurre el siguiente fallo.

Para desarrollar un KRI:

• Analizar un evento que haya afectado a la organización (en el pasado o incluso en el presente).
• De adelante hacia atrás, identificar los eventos intermedios hasta llegar a la causa raíz.

La diferencia: el KPI refleja el desempeño (datos históricos) y el KRI refleja el riesgo (pronóstico).

Gestión de Riesgos

La gestión de riesgos es la identificación, evaluación y priorización de riesgos, seguida de una aplicación coordinada y económica de recursos para minimizar y controlar la probabilidad o el impacto de eventos desafortunados, o para maximizar la realización de oportunidades. Sus fases son:

Identificación del Riesgo

Proceso utilizado para encontrar, reconocer y describir los riesgos que podrían afectar el logro de los objetivos.

Análisis de Riesgo

Proceso utilizado para comprender la naturaleza, fuentes y causas de los riesgos identificados, estimar su nivel, estudiar impactos y consecuencias, y examinar los controles existentes.

Evaluación de Riesgos

Proceso utilizado para comparar los resultados del análisis de riesgos con criterios de riesgo, a fin de determinar si un nivel de riesgo especificado es aceptable o tolerable.

Gobierno Corporativo y GRC

Gobierno Corporativo

Reglas que determinan las relaciones entre los agentes que forman parte del funcionamiento de la empresa, implementadas para su adecuada administración:

• Accionistas
• Alta gerencia
• Acreedores
• Empleados
• Proveedores
• Clientes
• Sociedad

Enfoque GRC (Governance, Risk & Compliance)

“Enfoque integrado y holístico para abordar las áreas de gobierno corporativo, riesgo y cumplimiento en toda la organización, asegurándose de que esta actúa de un modo éticamente correcto y conforme a su perfil de riesgo, sus políticas internas y la normativa externa, a través de la alineación de la estrategia, los procesos, la tecnología y las personas, y mejorando de este modo la eficiencia y la efectividad.”

Beneficios del GRC:

• Mejora de la toma de decisiones.
• Inversiones en TI más óptimas.
• Eliminación de silos.
• Reducción de fragmentación en departamentos.

Gobierno de TI

Conjunto de políticas, estructuras de organización, estándares, procesos, métricas, roles y códigos de conducta que aseguran la eficiencia y eficacia del uso de TI para capacitar a una organización a cumplir sus objetivos empresariales.

Los 5 principales focos en el Gobierno de TI son:

• Alineamiento estratégico entre TI y negocio.
• Entrega de valor: eficacia y eficiencia.
• Gestión de riesgos: visualizar y minimizar.
• Gestión de recursos: optimizar.
• Medición de desempeño: KPI.

Para un buen Gobierno de TI es necesario:

• Clarificar objetivos, principios y jerarquía de reporting, definiendo quién toma las decisiones.
• Definir políticas y reglas que indican qué puede hacer cada responsable.
• Clarificar quién es responsable de qué y cuándo en las diferentes funciones de TI.
• Velar por mantener la eficiencia y efectividad en los procesos (cumplimiento de KPI).

Auditoría vs. Control Interno

Auditoría Interna

Función que proporciona una garantía independiente y objetiva de que el sistema de control interno y gestión de riesgos de una organización funciona de manera efectiva.

Control Interno

Sistema implementado por una empresa para garantizar la integridad de la información y asegurar que avanza hacia el cumplimiento de sus objetivos de rentabilidad y operativos de manera exitosa. Son actividades específicas realizadas por personas o sistemas diseñados para asegurar que se cumplan los objetivos empresariales. La aplicación de los controles debe realizarse teniendo en cuenta que su coste no exceda el coste que supondría asumir el propio riesgo.

Tipos de Control Interno

Según la oportunidad en que se ejecuta:

• Preventivo (Previo): Actúan sobre la causa de los riesgos para disminuir su probabilidad de ocurrencia (Evitar).
• Detectivo (Simultáneo): Se diseñan para descubrir un evento, irregularidad o resultado no previsto; alertan sobre la presencia de riesgos y permiten tomar medidas inmediatas (Identificar).
• Correctivo (Posterior): Permiten el restablecimiento de la actividad después de ser detectado el evento no deseable y la modificación de las acciones que propiciaron su ocurrencia (Corregir).

Según la imposición de ejecución:

• Voluntario (Mejora continua): La organización los diseña a fin de mejorar los procesos.
• Obligatorio (Cumplimiento): Impuestos por autoridades externas o reguladoras.

