“La palabra auditoria proviene del latín auditorius, y de ella se deriva AUDITOR, que significa todo aquel que tiene la virtud de oír”.
¿QUIÉN ES UN AUDITOR?
Persona que tiene la virtud de oír y revisar, pero debe estar encaminado a un objetivo que es de evaluar eficiencia y eficacia
¿QUÉ ES LA AUDITORIA DE SISTEMAS?
Es el examen y evaluación de los procesos del Área de procesamiento automático de datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
AUDITORIA EXTERNA
Examina y evalúa una determinada realidad por personal externo al ente auditado, para emitir una opinión independiente sobre el resultado de las operaciones y la validez técnica del sistema de control que esta operando en el área auditada.
Ventajas:
• El trabajo del auditor es totalmente independiente y libre de cualquier injerencia por parte de las autoridades de la empresa auditada.
• Auditorias apoyadas por una mayor experiencia por parte de los auditores externos, debido a que utilizan técnicas y herramientas que ya fueron probadas en otras empresas con características similares.
Desventajas:
• La información del auditor puede estar limitada a la información que puede recopilar debido a que conoce poco la empresa.
• Dependen en absoluto de la cooperación que el auditor pueda obtener por parte de los auditados.
• Su evaluación, alcances y resultados pueden ser muy limitados.
• Muchas auditorias de este tipo pueden se derivan de imposiciones fiscales y legales que pueden llegar a crear ambientes hostiles para los auditores que las realizan.
AUDITORIA INTERNA
Es una función de control al servicio de la alta dirección empresarial. El auditor interno no ejerce autoridad sobre quienes toman decisiones o desarrollan el trabajo operativo, no revela en ningún caso la responsabilidad de otras personas en la organización.
El objetivo final es contar con un dictamen interno sobre las actividades de toda la empresa, que permita diagnosticar la actuación administrativa, operacional y funcional de empleados y funcionarios de las áreas que se auditan.
VISIÓN GLOBAL DE LA AUDITORÍA DE SISTEMAS
REACCIÓN ANTE LA AUDITORÍA
• A nadie le justa ser evaluado
• Pocos comprenden la labor del Auditor
• Las expectativas de una auditoria no son bien atendidas
• Estereotipos del Auditor
• Comunique los beneficios de una auditoria
“La exacta observación del ambiente, la lógica implacable y la asombrosa agudeza psicológica con que Holmes reconstruye sus casos justifican sobradamente que se haya convertido en uno de los seres de ficción más <<vivos>> y populares de la literatura de todos los tiempos”
EL PROCESO DE AUDITORIA DE SISTEMAS DE INFORMACIÓN
INTRODUCCIÓN
* Organización de la Función de Auditoria de SI
• Estatuto de Auditoria
- Autoridad
- Alcance
- Responsabilidades
• Aprobación del Estatuto
• Modificación del Estatuto
* Administración de los Recursos de Auditoria de SI
• Los Auditores de SI son un recurso limitado
• La Tecnología de SI está cambiando constantemente
• Los Auditores de SI deben mantener su competencia técnica
• La dirección de Auditoria debería:
- Asignar recurso humano (habilidades y conocimiento)
- Asignar recursos tecnológicos
- Elaborar un plan de capacitación
* Administración de los Recursos de Auditoria de SI
¿Qué factores determinan cuantos auditores de SI se necesitan?
* Planeación de la Auditoria
• Lograr un entendimiento de la misión, los objetivos, el propósito y los procesos del negocio
• Identificar contenidos específicos (políticas, estándares y directrices requeridos, procedimientos y estructura de la organización)
• Evaluar el análisis de riesgos y todo análisis de impacto sobre la privacidad
• Realizar un análisis de riesgos
• Llevar a cabo una revisión de control interno
• Establecer el alcance y los objetivos de la auditoria
• Desarrollar el enfoque o la estrategia de auditoria
• Asignar recursos humanos a la auditoria y dirigir la logística de trabajo
* Efecto de las Leyes y Regulaciones sobre la planificación de Auditoria de SI
• Regulaciones legales:
- Establecimiento de los requerimientos regulatorios.
- Organización de los requerimientos regulatorios.
- Responsabilidades asignadas a las entidades correspondientes.
- Correlación con las funciones de auditoría financiera, operacional y de TI.
• Áreas de Interés:
- Requerimientos legales (leyes, acuerdos regulatorios y contractuales) aplicables a la Auditoria de SI.
- Requerimientos legales aplicables al auditado y a sus sistemas, administración de datos, informes, etc.
• Pasos para determinar el cumplimiento con los requerimientos externos:
- Identificar los requerimientos gubernamentales u otros externos relevantes.
- Documentar las leyes y regulaciones pertinentes.
- Determinar si la administración y la función de SI han considerado los requerimientos externos relevantes.
- Revisar los documentos internos del departamento de SI que se ocupan del cumplimiento de las leyes que le son aplicables.
- Determinar el cumplimiento con los procedimientos establecidos.
CASO ENRON:
Antecedentes
• 1985.
