Escuela de Ingeniera

Auditora Computacional
Mdulo 1

Conceptos Bsicos de Auditora Computacional

Conceptos Generales:
Como primer paso definiremos algunos conceptos bsicos, necesarios para profundizar
en la Auditora Computacional.

Auditora

Riesgo

Control

Dato

Informacin

Sistema

Conocimiento

Tecnologa

Internet

Sistemas de Informacin:
Los sistemas de informacin actan en 3 dimensiones:

Sistemas de Informacin

Humana
Se ocupan de los
aspectos conductuales
para que las personas
que los usan les sean
los ms amigables
posibles y reducir la
brecha del rechazo al
cambio.

Organizativa

Forman parte integral

de las organizaciones.
Los elementos clave
de una organizacin
son su gente,
estructura,
procedimientos
operativos, polticas y
cultura.

Tecnolgica
Es la forma como
aplicamos el
conocimiento. Todo el
conocimiento,
productos, procesos,
herramientas, mtodos
y sistemas empleados
en la produccin de
bienes y servicios.

Dimensin Humana:

Observemos la primera dimensin:

Los socilogos estudian cmo afectan los Sistemas de Informacin a las personas,
los grupos y las organizaciones.
Los psiclogos estudian cmo perciben y utilizan la informacin formal, las personas
que toman las decisiones.
Las personas son afectadas por los Sistemas de Informacin en su aspecto
conductual, y esta dimensin humana se concentra en los cambios de actitud, las
polticas administrativas y organizacionales, en la cultura y en el comportamiento de
las personas.

Dimensin Organizativa:

Las organizaciones tienen una estructura compuesta de diferentes niveles y

especialidades, como finanzas, ventas, produccin, informtica, etc.
Cada organizacin tiene una cultura particular, que la hace nica para hacer las
cosas.

Administracin: El trabajo de la administracin es darle sentido a las diversas

situaciones que enfrentan las organizaciones, tomar decisiones y formular planes de
accin para resolver los problemas de la organizacin.
Dimensin Tecnolgica:

La tecnologa en
interdependientes:

los

Sistemas

de

Informacin

incluye

tres

elementos

Hardware: Las componentes fsicas, equipos y servidores, su distribucin (requeridos

para realizar las tareas necesaria).
Software: El conocimiento de cmo usar el hardware para desarrollar la tarea. Son las
instrucciones de uso del hardware.
Brainware: La motivacin y capacitacin en el uso de la tecnologa para su empleo
correcto (know-how).

Clasificacin de los Sistemas de Informacin:

1. Soporte a las actividades operativas: se da en las actividades ms estructuradas
de la organizacin Gestin Empresarial, como son la contabilidad, ventas,
remuneraciones, entre otras.
2. Soporte a las decisiones y el control de gestin:
Se proporciona desde las propias aplicaciones de gestin empresarial (informes) o a
travs de aplicaciones especficas como ERP, Data Warehouse, BSC, Sistema
Contable, etc.

Elemento de un Sistema de informacin

Tecnologas de la Informacin:
Tecnologas de la Informacin

Conjunto de procesos y productos

derivados de las nuevas herramientas
(hardware y software), soportes de la
informacin y canales de comunicacin
relacionados con el almacenamiento,
procesamiento y transmisin digitalizados
de la informacin.

Auditora Computacional:

Auditora
Computacional

Proceso realizado por profesionales

especialmente capacitados para el efecto,
y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un
sistema de informacin.

Principales Funciones:

Salvaguarda el activo de la empresa.

Mantiene la integridad de los datos.

Lleva a cabo eficazmente los fines de la organizacin.

Utiliza eficientemente los recursos.

Cumple con las leyes y regulaciones establecidas.

Caso la Polar:
Revisemos el siguiente ejemplo, que nos graficar los contenidos revisados.
Caso La Polar
Empresas La Polar S.A. es una sociedad annima abierta inscrita en el Registro de
Valores de la Superintendencia de Valores y Seguros (SVS), bajo el N 806 y
consecuentemente, est sujeta a su fiscalizacin. La Sociedad cotiza sus acciones en la
Bolsa de Comercio de Santiago, Bolsa Electrnica de Chile y Bolsa de Valores de
Valparaso.

El modelo de
negocio
Los
principales
afectados

Las
Provisiones

Indicadores
Claves

Las
irregularidad
es
Qu se
ocultaba?

Qu entendemos por riesgo?

El riesgo es la probabilidad de un evento o transaccin que genere una prdida
financiera o dao a la organizacin, su personal, activos o reputacin en general.
Riesgo total = Amenazas x Vulnerabilidad x Valor del Activo

La Organizacin Internacional por la Normalizacin (ISO), define riesgo tecnolgico

como:

La

probabilidad

de

que

una

amenaza

se

materialice,

utilizando

vulnerabilidades existentes de un activo o un grupo de activos, generndole

prdidas o daos. En esta definicin se pueden identificar varios elementos:
Probabilidad, amenazas, vulnerabilidades, activos e impactos.

Tipos de Riesgos:
1. Riesgo Inherente: Cuando un error material no se puede evitar que suceda por que
no existen controles compensatorios relacionados que se puedan establecer.

2. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en

forma oportuna por el sistema de control interno.

3. Riesgo de Deteccin: Es el riesgo de que el auditor realice pruebas exitosas a partir

de un procedimiento inadecuado. El auditor puede llegar a la conclusin de que no
existen errores materiales cuando en realidad los hay.