Según el grado de automatización:

• Manual: Depende de la habilidad de la persona para prevenir o detectar los errores ocurridos.
• Semiautomático: Depende de la habilidad de la persona para prevenir o detectar los errores ocurridos usando información proveniente de un sistema.
• Automático: Realizada por el sistema de información automatizado sin necesidad de habilidad de la persona.

Según dónde se ejecuta:

• Generales: Dirigidos al entorno donde operan otros controles:
  • Controles de Organización y Operación.
  • Controles de Desarrollo de Sistemas y Documentación.
  • Controles de Hardware y Software de Sistemas.
• De aplicación: Operan integrados en el software:
  • Controles de Entrada de datos.
  • Controles de Tratamiento de datos.
  • Controles de Salida de datos.

Compliance Management

Gestión de regulaciones externas (requerimientos legales, etc.) e internas (políticas corporativas). El incumplimiento será un riesgo para la empresa, lo que implica la gestión de riesgos de incumplimiento.

Elementos del sistema de compliance:

1. Normativa: Conjunto de reglas y principios.
2. Requisitos legales: Grupo de controles a establecer asociados a una determinada normativa.
3. Tareas de control: Seguimiento de cada requisito legal.
4. Cuadro de mando: Para detectar y determinar los incumplimientos incurridos.
5. Gestión de incumplimientos: Coordinar tareas para neutralizar, minimizar o eliminar los incumplimientos detectados.
6. Acciones correctoras: Tareas correctoras ante un incumplimiento.

Auditoría Informática: Metodologías y Ejecución

Metodología de Auditoría

Conjunto de mecanismos o procedimientos racionales que se siguen de forma sistemática y disciplinada para la realización de un fin. Realizar auditorías informáticas con metodologías nos permite, entre otras cosas:

• Rigor
• Rapidez
• Uniformidad
• Consistencia
• Objetividad en los criterios
• Sistematización
• Independencia de quien lo realiza

EDR (Evaluación de Riesgos) Genérico

El auditor realiza una evaluación del riesgo potencial existente sobre el Sistema de Información de la organización.

1. Cuantificación y Valoración de Riesgos Potenciales

• Descripción: Identificación y valoración de riesgos.
• Salida: Listado de riesgos potenciales.
• Ejemplo: Riesgo de acceso indebido a sistemas de información por parte de empleados.

2. Objetivos de Control

• Descripción: Los objetivos de control son los elementos fundamentales de cualquier sistema de información sometidos a control. Gestión proactiva para minimizar la probabilidad de ocurrencia y/o disminuir el impacto potencial de los riesgos.
• Salida: Plan de gestión de riesgos.
• Ejemplo (Datos): El Departamento de TI debe establecer normativas de acceso a sus datos y sistemas informáticos.
• Ejemplo (Física): Incendio en la sala de servidores.

3. Técnicas de Control o Controles

• Descripción: Por cada objetivo de control/riesgo potencial, se deben identificar las técnicas de control existentes que deben minimizar el riesgo, logrando así cumplir el objetivo general del control.
• Salida: Procedimientos de control.
• Ejemplo (Datos): Procedimiento de acceso lógico a los datos que incluye la revisión y la aprobación de perfiles de usuario.
• Ejemplo (Física): Mantener protegida la sala de servidores.

4. Pruebas

• Descripción: Permiten obtener evidencias y verificar la consistencia de los controles existentes, y también medir el riesgo por deficiencia o por ausencia de estos. Toda opinión o evaluación se basa en la evidencia obtenida de acuerdo a una normativa profesional.
• Salida: Pruebas de cumplimiento y sustantivas.
• Ejemplo (Física): Procedimientos de mantenimiento de extintores, detectores de humo, rociadores, etc.

4.1 Pruebas de Cumplimiento

• Se utilizan para probar y verificar el cumplimiento de una técnica de control.
• Reúnen evidencias de auditoría para indicar si un control existe, funciona de forma efectiva y logra sus objetivos.
• Han de tener en cuenta si:
  • Existen procedimientos establecidos.
  • Se ejecutaron los procedimientos previstos.
  • Se ejecutaron adecuadamente.
• Ejemplo (Datos): Comprobar que se ha implantado un procedimiento por escrito para someter a todos los perfiles de acceso a un proceso de aprobaciones y que ha sido comunicado a todas las áreas interesadas.
• Ejemplo (Física): Comprobar que 10 extintores están etiquetados con la fecha de la última revisión. Comprobar que los LED de los detectores de humo parpadean.

