LECTURA 2

La Corporacion Xubel ha adquirido un sistema informático para procesar sus Informaciónes

administrativas, contables y financieras. Su Director de Informática, asesorado por sus
mejores especialistas en computación, valoró técnicamente varias propuestas, y eligió el
más eficaz informáticamente, aunque resultó relativamente caro.

Después explicó su decisión en el Consejo de Dirección de la Corporación. Se estableció un

Plan de Implantación, donde se entrenó al personal. Se sustituyó el sistema anterior y
se comenzó la explotación del nuevo sistema.

En los siguientes meses, se comenzaron a detectar algunos problemas en la información.

La Gerencia General inquirió sobre esas situaciones con el contador y el Jefe de
Auditoría Interna. Estos le informaron que el sistema adquirido presentaba ciertos
problemas en los módulos de captación de datos, que impedían establecer controles
eficaces sobre la información primaria, lo que motivaba que entraran datos erróneos al
sistema.

El Gerente General llamó al Director de Informática y le preguntó al respecto. Este

le expresó que no conocía nada sobre esa situación, que nadie le informó sobre esa
necesidad de controles y que ya no se podía rectificar, a no ser que le contrataran a la
empresa suministradora la modificación del sistema, cosa que podría costar muy cara.

El Gerente General le preguntó entonces al contador, y este respondió que nadie le consultó
sobre la adquisición del sistema. Ante la misma pregunta, el Jefe de Auditoría Interna
explicó que tampoco había sido consultado.

- Bien, señores, ¿qué recomiendan hacer entonces? – preguntó el Gerente General a

los tres funcionarios.
El Jefe de Auditoría Interna y el contador meditaron la respuesta, pero el Director
Informático respondió rápidamente:
- Creo que lo mejor es contratar a la casa suministradora la modificación. En tres
meses tal vez ya estará hecha.

Preguntas
1. ¿De quién es la responsabilidad que el nuevo sistema informático presente errores?
2. ¿Cuáles son las deficiencias que se han presentado?
3. ¿Los cambios a un sistema informático deben ser aprobados exclusivamente por
los programadores de computadoras?¿Por qué?
4. ¿Qué haría ud. Ante esta situación si fuera el Gerente General?

Lázaro J. Blanco Encinosa (2008) “Auditoria y Sistemas Informáticos”, Editorial Félix Varela, Cuba, pp. 86-88.
LECTURA 3

Se tiene una empresa

minera con el nombre
CORPORACION con sede
administrativa en la ciudad
de Lima y dos unidades de
producción UN01 y UN02
ubicadas en Trujillo.

Durante los últimos 2 años

con la ayuda de los precios
altos de los metales oro y
plata, la empresa minera
fue creciendo y estuvo
dotándose de nuevas
tecnologías y recursos
humanos que le permitiera
cubrir las necesidades de las operaciones, pero sin embargo, sin tener ningún plan.

Entre las acciones realizadas esta la adecuación y mejora de la infraestructura de la Sede

de Lima a fin de que pueda albergar al personal nuevo y establecer su Centro de Computo.
Sin embargo, en las dos unidades de producción ubicadas en Trujillo, se mantuvo con la
tecnología que tenía.

Con la contratación de un Ing. de Sistemas y un técnico en programación crearon el

Departamento de Sistemas, asimismo, en cada unidad el Gerente respectivo contrato a un
Ingeniero de Sistemas y lo ubico en el Departamento de Planeamiento, para el desarrollo
de sistemas de operaciones.

Durante estos años la empresa adquirió los Sistemas de Información siguiente:

 Sistemas de Planillas, desarrollado por un tercero, herramienta desarrollado a

través del software Power Builder, donde la licencia es para 50 usuarios.
 Sistema de Logística y Almacenes, desarrollado por un tercero.
 Sistema de Contabilidad, desarrollado por una empresa extranjera y comercializado
en el Perú por QNET SA.

Todos estos sistemas trabajan con un motor de BD SQL Server que se instalo en el único
servidor con sistema operativo Windows 2003 Server.

2
 Asimismo, se adquirieron 20 computadoras compatibles, con lo que llegaron a tener un
parque informático de 40 computadoras personales, todas conectadas en red y
configuradas en un grupo de trabajo llamado MINERA.