• Actividades iniciales exitosas en conducción de gas natural y electricidad.
• Comercializadora de energía más poderosa del mundo.
• Se lanza a los mercados de carbón, papel, acero, agua.
• Gozaba de gran prestigio y gran crédito gracias al enorme poderío que le daba su capitalización en el mercado.
• 1999 funda Enron online.
• Lo más valioso, sus acciones.
• En Agosto de 2000 alcanza el mayor valor de venta de sus acciones ($90.56).
• Ocupaba el lugar No. 7 en la lista de las 500 empresas más importantes de EE.UU (Fortune).
CAÍDA DE ENRON:
• Compensaciones excesivas a altos ejecutivos y socios.
• Despilfarro de fondos por las grandes contribuciones a la financiación de campañas políticas.
• Posibles sobornos.
• Recursos mal empleados por la dirección.
• Inversiones torpes y poco planificadas.
• En Marzo de 2001 la cotización por acción baja a $60.00.
• Incursiona con un rotundo fracaso en el terreno de las telecomunicaciones.
• En el tercer trimestre de 2001 reporta una pérdida de más de $1000 millones.
• El 2 de Diciembre de 2001 la empresa se declara en suspensión de pagos.
• Despide a más de 4.500 empleados.
• El valor por acción cae a menos de 26 centavos.
• Deja de cotizar por rebasar el límite inferior de $1.
• La compañía acumula deudas de más de $30.000 millones.
• Pierde a su Vicepresidente ejecutivo por suicidio.
¿Dónde estaban los auditores?
• Arthur Andersen fue una de las firmas auditoras más importantes del mundo.
• Enron era el segundo cliente más importante de AA.
• El trabajo de AA para Enron superaba los $50 millones anuales.
• Si AA hubiese hecho sonar el silbato en su momento ante las dudosas transacciones financieras, Enron se habría visto obligada a poner freno al crecimiento descontrolado de su deuda.
Responsabilidades de ENRON:
• Comportamientos despiadados y completamente inmorales imperaban en los niveles superiores de la dirección (desenfreno y avaricia).
• Prácticas habituales de ocultar enormes deudas, engaño a los accionistas sobre la posición de liquidez.
• Gran cantidad de “auto-operaciones”.
• La firma AA destruyo papeles y archivos electrónicos correspondientes a las auditorias (1997-2000).
• La actuación de AA dio origen a una demandada de las autoridades por obstrucción a la justicia, destrucción y alteración de documentos.
Final del caso ENRON:
• La gran estafa de Enron a sus empleados y accionistas concluyó en penas de cárcel para sus directivos.
• Su ex-presidente falleció antes de cumplir los 45 años de sentencia.
• La firma AA admitió que se destruyeron algunos documentos, pero dijo que era un procedimiento normal.
• Los miembros del jurado tras diez días de deliberaciones no lograban llegar a una decisión unánime sobre la inocencia o culpabilidad.
• Finalmente el tribunal falló en contra de la firma auditora.
• La firma auditora AA es sentenciada a entregar su licencia de operaciones.
Política y Legislación de ENRON:
• La actitud política general estaba menos preocupada por proteger los intereses de los accionistas que los de los directivos.
• El sistema político y legislativo permitió que se extendiera esta cultura.
• Florecimiento de la filosofía de la avaricia.
• La Ley Sarbanes-Oxley, pretende:
- Aumentar las penas por delitos societarios.
- Aumentar la autoridad y responsabilidad de los comités de auditoría.
- Definir estándares de responsabilidad profesional para los abogados.
- Limitar el alcance de los servicios que los auditores pueden prestar a sus clientes.
- Eliminar los préstamos a directivos y administradores.
ESTÁNDARES Y DIRECTRICES PARA LA AUDITORIA DE SISTEMAS DE INFORMACIÓN
* Código de Ética Profesional
• Apoyar la implementación y fomentar el cumplimiento de las normas, los procedimientos y los controles apropiados en los SI.
• Ejecutar sus labores con objetividad, diligencia y cuidado profesional, de conformidad con las normas y mejores prácticas profesionales.
* Código de Ética Profesional (Cont.)
• Servir en el interés de los accionistas en una forma legal y honesta, y al mismo tiempo mantener altos estándares de conducta y de carácter, y no involucrarse en actos que puedan desacreditar la profesión.
• Mantener la privacidad y la confidencialidad de la información obtenida en el curso de su función a menos que la autoridad legal requiera su revelación. Dicha información no será usada para beneficio personal ni será revelada a terceros.
• Mantener competencia en sus respectivos campos y se comprometerá a emprender únicamente las actividades que puedan realizar con competencia profesional.
• Informar a las personas adecuadas los resultados del trabajo realizado, revelando todos los hechos significativos de los que tengan conocimiento.
• Apoyar la educación profesional de los accionistas para mejorar su comprensión sobre seguridad y control de los sistemas de información.
* Estándares para la Auditoria de Sistemas de Información
• Estándares.
• Directrices.
• Procedimientos