4.2 Pruebas Sustantivas

• Solo se utilizan cuando las pruebas de cumplimiento no han satisfecho los objetivos del auditor: el control no existe, o el control existe, pero no supera la prueba de cumplimiento.
• Su realización requiere un mayor consumo de recursos.
• Permiten profundizar para comprobar la fiabilidad y consistencia de los controles existentes e identificar la magnitud y el impacto de errores e incidencias.
• Ejemplo (Datos): Seleccionar una muestra de perfiles e identificar aquellos que no se hayan revisado y aprobado adecuadamente, evaluando el impacto/riesgo de las incidencias.
• Ejemplo (Física): Ampliar la muestra y comprobar todos los extintores y detectores de humo.

EDR (Evaluación de Riesgos) Checklist

El auditor revisa los controles con la ayuda de una lista de controles que consta de una serie de preguntas o cuestiones a verificar. La evaluación consiste en identificar la existencia de unos controles establecidos o estandarizados. Suelen utilizarse por auditores con poca experiencia, como referencia, para asegurar que se han revisado todos los controles. Ejemplo: Checklist (listado de requerimientos PwC Excel).

EDR Avanzado (Auditoría de Productos)

Auditorías específicas (con método propio o diseñado por el fabricante) sobre productos informáticos o tecnologías informáticas. Incluye:

1. Cuantificación y valoración de riesgos potenciales: Listado de riesgos potenciales.
2. Objetivos de control: Plan de gestión de riesgos.
3. Técnicas de control o controles: Procedimiento de control.
4. Pruebas: Prueba de cumplimiento y sustantiva.
   • Audit tools: Programas de utilidad que tiene el propio producto.
   • Audit retrievals: Programas o scripts desarrollados al efecto de obtener información del producto que sea de utilidad para la auditoría.
   • Audit trails: Son habitualmente los logs. Contienen evidencias de lo que sucede en el interior del sistema. Tienen como desventaja que consumen mayor tiempo de procesador, pues cada operación se anota en el registro.

Fases de una Auditoría

Las fases principales de una auditoría son: Preparación de la auditoría, Realización de la auditoría, Redacción del informe, y Emisión y distribución del informe.

1. Preparación de la Auditoría

1. Definición del alcance: Definición de lo que se va a revisar. Identificar la unidad de la organización a revisar o los sistemas específicos. Se deberá evaluar el dimensionamiento del área o sistema a auditar. Ejemplo: Área de desarrollo, seguridad lógica, seguridad física.
2. Recursos y tiempo: Consiste en asignar auditores (recurso) y el tiempo para la auditoría. La asignación será en jornadas/persona, incluyendo consideraciones como más o menos jornadas en función de: alcance definido, experiencia de los auditores (junior/senior), dimensionamiento del área o sistema a auditar.
3. Recopilación de información básica: Identificar las fuentes de información para revisarlas (organigramas funcionales, descripción de las instalaciones, breve descripción de los sistemas, políticas, estándares, procedimientos…). Revisión de documentación adicional (datos sobre la organización, informes previos de auditoría interna/externa). Identificar lista de personas a entrevistar. Si la auditoría es sorpresiva, la recopilación es in situ; si no es sorpresiva, se envía previamente una carta de apertura o memorándum indicando lo que se necesita.
4. Programa de trabajo y plan de comunicación: Con la información básica, se realiza la asignación de cada auditor al trabajo que va a realizar y se establece un plan de comunicación, acordando cómo, cuándo y a quién se comunican los resultados de la auditoría.

2. Realización de la Auditoría

5. Identificación de riesgos potenciales: Consiste en detectar los posibles riesgos en ausencia de controles relacionados.
6. Identificación de controles débiles y fuertes: El auditor detecta controles adecuadamente implantados y eficaces (fuertes) y otros parcialmente implantados o que no funcionan (débiles). Para cada control débil, el auditor hace un comentario.
7. Pruebas y técnicas a utilizar e identificación de controles alternativos: Selección de las pruebas y técnicas a utilizar. El auditor decide qué tipo de pruebas, en base a los riesgos, va a diseñar (pruebas de cumplimiento, pruebas sustantivas y técnicas de Audit Trail, retrieval, tools).
8. Realización de pruebas y obtención de resultados: El auditor realizará tantas pruebas como haya estimado. Las pruebas realizadas se anotan, así como el resultado obtenido (evidencia) que permitirá demostrar una conclusión sobre la prueba realizada. Se pueden realizar pruebas adicionales sobre aspectos que no han quedado claros.
9. Conclusiones y comentarios: Los resultados de cada prueba deben valorarse y obtener una conclusión, teniendo siempre en cuenta los objetivos y el alcance de la auditoría. Se realizan comentarios acerca de lo analizado que irán al informe final. Pueden existir comentarios con importancia mayor o menor.
10. Revisiones y cierre de papeles de trabajo: Las evidencias deben ser pertinentes, suficientes y fehacientes. El auditor debe guardar correctamente todas las notas recogidas en el cuaderno del auditor.