Con la red lograron optimizar el uso de los recursos como las impresoras y faxes, así como
les permitió compartir directorios y archivos en la red, red que cuenta con un Access Point
para el acceso de las 2 laptops que también adquirieron.

La información que generaba diariamente fue en aumento desde 10 Mb a 50 Mb, entre los
cuales se incluyen archivos Excel, Word y Autocad, así como la información de los correos
electrónicos que se administran a través del Outlook, cuyo archivo PST se aloja en el
servidor indicado en los párrafos procedentes.

Actualmente, la empresa minera CORPORACION en virtud al crecimiento exponencial está

evidenciando limitaciones en todos los aspectos relacionados al flujo de información, por
lo cual no sabe qué solución dar.

Preguntas:

Para responder la pregunta ¿Cómo llevarían a cabo una Auditoria de Sistemas de

Información a la empresa minera CORPORACION?, se tendría que responder y/o identificar
por lo menos lo siguiente:

1. Elabore el posible organigrama de dicha empresa minera.

2. ¿Cuál sería el objetivo general de la Auditoria de Sistemas de Información a aplicar?
3. ¿Cuáles serían las áreas a auditar?
4. ¿Cuál sería el periodo a auditar?
5. ¿Quiénes conformaran la Comisión Auditora Informática? Describir cargo, profesión,
el líder de la Comisión, entre otros

Elaborado por docentes de la Facultad de Ingeniería de Sistemas y Cómputo de la Universidad Inca Garcilaso de la Vega.

Lección 2

Auditoria de Sistemas

La Auditoria de Sistemas o Auditoria de Sistema de Información, entre otros, no tiene mucho

tiempo y esto es debido que la computación como ciencia tampoco lo tiene. En ese sentido,
son pocas las bibliografías que se pueden encontrar. A continuación se mencionan algunas
bibliografías relacionadas a la Auditoria de Sistemas:

En 1988, Echenique publicó su libro “Auditoria de Sistemas”, en el cual establece las

principales bases para el desarrollo de una Auditoria de Sistemas de Información
computacionales, dando un enfoque teórico-práctico sobre el tema.
3
En 1992, Lee presentó un libro en el cual enuncia los principales aspectos a evaluar
en una Auditoria de Sistemas de Información, mediante una especie de guía que le
indica al auditor los aspectos que debe evaluar en este campo.

En 1993, Rosalva Escobedo Valenzuela presenta en la UVM una tesis de auditoria a

los centros de cómputo, como apoyo a la gerencia, destacando sus aspectos más
importantes.

En 1994, G. Haffes, F. Holguin y A. Galan, en si libro sobre auditoria de los estados

financieros, presentan una parte relacionada con la Auditoria de Sistemas de
Información, que profundiza en los aspectos básicos de control de sistemas y se
complementa con una serie de preguntas que permite evaluar aspectos relacionados
con este campo.

En 1995, Ma. Guadalupe Buendía Aguilar y Edith Antonieta Campos de la O.

presentan un tratado de Auditoria de Sistemas de Información, en el cual presentan
metodologías y cuestionarios útiles para realizar esta especialidad.

En 1995, Yann Darrien presenta un enfoque particular sobre la Auditoria de Sistemas

de Información.

En 1996, Alvin A. Arens y James K. Loebbecke, en su libro “Auditoria. Un enfoque

integral”, de Prentice Hall Hispanoamericana, SA, nos presentan una parte de esta
obra como Auditoria de Sistemas de Información Complejos de PED.

En 1996, Hernández Hernández propone la auditoria en informática, en la cual da

ciertos aspectos relacionados con esta disciplina.

En 1997, Francisco Ávila obtiene mención honorífica en su examen profesional, en

la UVM, Campus San Rafael, con una tesis en la cual propone un caso práctico de
sistemas realizado en una empresa estatal.

En 1998, Yann Darrien presenta “Técnicas de Auditoria”, donde hace una propuesta
de diversas herramientas de esta disciplina.

En 1998, Mario G. Piattini y Emilio del Peso presentan “Auditoria de Sistemas de

Información, un enfoque práctico” donde mencionan diversos enfoques y
aplicaciones de esta disciplina.

