Universidad Cientfica del Per Auditora de Sistemas

Facultad de Ciencias e Ingeniera

CAPITULO I: Introduccin a la Auditora de Sistemas 1.- Introduccin a la Auditoria de Sistemas de Informacin 1.1.- Prejuicios de la Auditoria A lo largo de la carrera de un profesional del sector o gubernamental, es seguro que ha experimentado (de forma directa o indirecta), algn proceso de auditora: sea en la empresa entera, en el rea donde est laborando o en una anexa a la propia Por lo general a partir de eso, se considera que una Auditora pretende: Fiscalizar las labores de un rea determinada o de la organizacin en su conjunto. Descubrir que algn trabajador est cometiendo un delito en detrimento de la empresa. Identificar a algn trabajador que no est realizando su trabajo de forma correcta y eficiente. Llevar acabo algn tipo de evaluacin de personal como respaldo a los procesos de ascensos, promociones y despidos.

Estas afirmaciones tienen un marcado sesgo hacia un potencial carcter Fiscalizador para la auditora: la funcin de la auditora es vista como de naturaleza predominantemente detectora de algn tipo de irregularidad de carcter delictivo en el desarrollo de las actividades de la organizacin que la ejecuta. Es cierto que, en muchas ocasiones, una auditora detecta irregularidades e incluso delitos que se pueden estar cometiendo pero de ningn modo debe establecerse el paradigma errado:

Auditor = Polica
La auditora debe entenderse como una actividad que le otorga valor agregado a la organizacin; debe aprecirsela como una labor ms evaluativa que de fiscalizacin y que pretende mejorar la administracin y control que se tiene (delas actividades) en el interior de las instituciones.

1.2.- Definicin de Auditora: La auditora es la actividad consistente en la emisin de una opinin profesional objetiva por parte de un especialista, sobre si el sujeto sometido a anlisis (sea este un proceso, sistema, producto, estructura organizacional, entre otros) presenta: La realidad que pretende reflejar Cumple las condiciones que le fueron prescritas

La auditora es entonces una actividad independiente de evaluacin y mejora de la efectividad de, entre otros procesos, la administracin de, entre otros aspectos, la administracin de los riesgos, el control y el gobierno de una empresa. Depender del aspecto al que se dirija esta evaluacin para definir cierto tipo de clasificaciones que las auditoras pueden presentar. Ing. Jorge Danilo Jara Vela Pgina 1

Universidad Cientfica del Per Auditora de Sistemas 1.3.- Objetivos de una Auditora:

Facultad de Ciencias e Ingeniera

Dentro de los objetivos generales que tienen todos los tipos de auditoras se pueden indicar: Examinar y determinar las performance de un determinado aspecto, proceso, producto y/o funcin organizacional. Apoyar a la organizacin a validar que ese aspecto est convenientemente protegido, controlado, y alineado hacia la consecucin de los objetivos del negocio. Evaluar los riesgos y los controles que se aplican sobre ese aspecto y opinar sobre su idoneidad, costo, capacidad de respuesta, etc. Recomendar mejoras. Informar a quien corresponda (la alta gerencia, junta directiva o junta de accionistas) sobre una situacin particular detectada.

1.4.- Una Tipificacin de Auditoras: Se pueden implantar distintas clasificaciones, algunas de las cuales son: Por origen del personal que las realiza: o Interna: Se refiere al equipo auditor que forma parte de la organizacin o Externa: Se refiere al equipo auditor que no forma parte de la organizacin que auditan, generalmente son equipos tercerizados. Por el aspecto que pretende analizar, entre ellos se tienen los siguientes: o Contables / Financieras: Permiten determinar la exactitud de los estados financieros y contables de la empresa. o Operativas: Evaluar la estructura de control interno de un proceso o rea. o Administrativa: Evaluar aspectos relacionados con la eficiencia de la productividad operativa dentro de una organizacin. o De Sistemas, informtica, de tecnologas de informacin, de seguridad de informacin. o Especializada: propone evaluar algn aspecto propio de la actividad primaria (produccin o prestacin de servicios) de la organizacin.