3. Redacción del Informe

12. Borrador del informe: El vocabulario debe ser preciso, objetivo, cuidadoso y respetuoso. No debe incluir juicios de valor, nombres propios, abreviaturas o iniciales de productos. El borrador debe incluir: alcance y objetivo de la auditoría, metodología utilizada, posibles limitaciones, resumen de auditoría, conclusiones en base a los resultados obtenidos y discusión con los auditados. Este borrador se distribuye al área auditada/cliente/organización, cuya contestación puede aceptar lo indicado en el informe y/o presentar alegaciones.

Una vez aceptado o alegado, se le da formato al informe de auditoría, que incluye:

• Antecedentes: Reflejan brevemente lo que se ha auditado. Sirve para situar a la persona que lo recibe sobre cómo están las cosas.
• Alcance, objetivos y posición: Aquí se redacta el alcance real, es decir, lo que realmente se ha hecho.
• Resumen de la auditoría: Se resumen las etapas de la auditoría realizada.
• Resultados: Se indican las evidencias y hallazgos clave obtenidos durante la revisión que sean significativos y sirvan de base para las conclusiones.
• Conclusiones: Diagnóstico en función de los resultados obtenidos. Son un resumen de los comentarios realizados por el auditor.
• Recomendaciones: Acciones que se estimen pertinentes.
• Anexos: Se detallan los comentarios que sustentan las conclusiones. Respaldan los hallazgos y explican el método empleado.

4. Emisión y Distribución del Informe

13. Emisión y distribución del informe: El informe deberá ser leído y entendido por los destinatarios. Habitualmente es la Dirección de la Organización o del departamento/área auditada. El informe final se distribuirá al Comité de Dirección de la organización.

Existen 4 valoraciones posibles para el informe:

• Favorable
• Con salvedades
• Desfavorable
• Denegación de opinión

Presupuesto de un Encargo de Auditoría

Variables a tener en cuenta al presupuestar un encargo de auditoría:

1. Definición del alcance, perfil del auditor (senior o junior).
2. Recursos y tiempo (número de auditores y tiempo necesario).
3. Recopilación de información básica (fuentes de información, documentación adicional, entrevistas).
4. Programa de trabajo y plan de comunicación (asignación de auditor al trabajo).

Riesgos en una Auditoría

• Riesgo potencial/inherente: Es el riesgo de que existan errores o fallos relevantes en ausencia de un adecuado sistema de controles. Está vinculado a cada negocio. Es utilizado en EDR.
• Riesgo de control: Es el riesgo de que el sistema de controles no evite un error o fallo.
• Riesgo de detección: Es el riesgo de que el auditor no concluya que no existen errores relevantes cuando sí que existen.
• Riesgo general de auditoría: Es la combinación de los anteriores.

Preguntas Frecuentes: Conceptos Clave de Auditoría

Fundamentos de Auditoría Informática

1. La actividad de auditoría nace en el ámbito contable y ahí puede definirse genéricamente, como:
   Actividad consistente en la revisión y verificación de documentos contables, siempre que aquella tenga por objeto la emisión de un informe que pueda tener efectos frente a terceros.
2. Inicialmente el auditor informático es un analista-programador independiente y entre sus funciones están:
   • Analista programador para el auditor financiero.
   • Revisión de controles internos informáticos generales: Seguridad lógica y seguridad física.
   • Revisión de controles por área o departamento.
3. La profesión de auditoría y control interno de las TIC nace:
   Con la creación, en 1969, de la EDPAA (Electronic Data Processing Auditors Association).
4. La actividad de auditoría es definida por R. Webber como:
   El proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los fines de la organización y utiliza eficientemente los recursos.
5. ¿Cuál de las siguientes afirmaciones no es cierta?
   Una función del auditor informático puede ser revisar el balance contable de una empresa.
6. El concepto de Control Interno supone:
   Cualquier actividad destinada a gestionar riesgos en el funcionamiento de los SI y que los SI cumplan (estén alineados) con los objetivos organizacionales.
7. El control interno se ubica funcionalmente dentro:
   Del departamento de Sistemas.
8. Los tipos de control interno son:
   Preventivo, detectivo y correctivo.
9. El gobierno de TI consiste:
   En liderar y definir las estructuras y procesos organizativos que aseguran que las Tecnologías de la Información y Comunicaciones (TIC) de la empresa soportan y difunden la estrategia y los objetivos de la organización.
10. La auditoría necesitará evaluar los siguientes aspectos relacionados con el gobierno de TI:
    • El alineamiento de la función de TI con la misión, la visión, los valores, los objetivos y las estrategias de la organización.
    • El logro por parte de la función de TI de los objetivos de eficiencia y eficacia establecidos por el negocio.
    • Los requisitos legales, de seguridad y los propios de la empresa, el entorno de control de la organización y los riesgos intrínsecos dentro de TI.