En 2000, Carlos Muñoz Razo presenta “Auditoria de Sistemas de Información

computacionales”

En 2001, Alonso Tamayo Alzate presenta “Auditoria de Sistemas de Información.

Una visión práctica”.

4
2.1 Definición y Objetivos de la Auditoria de Sistemas

2.1.1 Definición de la Auditoria de Sistemas

Existen varias definiciones de auditoría informática, algunas de ellas son:

“Rama especializada de la auditoria que consiste en la evaluación de normas,

controles, técnicas y procedimientos establecidos en una empresa para lograr
confiabilidad, oportunidad, seguridad y confidencialidad de la información que se
procesa a través de los sistemas de información”. (Mora: 2008, 32) 1

“Es la que se refiere a la observación, análisis y mejora de los sistemas,

organizaciones o procedimientos de calidad existentes”. (Vilar: 1999, 61) 2

“Es la parte de la auditoría interna que se encarga de llevar a cabo la evaluación de

normas, controles, técnicas y procedimientos que se tienen establecidos en una
empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la
información que se procesa a través de computadores; es decir, en estas
evaluaciones se está involucrando tanto los elementos técnicos como humanos que
intervienen en el proceso de la información”. (Tamayo: 2003, 9) 3

“Se encarga de la evaluación de todos aquellos aspectos relacionados con los

recursos informáticos de la organización como son software, hardware, talento
humano, funciones y procedimientos, enfocados todos ellos desde el punto de vista
administrativo, técnico y de seguridad; y propende por prevenir a la empresa de
aquellos riesgos originados por omisiones, errores, violaciones, actos mal
intencionados, desastres naturales, etc., asesorando y proporcionando
recomendaciones y sugerencias a nivel directivo para lograr un adecuado control
interno en la empresa”. (Tamayo: 2003, 10) 4
“Conjunto de procedimientos y técnicas para evaluar y controlar, total o
parcialmente, un sistema informático con el fin de proteger sus activos y recursos,
verificar si sus actividades se desarrollan eficientemente y de acuerdo con la
normativa informática y general existentes en cada empresa y parta conseguir la
eficacia exigida en el marco de la organización correspondiente”. (González: 2004,
26) 5

“Un proceso formal ejecutado por especialistas del área de auditoría y de

informática; se orienta a la verificación y aseguramiento para que las políticas y
procedimientos establecidos para el manejo y uso adecuado de la tecnología de

1Araceli Mora Enguídanos (2008) “Diccionario de Contabilidad, Auditoría y Control de Gestión”, Ecobook Editorial
del Economista, España.

2 José Francisco Vilar Barrio (1999) “La Auditoria de los Sistemas de gestión de la calidad”, FC. Editorial, España.

3 Alonso Tamayo Alzate (2003) “Auditoria de Sistemas de Información: una visión práctica”, Centro de
Publicaciones Universidad Nacional de Colombia Sede Manizales, Colombia.

4 Alonso Tamayo Alzate (2003) “Auditoria de Sistemas de Información: una visión práctica”, Centro de
Publicaciones Universidad Nacional de Colombia Sede Manizales, Colombia.

5Rafael Enrique González Gallego (2004) “Diccionario de computación y electrónica”, Editorial González Gallego
Computación México.

5
 informática en la organización se realicen de una manera oportuna y eficiente”.
(Hernández: 2000, 14) 6

“La Auditoria de Sistemas de Información es el proceso de recoger, agrupar y evaluar

evidencias para determinar si un sistema informatizado salvaguarda los activos,
mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
organización y utiliza eficientemente los recursos”. (Piattini y Del Peso: 1998, 28-29)
7

Finalmente, entendemos a la Auditoria de Sistemas de Información como el conjunto de

técnicas que permiten detectar deficiencias en las organizaciones de informática y en los
sistemas que se desarrollan u operan en ellas, incluyendo los servicios externos de
computación, que permitan efectuar acciones preventivas y correctivas para eliminar las fallas
y carencias que se detecten.

Las Instituciones efectúan Auditorias Informáticas, con la finalidad de asegurar la eficiencia

de las organizaciones de informática, así como la confiabilidad y seguridad de sus sistemas.