1.5.- Tcnicas de Auditora: Relacin entre auditora y anlisis de riesgo Como ya tenemos clara la definicin acerca de la Auditora y de lo que pretende hacer, en la actualidad se menciona el anlisis de riesgos como metodologa base para cualquier tipo de examen. Esto lleva a tener claro los conceptos sobre la gestin de riesgos, desde distintos puntos de vista y desde distintos escenarios pues, muchas veces, ambos son interpretados dependiendo de la naturaleza de la organizacin que aplicar la Auditora y del giro del negocio. Para estos fines ISACA1nos presenta la definicin de riesgo como la probabilidad de que una amenaza explote una vulnerabilidad de un activo (de informacin), poniendo en riesgo la continuidad del uso del activo mismo y por tanto, la consecucin de los objetivos de negocio a travs de l.

ISACA: InformationSystemAudit Control Association

Ing. Jorge Danilo Jara Vela

Pgina 2

Universidad Cientfica del Per Auditora de Sistemas

Facultad de Ciencias e Ingeniera

1.6.- Ubicacin de la funcin de la auditora en la estructura organizacional Mucho se ha dicho y escrito sobre el lugar adecuado de la funcin auditora en la estructura de una empresa, para dotarle, como se pide la definicin, de una independencia tal que le permita hacer sus evaluaciones y recomendaciones y que stas tenga eco dentro de la misma organizacin. Por lo mismo, no podra a priori, formar parte de una gerencia en particular a la cual pueda en algn momento evaluar (es decir no puede ser juez y parte). Y dado que la comunicacin con la Alta Direccin empresarial es requerida, necesita una conexin directa con ella, como puede apreciarse en la figura (Fig. 1.1.) siguiente (de la empresa Tecnologas Corporativas Selva):

Gerencia General Auditora / Control Interno

Auditora / Control Interno

Auditora / Control Interno

Auditora / Control Interno

Figura 1.1.- Posicin de la funcin de la auditora dentro de un esquema organizacional

Esquema a manera de ejemplo de organizacin interna del rea de auditoria (vase en la Fig. 1.2): Oficina de Auditora y Control Interno

Direccin de Auditora Financiera

Direccin de Auditora Informtica y TI

Direccin de Auditora Administrativa

Sub Direccin A

Direccin de anlisis de riesgo Direccin de auditoria de sistemas

Sub Direccin B

Ing. Jorge Danilo Jara Vela

Pgina 3

Universidad Cientfica del Per Auditora de Sistemas 1.7.- Independencia de la funcin de auditora

Facultad de Ciencias e Ingeniera

La independencia del Auditor consistir en su capacidad de poder acceder a todas las reas de la empresa (incluyendo a la informacin manejada por todas y cada una de ellas) y poder revisar y evaluar los procesos que llevan a cabo sin que se vea perjudicada la opinin vertida por precisamente, ser subordinados de alguna de ellas. Nuevamente, desde la figura anterior presentada, puede verse el carcter de rgano de apoyo directo a la Alta Gerencia, autoridad que debe ser otorgada explcitamente a travs de los reglamentos y manuales funcionales de la propia organizacin. Especficamente, debe residir por escrito en el documento Estatuto de Auditora.

1.8.- Los estatutos de Auditora Denominado comnmente auditcharter, es un documento de carcter normativo e informativo al interior de las organizaciones que recoge el alcance, la organizacin, las funciones, las responsabilidades, y los mecanismos de comunicacin del rea de auditora. Formaliza el esquema de trabajo y organizacin que el rea de auditora va a emplear. En algunas empresas, los estatutos de auditora se ven reflejados en los manuales de organizacin y funciones, los manuales de descripcin de puestos o los propios estatutos generales por lo que es fundamental tenerlos claramente identificados para evitar solapamiento de responsabilidades y para evidenciar las capacidades propias del rea / gerencia / direccin de auditora. El estatuto mostrar las acciones que pueden llevarse a cabo en el rea de auditora (interna) y el efecto de ellas. Tambin pueden determinar las caractersticas y responsabilidades del desarrollo de auditoras especficas realizadas por terceros (auditorias externas).

Ing. Jorge Danilo Jara Vela

Pgina 4