Metodologías y Ejecución de Auditoría

1. COBIT:
   Es una metodología de auditoría recomendada por ISACA.
2. Los objetivos de control:
   Es el resultado del trabajo de identificación y valoración de riesgos.
3. Los controles son:
   Las técnicas o medidas de control dirigidas a eliminar/minimizar los riesgos detectados.
4. El objetivo de las pruebas en los trabajos de auditoría es:
   Verificar la consistencia de los controles existentes estimando el riesgo por deficiencia de estos o por ausencia.
5. El Riesgo de control es:
   El riesgo de que el sistema de controles no evite un error o fallo.
6. La auditoría se planifica en términos de recursos y tiempo:
   En jornadas/hombre.
7. Identificación de controles fuertes y débiles consiste en:
   Detectar controles adecuadamente implantados y eficaces y aquellos parcialmente implantados o que no funcionan.
8. Las pruebas de cumplimiento están orientadas a:
   Verificar el cumplimiento de una técnica de control.
9. El informe de auditoría especifica:
   • La situación actual.
   • Las tendencias.
   • Los puntos débiles y amenazas.
   • Las recomendaciones y planes de acción.
10. El informe tendrá los siguientes epígrafes:
    Introducción, Objetivos y Alcance, Resultados y Conclusiones.

Modelo A

1. Según Ron Weber, la auditoría de sistemas de información es:
   La auditoría de Sistemas de Información es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los fines de la organización y utiliza eficientemente los recursos.
2. ¿Qué es una prueba de cumplimiento?
   La realiza el auditor, y consiste en comprobar y verificar que existe el control y funciona correctamente (logra sus objetivos).
3. El gobierno de TI consiste:
   En liderar y definir las estructuras y procesos organizativos que aseguran que las Tecnologías de la Información y Comunicaciones (TIC) de la empresa soportan y difunden la estrategia y los objetivos de la organización.
4. La auditoría necesitará evaluar los siguientes aspectos relacionados con el gobierno de TI:
   • El alineamiento de la función de TI con la misión, la visión, los valores, los objetivos y las estrategias de la organización.
   • El logro por parte de la función de TI de los objetivos de eficiencia y eficacia establecidos por el negocio.
   • Los requisitos legales, de seguridad y los propios de la empresa, el entorno de control de la organización y los riesgos intrínsecos dentro de TI.
5. El informe de Auditoría más adecuado tendrá los siguientes epígrafes:
   Introducción, Objetivos y Alcance, Resultados, Conclusiones y Anexos.

Modelo B

1. ¿Qué es una prueba sustantiva?
   Solo se utilizan cuando las pruebas de cumplimiento no han satisfecho los objetivos del auditor. Permiten profundizar para comprobar la fiabilidad y consistencia de los controles existentes.
2. El EDR Simplificado consta de los siguientes elementos:
   Riesgo, control y pruebas de cumplimiento.
3. En las fases de auditoría, ¿cuál de las siguientes NO lo es?
   D. Envío de la factura por los servicios prestados.
4. ¿Qué es un KRI?
   Un indicador para determinar la posibilidad existente de que ocurra un evento probable en una empresa provocando una situación que lleve a la empresa a situaciones críticas.

Modelo C

1. Los elementos principales de un EDR genérico son:
   Riesgo, objetivo de control, control, prueba de cumplimiento y prueba sustantiva.
2. ¿Cómo es la metodología EDR enfocada a Auditorías específicas (con método propio o diseñado por el fabricante) sobre los productos informáticos o tecnologías informáticas?
   EDR Avanzado.