Una manera de representar lo expuesto seria:

Normas Confiabilidad

Controles Oportunidad

Sistemas de
Información Auditoria Seguridad

Funciones Informátic Confidencialidad

Procedimientos a Eficiencia

Toma de decisiones
Software
Asesoría
Hardware
Recomendaciones
Talento humano

Fig. Definición de Auditoria de Sistemas de Información. (Tamayo: 2003, 10) 8

2.1.2 Objetivos de la Auditoria de Sistemas de Información

Dentro de los objetivos de la Auditoria de Sistemas de Información tenemos:

Objetivos Generales de la Auditoría Informática (Tamayo: 2003, 11) 9

 Evaluar las políticas generales sobre planeación, ambiente laboral, entrenamiento y

capacitación, desempeño, supervisión, motivación y remuneración del talento humano.

6 Enrique Hernández Hernández (2000) “Auditoría en Informática”, 2da. Edición, Editorial Continental S.A., México.

7 Mario G. Piattini y Emilio Del Peso (1998) “Auditoría Informática: un enfoque práctico”, RA-MA Editorial, España.

8 Alonso Tamayo Alzate (2003) “Auditoria de Sistemas de Información: una visión práctica”, Centro de
Publicaciones Universidad Nacional de Colombia Sede Manizales, Colombia.

9 Alonso Tamayo Alzate (2003) “Auditoria de Sistemas de Información: una visión práctica”, Centro de
Publicaciones Universidad Nacional de Colombia Sede Manizales, Colombia.

6
 Evaluar las políticas generales de orden técnico con respecto al software, hardware,
desarrollo, implantación, operación y mantenimiento de sistemas de información.

 Evaluar las políticas generales sobre seguridad física con respecto a instalaciones,
personal, equipos, documentación, back-ups, pólizas y planes de contingencia.

 Evaluar los recursos informáticos de la empresa con énfasis en su nivel tecnológico,

producción de software y aplicaciones más comúnmente utilizadas.
 Asesorar a la gerencia y altos directivos de la empresa en lo relacionado con los sistemas
de información, de tal forma que el proceso de toma de decisiones se efectúe lo más
acertadamente posible.

 Conocer las políticas generales y actitudes de los directivos frente a la auditoria y

seguridad de los sistemas de información y proceder a hacer las recomendaciones
pertinentes.

 Efectuar un análisis sobre la concepción, implementación y funcionalidad de la seguridad

aplicada a los sistemas de información.

 Analizar los componentes del costo involucrado en la sistematización de los diferentes

procesos, así como evaluar los beneficios derivados del mismo.

Objetivos Específicos de la Auditoría Informática (Tamayo: 2003, 12) 10

 Evaluar el grado de intervención de la Auditoria de Sistemas de Información en las

etapas de desarrollo, implementación y mantenimiento de las aplicaciones.

 Evaluar las políticas y criterios para la adquisición y/o desarrollo del software.

 Evaluar los riesgos y fraudes de mayor incidencia al interior de la empresa.

 Examinar la documentación existente con respecto a los manuales de sistemas, usuario,

operación, auditoria, funciones y procedimientos, para determinar su actualización y
efectividad.

 Revisar los procedimientos existentes sobre planeación, ambiente laboral,

entrenamiento y capacitación, desempeño, supervisión, motivación y remuneración del
talento humano.

 Examinar los procedimientos existentes con respecto al software, hardware, desarrollo,

implementación, operación y mantenimiento de los sistemas de información.

 Revisar los procedimientos existentes sobre seguridades físicas con respecto a

instalaciones, personal, equipos, documentación, back-ups, pólizas y planes de
contingencias.

 Constatar si el personal se encuentra capacitado para aplicar controles y procedimientos

de seguridad.

10Alonso Tamayo Alzate (2003) “Auditoria de Sistemas de Información: una visión práctica”, Centro de
Publicaciones Universidad Nacional de Colombia Sede Manizales, Colombia.

7
 Comprobar si los planes de seguridad son evaluados periódicamente.

 Comprobar la participación de los usuarios durante las etapas de análisis, diseño y

puesta en marcha de las diferentes aplicaciones.

 Comprobar si existe una adecuada segregación de funciones y su cabal aplicación.

 Evaluar la funcionalidad de la estructura orgánica del centro de informática.

 Revisar las políticas de ascensos, promociones y vacaciones del personal.