4. Riesgo de Residual: Es el riesgo remanente despus de que la organizacin haya

llevado a cabo una accin para modificar la probabilidad o impacto a un riesgo.

Riesgos definidos por Basilea:

Riesgo de Mercado: est vinculado con la posibilidad de que se produzcan prdidas
por las fluctuaciones de los precios del mercado. En esta categora se incluyen los
riesgos de prdidas por variaciones de precios en instrumentos financieros, tasas de
cambio de divisas y materias primas.
Riesgo Crdito: es la posibilidad de sufrir prdidas de activos debido a una reduccin
en la calificacin crediticia o al incumplimiento de pago por parte de los deudores de la
compaa.

Riesgo Operacional: es el riesgo de prdida generado por accin de procesos,

personal y sistemas internos inadecuados o inoperantes, o bien por eventos externos. El
riesgo tecnolgico es un componente clave del riesgo operacional.

Qu hacemos con los Riesgos?

El riesgo es una caracterstica de la vida comercial y debido a que es imprctico y
costoso eliminar todos los riesgos, cada organizacin tiene un nivel de riesgo que
est dispuesto a aceptar.

Dependiendo del tipo de riesgos y su importancia, la organizacin puede optar por:

Evitar: No exponerse a la situacin de riesgo. Ej: No implementar ciertas actividades

o procesos que generen un riesgo, es decir, eliminar el riesgo al eliminar la causa.

Mitigar: Establecer controles para reducir el riesgo. Ej: Definir, implementar, y

monitorear controles apropiados para reducir la probabilidad o el impacto de riesgo.

Transferir: Traspasar o compartir el riesgo. Ej: Compartir el riesgo con otras

empresas o transferir a travs de una cobertura de seguro, acuerdo contractual o por
otros medios.

Aceptar: Reconocer formalmente la existencia del riesgo y monitorearlo.

Administracin de Riesgos:

Administracin de Riesgos: Es el proceso de identificar las vulnerabilidades y las

amenazas para los recursos de informacin utilizados por la empresa para lograr los
objetivos de negocio, y as decidir que contramedidas (protecciones o controles) tomar,
si hubiere alguna, para reducir el riesgo a un nivel aceptable.

Proceso de Administracin de Riesgos:

Observemos algunas caractersticas de este proceso:

La administracin de riesgo debe ser continua.

La administracin de riesgo es vital para cualquier programa de seguridad exitoso y

debe ser implementado como un proceso formal.

El hecho de determinar el nivel correcto/adecuado de seguridad est vinculado a los

posibles riesgos que una entidad enfrenta.

Se hace ms desafiante debido al cambio organizacional, tecnolgico y

comercial/operacional.

Al analizar los riesgos del negocio, el auditor debe tener una comprensin de:
-

Propsito y naturaleza del negocio, el entorno en que opera y los riesgos del
negocio.

La dependencia de las TI.

Los riesgos relacionados con las metas y objetivos del negocio.

Una buena visin general de los procesos del negocio y del impacto de TI.

Pasos de la Administracin de Riesgos:

Cules son los pasos en la Administracin de Riesgos?

Uno de los pasos de la Administracin de Riesgos es la identificacin y clasificacin

de los recursos o activos de informacin. Estos se pueden clasificar en: Informacin y
datos; Hardware; Software; Servicios; Documentos; Personal. Otros activos son los
edificios, inventario, efectivo y activos intangibles (imagen, nombre de la empresa, etc).
Niveles de la Administracin de Riesgos:
La gestin de riesgos TI necesita operar en mltiples niveles, que incluyen:

Nivel operativo: uno se preocupa de

los riesgos que podran comprometer
la efectividad de los sistemas de TI y
la infraestructura que los soporta,
capacidad y disponibilidad de recursos
claves.

Nivel de proyecto: la administracin

de riesgos debe concentrarse en la
capacidad de entender y manejar la
complejidad del proyecto.

Nivel estratgico: grado en que las

capacidades TI estn alineadas con la
estrategia del negocio, cmo se
compara con la capacidad de los
competidores, y las amenazas por el
cambio tecnolgico.

10

Mtodos de Anlisis de Riesgos:

Cualitativos: Usan clasificaciones de descriptivas o verbales para describir los impactos
o la probabilidad. Son los ms sencillos y los ms comnmente usados. Normalmente se
basan en listas de verificacin y en clasificaciones subjetivas del riesgo, tales como alto
medio o bajo.

Semi-cuantitativo: Las clasificaciones descriptivas estn asociadas con una escala

numrica. Dichos mtodos se usan frecuentemente cuando no es posible utilizar un
mtodo cuantitativo para reducir la subjetividad en los mtodos cualitativos.

Cuantitativo: Usan valores numricos para describir la probabilidad y el impacto de los

riesgos, usando datos provenientes de varios tipos de fuentes, tales como registros
histricos, experiencias pasadas, prcticas y registros de la industria, teoras
estadsticas, pruebas y experimentos.

Cambios en los Riesgos:

Se debe informar acerca de los cambios significativos en el riesgo a niveles
apropiados de administracin, tanto a nivel peridico como a nivel de eventos.

La evaluacin de riesgo debe:

Ser actualizada en caso de cambios en la organizacin.

Considerar cualquier cambio significativo al perfil de riesgo de la organizacin.

Incluir un proceso donde un incumplimiento o evento de seguridad significativo

genere un informe a la gerencia superior.

El gerente de seguridad debe tener procesos definidos donde el evento puede ser
evaluado en base al impacto a la organizacin.

11