Universidad Cientfica del Per Facultad de Ciencias e Ingeniera

Auditora de Sistemas

CAPITULO I: Introduccin a la Auditora de Sistemas

1.- Introduccin a la Auditoria de Sistemas de Informacin

1.1.- Prejuicios de la Auditoria

A lo largo de la carrera de un profesional del sector o gubernamental, es seguro que ha

experimentado (de forma directa o indirecta), algn proceso de auditora: sea en la empresa
entera, en el rea donde est laborando o en una anexa a la propia

Por lo general a partir de eso, se considera que una Auditora pretende:

Fiscalizar las labores de un rea determinada o de la organizacin en su conjunto.

Descubrir que algn trabajador est cometiendo un delito en detrimento de la
empresa.
Identificar a algn trabajador que no est realizando su trabajo de forma correcta y
eficiente.
Llevar acabo algn tipo de evaluacin de personal como respaldo a los procesos de
ascensos, promociones y despidos.

Estas afirmaciones tienen un marcado sesgo hacia un potencial carcter Fiscalizador para la
auditora: la funcin de la auditora es vista como de naturaleza predominantemente detectora
de algn tipo de irregularidad de carcter delictivo en el desarrollo de las actividades de la
organizacin que la ejecuta. Es cierto que, en muchas ocasiones, una auditora detecta
irregularidades e incluso delitos que se pueden estar cometiendo pero de ningn modo debe
establecerse el paradigma errado:

Auditor = Polica

La auditora debe entenderse como una actividad que le otorga valor agregado a la
organizacin; debe aprecirsela como una labor ms evaluativa que de fiscalizacin y que
pretende mejorar la administracin y control que se tiene (delas actividades) en el interior de
las instituciones.

1.2.- Definicin de Auditora:

La auditora es la actividad consistente en la emisin de una opinin profesional objetiva por

parte de un especialista, sobre si el sujeto sometido a anlisis (sea este un proceso, sistema,
producto, estructura organizacional, entre otros) presenta:

La realidad que pretende reflejar

Cumple las condiciones que le fueron prescritas

La auditora es entonces una actividad independiente de evaluacin y mejora de la efectividad

de, entre otros procesos, la administracin de, entre otros aspectos, la administracin de los
riesgos, el control y el gobierno de una empresa. Depender del aspecto al que se dirija esta
evaluacin para definir cierto tipo de clasificaciones que las auditoras pueden presentar.

Ing. Jorge Danilo Jara Vela Pgina 1

Universidad Cientfica del Per Facultad de Ciencias e Ingeniera
Auditora de Sistemas
1.3.- Objetivos de una Auditora:

Dentro de los objetivos generales que tienen todos los tipos de auditoras se pueden indicar:

Examinar y determinar las performance de un determinado aspecto, proceso,

producto y/o funcin organizacional.
Apoyar a la organizacin a validar que ese aspecto est convenientemente protegido,
controlado, y alineado hacia la consecucin de los objetivos del negocio.
Evaluar los riesgos y los controles que se aplican sobre ese aspecto y opinar sobre su
idoneidad, costo, capacidad de respuesta, etc.
Recomendar mejoras.
Informar a quien corresponda (la alta gerencia, junta directiva o junta de accionistas)
sobre una situacin particular detectada.

1.4.- Una Tipificacin de Auditoras:

Se pueden implantar distintas clasificaciones, algunas de las cuales son:

Por origen del personal que las realiza:

o Interna: Se refiere al equipo auditor que forma parte de la organizacin
o Externa: Se refiere al equipo auditor que no forma parte de la organizacin que
auditan, generalmente son equipos tercerizados.
Por el aspecto que pretende analizar, entre ellos se tienen los siguientes:
o Contables / Financieras: Permiten determinar la exactitud de los estados
financieros y contables de la empresa.
o Operativas: Evaluar la estructura de control interno de un proceso o rea.
o Administrativa: Evaluar aspectos relacionados con la eficiencia de la
productividad operativa dentro de una organizacin.
o De Sistemas, informtica, de tecnologas de informacin, de seguridad de
informacin.
o Especializada: propone evaluar algn aspecto propio de la actividad primaria
(produccin o prestacin de servicios) de la organizacin.