 Evaluar los procedimientos para captura, verificación y almacenamiento de los datos.

 Evaluar los procedimientos para asignación de claves de acceso, modificaciones,

cancelaciones, etc.

 Revisar los estándares de producción y comprobar la calidad de la información

producida.

 Verificar la programación de los mantenimientos a las aplicaciones.

2.2 Justificación de la Auditoria de Sistemas de Información (Tamayo: 2003, 12-

13) 11

A continuación se destacan los aspectos más relevantes que ameritan la función de la

Auditoria de Sistemas de Información:

 A la par que la tecnología avanza, las empresas deben evolucionar y es allí donde los
controles aplicados deben ser evaluados, para que sean consonantes con todos los
cambios efectuados.

 Los sistemas de información apoyados en computadoras son susceptibles de

irregularidades como fraudes, manejos indebidos, errores, omisiones, etc., lo que obliga
a ejercer un control estricto en sus operaciones.

 La normatividad, regulaciones y legislación, tanto interna como externa a la empresa,

obligan a efectuar las modificaciones necesarias a los sistemas de información, lo que de
hecho desactualiza los controles aplicados, por eso es necesario revisar los controles
existentes y ajustarlos de acuerdo a los nuevos procedimientos implantados.

 La reducida participación que tiene la Auditoria de Sistemas de Información en la

adquisición y/o actualización de bienes informáticos, recayendo la responsabilidad en
auditores no experimentados con ésta tecnología, es la causa del bajo porcentaje de
fiscalización especializada que se ejerce al respecto.

 El incipiente desarrollo de la Auditoria de Sistemas de Información y los limitados

recursos de todo orden destinados a la misma, han sido el factor predominante en

11Alonso Tamayo Alzate (2003) “Auditoria de Sistemas de Información: una visión práctica”, Centro de
Publicaciones Universidad Nacional de Colombia Sede Manizales, Colombia.

8
 nuestro medio y ha traído como consecuencia que los controles ejercidos se reduzcan en
un alto porcentaje solo a aquellos que brindan el software y el hardware adquirido.

 La limitada concepción que se tiene sobre el alcance de la seguridad de los sistemas de

información computarizados, que recae más que todo en las seguridades físicas, hace
indispensable aumentar su radio de acción y control.

 El crecimiento de las empresas y la fuerte competencia a la que están sometidas,

conduce a un incremento de sus actividades cotidianas, lo que obliga a planear y
controlar sus desarrollos para que sean más competitivas.

 La poca o escasa documentación existente, en la mayoría de los casos desactualizada,

es el factor predominante en gran parte de las empresas de nuestro medio.

 Los planes de contingencias son muy limitados en cuanto a su alcance y

preferencialmente se ocupan de aspectos relacionados con el empleo de respaldos y la
toma de pólizas de seguros, desatendiendo otros elementos atinentes al software,
hardware y talento humano, que tienen profunda incidencia dentro de la auditoria.

La justificación de la Auditoria de Sistemas de Información se puede resumir en la Figura

siguiente:

Irregularidades

Limitada concepción

Avance tecnológico

Incipiente desarrollo

Reducida participación

Normatividad, legislación

Crecimiento de las empresas

Escasa y desactualizada documentación

Limitado alcance de los planes de contingencia

Fig. Justificación de la Auditoria de Sistemas de Información (Tamayo: 2003, 13) 12

2.3 Atributos del Auditor Informático (Contraloría General: 1998, 15-16) 13

El auditor de Sistemas, debe tener como objetivo ser el mejor en su profesión y propender a
su desarrollo profesional permanente. Constituyen atributos del auditor de sistemas los
siguientes:

 Entrenamiento técnico y capacidad profesional

12Alonso Tamayo Alzate (2003) “Auditoria de Sistemas de Información: una visión práctica”, Centro de
Publicaciones Universidad Nacional de Colombia Sede Manizales, Colombia.

13Contraloría General de la República (1998) “Resolución de Contraloría N° 152-1998-CG Manual de Auditoria

Gubernamental”, publicado por la CGR, Perú.

9
 El auditor de sistemas debe poseer un adecuado entrenamiento técnico, la experiencia y
competencia profesional necesarios para la ejecución de su trabajo.

 Independencia
El auditor debe adoptar una actitud de independencia de criterio respecto de la entidad
examinada y se mantendrá libre de cualquier situación que pudiera señalarse como
incompatible con su integridad y objetividad.

 Debido cuidado profesional

El auditor debe actuar con el debido cuidado profesional a efectos de cumplir con las
normas de auditoría durante la ejecución de su trabajo y en la elaboración del informe.

 Confidencialidad
El auditor de sistemas debe mantener absoluta reserva respecto a la información que
conozca en el transcurso de su trabajo.

 Independencia organizacional del Auditor Interno de Sistemas

La ubicación de la Auditoría Interna en la estructura organizacional de la entidad debe ser
lo suficientemente relevante para que le permita cumplir sus responsabilidades de
Auditoria de Sistemas de Información.

2.4 Comparación de la Auditoria de Sistemas de Información con las demás

auditorias

10
Características Auditoria Financiera Auditoria de Gestión Examen Especial Auditoria de Sistemas de Información

Es un examen objetivo, sistemático y profesional de Comprende la revisión y análisis de una parte de las Es el conjunto de técnicas que permiten detectar
Determina si los estados financieros del ente
evidencias, realizado con el fin de proporcionar una operaciones o transacciones, efectuadas con deficiencias en las organizaciones de informática y en
auditado presentan razonablemente su situación
evaluación independiente sobre el desempeño posterioridad a su ejecución, con el objeto de verificar los sistemas que se desarrollan u operan en ellas,
financiera, los resultados de sus operaciones y sus
Definición (rendimiento) de una entidad, programa o actividad aspectos presupuestales o de gestión, el cumplimiento de incluyendo los servicios externos de computación,
flujos de efectivo, de acuerdo con principios de
gubernamental, orientada a mejorar la efectividad, los dispositivos legales y reglamentarios aplicables y que permitan efectuar acciones preventivas y
contabilidad generalmente aceptados, de cuyo
eficiencia y economía en el uso de los recursos públicos, elaborar el correspondiente informe que incluya correctivas para eliminar las fallas y carencias que se
resultado se emite el correspondiente dictamen.
para facilitar la toma de decisiones. observaciones, conclusiones y recomendaciones. detecten.

 Establecer la correcta administración de los  Buscar una mejor relación costo-beneficio de los
recursos públicos y el cumplimiento de la sistemas.
normativa vigente
Promover mejoras en la efectividad, eficiencia y
 Combinar objetivos financieros, operativos y de
 Incrementar la satisfacción de los usuarios de los
Objetivos Expresar opinión sobre la razonabilidad de los EEFF economía en las operaciones y en los controles sistemas computarizados.
cumplimiento
gerenciales
 Investigar denuncias, procesos licitarios y  Asegurar una mayor integridad, confidencialidad
donaciones y confiabilidad de la información mediante la
recomendación de seguridades y controles.

 Ejecución presupuestal
 Eficacia, eficiencia y economía en las operaciones
 Eficacia, eficiencia y economía en las operaciones  Eficacia, eficiencia y economía de las operaciones
 Sistema Contable y libros principales y registros informáticas.
 Selección de áreas o asuntos teniendo en cuenta  Verificación de legalidad
contables de un periodo determinado  Selección de áreas o asuntos teniendo en cuenta
Alcance materialidad, riesgos, sensibilidad, etc.  Selección de áreas o asuntos teniendo en cuenta
 El examen se ha efectuado de acuerdo con la materialidad, riesgos, sensibilidad, etc.
 El examen se ha efectuado de acuerdo con la NAGA y materialidad y riesgos
NAGA y NAGU  Ejecución presupuestal
NAGU  El examen se ha efectuado de acuerdo con la
NAGA y NAGU

Habilidades Contadores Públicos Interdisciplinario con entrenamiento continuo Interdisciplinario con entrenamiento continuo Ingenieros de Sistemas
Orientación Pasado Presente y futuro Pasado, presente y futuro Pasado, presente y futuro

Usuarios Empresa Publica y/o Privada Empresa Publica y/o Privada Empresa Publica y/o Privada Empresa Publica y/o Privada