1.5.- Tcnicas de Auditora: Relacin entre auditora y anlisis de riesgo

Como ya tenemos clara la definicin acerca de la Auditora y de lo que pretende hacer, en la

actualidad se menciona el anlisis de riesgos como metodologa base para cualquier tipo de
examen.

Esto lleva a tener claro los conceptos sobre la gestin de riesgos, desde distintos puntos de
vista y desde distintos escenarios pues, muchas veces, ambos son interpretados dependiendo
de la naturaleza de la organizacin que aplicar la Auditora y del giro del negocio.

Para estos fines ISACA1nos presenta la definicin de riesgo como la probabilidad de que una
amenaza explote una vulnerabilidad de un activo (de informacin), poniendo en riesgo la
continuidad del uso del activo mismo y por tanto, la consecucin de los objetivos de negocio a
travs de l.

1
ISACA: InformationSystemAudit Control Association

Ing. Jorge Danilo Jara Vela Pgina 2

Universidad Cientfica del Per Facultad de Ciencias e Ingeniera
Auditora de Sistemas
1.6.- Ubicacin de la funcin de la auditora en la estructura organizacional

Mucho se ha dicho y escrito sobre el lugar adecuado de la funcin auditora en la estructura de

una empresa, para dotarle, como se pide la definicin, de una independencia tal que le
permita hacer sus evaluaciones y recomendaciones y que stas tenga eco dentro de la misma
organizacin.

Por lo mismo, no podra a priori, formar parte de una gerencia en particular a la cual pueda en
algn momento evaluar (es decir no puede ser juez y parte). Y dado que la comunicacin con la
Alta Direccin empresarial es requerida, necesita una conexin directa con ella, como puede
apreciarse en la figura (Fig. 1.1.) siguiente (de la empresa Tecnologas Corporativas Selva):

Gerencia
General

Auditora /
Control Interno

Auditora / Auditora / Auditora /

Control Interno Control Interno Control Interno

Figura 1.1.- Posicin de la funcin de la auditora dentro de un esquema

organizacional

Esquema a manera de ejemplo de organizacin interna del rea de auditoria (vase en la Fig.
1.2):

Oficina de Auditora
y Control Interno

Direccin de Direccin de Auditora Direccin de Auditora

Auditora Financiera Informtica y TI Administrativa

Sub Direccin A Direccin de anlisis

de riesgo

Sub Direccin B Direccin de auditoria

de sistemas

Ing. Jorge Danilo Jara Vela Pgina 3

Universidad Cientfica del Per Facultad de Ciencias e Ingeniera
Auditora de Sistemas
1.7.- Independencia de la funcin de auditora

La independencia del Auditor consistir en su capacidad de poder acceder a todas las reas de
la empresa (incluyendo a la informacin manejada por todas y cada una de ellas) y poder
revisar y evaluar los procesos que llevan a cabo sin que se vea perjudicada la opinin vertida
por precisamente, ser subordinados de alguna de ellas.

Nuevamente, desde la figura anterior presentada, puede verse el carcter de rgano de apoyo
directo a la Alta Gerencia, autoridad que debe ser otorgada explcitamente a travs de los
reglamentos y manuales funcionales de la propia organizacin.

Especficamente, debe residir por escrito en el documento Estatuto de Auditora.

1.8.- Los estatutos de Auditora

Denominado comnmente auditcharter, es un documento de carcter normativo e

informativo al interior de las organizaciones que recoge el alcance, la organizacin, las
funciones, las responsabilidades, y los mecanismos de comunicacin del rea de auditora.
Formaliza el esquema de trabajo y organizacin que el rea de auditora va a emplear.

En algunas empresas, los estatutos de auditora se ven reflejados en los manuales de

organizacin y funciones, los manuales de descripcin de puestos o los propios estatutos
generales por lo que es fundamental tenerlos claramente identificados para evitar
solapamiento de responsabilidades y para evidenciar las capacidades propias del rea /
gerencia / direccin de auditora.

El estatuto mostrar las acciones que pueden llevarse a cabo en el rea de auditora (interna) y
el efecto de ellas. Tambin pueden determinar las caractersticas y responsabilidades del
desarrollo de auditoras especficas realizadas por terceros (auditorias externas).

Ing. Jorge Danilo Jara Vela Pgina 4