Principios de Administración y prácticas de Buena PCGA, NICS, NAGU, MAGU Cobit, NTP ISO IEC 17799 Seguridad de Información,
Normas PCGA, NICS, NAGU, MAGU
Gerencia, NAGU y MAGU Principios de Administración etc. dispuestas por el ONGEI
Opinión Dictamen Conclusiones Conclusiones Conclusiones

Informe conteniendo, observaciones, conclusiones y Informe conteniendo, observaciones, conclusiones y

Resultados de Dictamen sobre los Estados Financieros mas Informe conteniendo, observaciones, conclusiones y
recomendaciones para la entidad examinada recomendaciones para la entidad examinada
Auditoria Informe Largo de auditoria recomendaciones para la entidad examinada
Informe Especial Informe Especial

Los Estados Financieros presentan  Cumplimiento de las normativas legales vigentes.

Mejoras en la gestión, resultados, sistemas Mejoras en la gestión referidos a los Sistemas de
Énfasis razonablemente la situación financiera, resultados  Mejoras en la gestión, controles gerenciales y
administrativos y controles gerenciales Información
de las operaciones y flujos de efectivo de la entidad sistemas administrativos.

Cuadro Comparación de la Auditoria de Sistemas de Información con las demás auditorias

Nota: PCGA: Principios de Contabilidad Generalmente Aceptados, NICS: Normas Internacionales de contabilidad, NAGU: Normas de Auditoria Gubernamental, MAGU: Manual de Auditoria
Gubernamental.

Fuente: Elaboración propia.

RESUMEN
La Auditoria en el Perú se puede clasificar de dos (2) maneras, las que se realizan en el sector
privado y/o en el sector público.

En el sector privado las organizaciones realizan la auditoria a través de la auditoría interna y/o
contratación el servicio de alguna firma de auditoría externa para la realización de la misma.
Dentro de las firmas auditoras Internacionales tenemos: PriceWaterhouse, Ernst & Young,
Deloitte, BDO y KPMG.
Dentro de las firmas Nacionales, tenemos: Hernández Randich SC., Ramírez Enríquez y Asociados,
Urbano Ventocilla & Asociados, entre otras.

En el Sector Público la auditoria está regida por el Sistema Nacional de Control que “es el conjunto
de órganos de control, normas, métodos y procedimientos —estructurados e integrados
funcionalmente— destinados a conducir y desarrollar el ejercicio del control gubernamental en
forma descentralizada.

El Sistema Nacional de Control está conformado por: Contraloría General, como ente técnico
rector; todas las unidades orgánicas responsables de la función de control gubernamental (OCI)
y las sociedades de auditoría externa independientes (SOA).

En el Sector Público el área de Auditoria se denomina Órgano de Control Institucional, como

unidad orgánica especializada, se ubica en el mayor nivel jerárquico organizacional de la entidad,
para efectos del ejercicio del control gubernamental.

La Misión del Área de Auditoria (o también llamado “Órgano de Control Institucional”) es

“Promover la correcta y transparente gestión de los recursos y bienes de la entidad, cautelando
la legalidad y eficiencia de sus actos y operaciones, así como el logro de sus resultados, mediante
la ejecución de acciones y actividades de control, para contribuir con el cumplimiento de los fines
y metas institucionales”.
La Auditoria, se puede definir como un análisis pormenorizado de un sistema de información que
permite descubrir, identificar y corregir vulnerabilidades en los activos que lo componen y en los
procesos que se realizan. Su finalidad es verificar que se cumplen los objetivos de la política de
seguridad de la organización. Proporciona una imagen real y actual del estado de seguridad de
un sistema de información.
Se clasifica la Auditoria como Auditoría Interna y Auditoría Externa.

Los Tipos de Auditoria que existen son: Auditoría Financiera, Auditoría de Gestión, Examen
Especial, Auditoria Forense, Auditoria del Medio Ambiente, Auditoria Administrativa y Auditoria de
Sistemas de Información.

La Auditoria de Sistemas de Información es la que se refiere a la observación, análisis y mejora

de los sistemas, organizaciones o procedimientos de calidad existentes.

Los Atributos del Auditor Informático son: Entrenamiento técnico y capacidad profesional,
Independencia, Debido cuidado profesional, Confidencialidad e Independencia organizacional del
Auditor Interno de Sistemas.

12