La auditoría puede definirse como «un proceso sistemático para obtener y evaluar de manera objetiva las evidencias relacionadas con informes sobre actividades económicas y otros acontecimientos relacionados, cuyo fin consiste en determinar el grado de correspondencia del contenido informativo con las evidencias que le dieron origen, así como establecer si dichos informes se han elaborado observando los principios establecidos para el caso».
Por otra parte la auditoría constituye una herramienta de control y supervisión que contribuye a la creación de una cultura de la disciplina de la organización y permite descubrir fallas en las estructuras o vulnerabilidades existentes en la organización.
Otro elemento de interés es que durante la realización de su trabajo, los auditores se encuentran cotidianamente con nuevas tecnologías de avanzada en las entidades, por lo que requieren de la incorporación sistemática de herramientas con iguales requerimientos técnicos, así como de conocimientos cada vez más profundos de las técnicas informáticas más extendidas en el control de la gestión.
Alcance de la Auditoría:
Asesorar a la gerencia con el propósito de:
1. Delegar efectivamente las funciones.
2. Mantener adecuado control sobre la organización.
3. Reducir a niveles mínimos el riesgo inherente.
4. Revisar y evaluar cualquier fase de la actividad de la organización, contable, financiero, administrativo, operativo.
Objetivos:
Generales:
Velar por el cumplimientos de los controles internos establecidos
Revisión de las cuentas desde el punto de vista contable, financiero, administrativo y operativo.
Ser un asesor de la organización.
Específicos:
Revisar y evaluar la efectividad, propiedad y aplicación de los controles internos.
Cerciorarse del grado de cumplimiento de las normas, políticas y procedimientos vigentes.
Comprobar el grado de confiabilidad de la información que produzca la organización.
Evaluar la calidad del desempeño en el cumplimiento de las responsabilidades asignadas.
Promover la eficiencia operacional.
Normas de auditoria
Las normas de Auditoría son las indicaciones que en forma obligatoria los auditores tienen que cumplir en el desempeño de sus funciones de auditoría y presentan los requisitos personales y profesionales del auditor, además de orientaciones para la uniformidad en el trabajo con el propósito de lograr un buen nivel de calidad en el examen. Asì mismo indican lo concerniente a la elaboración del informe de auditoria.
A. Normas Generales
Establecen el ámbito y competencia de la auditoría, son de naturaleza personal y están relacionadas con las cualidades morales, de conocimiento y capacidad que debe tener el auditor y con la calidad en el trabajo de auditoría.
Son Normas Generales:
1 Capacidad Profesional
El auditor debe tener suficiente capacidad profesional, experiencia técnica y el entrenamiento adecuado para planear, organizar y ejecutar de la manera más eficiente y económica el trabajo de auditoría y con calidad profesional.
Para mantenerse actualizado el auditor deberá estar capacitándose constantemente en todas las áreas relacionadas con su carrera.
Además, los auditores deben reunir ciertos requisitos como:
a) conocimiento de métodos y técnicas aplicables
b) conocimiento de los principios de contabilidad generalmente aceptados y de las normas internacionales de auditoría.
c) Habilidad para comunicarse.
d) Experiencia en el ramo.
e) Título profesional correspondiente.
2. Objetividad e Independencia
El auditor deberá estar libre de impedimentos e influencias, mantener una actitud objetiva y absoluta independencia de criterios en la elaboración del informe de su examen.
La independencia objetiva y mental del auditor es la exigencia y calidad más importante. La pérdida de tales condiciones elimina por completo la validez de su informe y su cuestionamiento disminuye considerablemente su credibilidad.
El auditor debe tener la suficiente autonomía de modo que pueda desarrollar la auditoría con el máximo grado de imparcialidad, sin que haya posibilidades de efectos negativos en su contra que impidan o limiten su independencia.
En el caso de los auditores internos, se debe responder ante un nivel jerárquico tal, que le permita a la actividad de auditoría interna cumplir con sus responsabilidades sin tropiezo alguno.
Para el logro real de la independencia del auditor, éste no debe tener conflicto de intereses en las áreas auditadas, que limiten su accionar en forma imparcial y objetiva. Esto significa que se abstendrán de evaluar operaciones en las cuales anteriormente tuvieron responsabildades.
3. Confidencialidad del trabajo de Auditoría
El personal de auditoría mantendrá absoluta reserva en el desempeño de sus funciones, aún después de haber concluido sus labores y solo harán del conocimiento de su trabajo a su superior inmediato.
En el caso de las auditorías que se desarrollan en el Estado, la Constitución de la república obliga a la Contraloría a hacer públicos los resultados, so pena de declararla cómplice si no lo hace.
4. Incompatibilidad de Funciones.
El personal de Auditoría no ejercerá ninguna labor administrativa ni financiera en las entidades u organismos sujetos a su examen. Ni practicarà auditorias en lugares donde tenga intereses, ya sean económicos o personales.
5. Responsabilidad y Cuidado Profesional
Los auditores son responsables de cumplir con todas las disposiciones legales y normativas existentes para el desarrollo de una auditoría y emplear cuidadosamente su criterio profesional. Debe aplicar adecuadamente su criterio para determinar el alcance de la auditoría, las técnicas y procedimientos de auditoría, el equipo de trabajo y de elaborar o preparar los informes pertinentes.
6. Designación del personal para la Auditoría
Antes de iniciar una Auditoría o examen especial, se designará por escrito, mediante una credencial, el equipo responsable de su ejecución, el cual ejercerá su trabajo de acuerdo a los programas de auditoría elaborados y preparados para ese fin.
7. Control de Calidad.
Se debe garantizar un adecuado control de calidad del trabajo, a través de una supervisón constante del trabajo, de la preparación continua de los auditores, capacitándolos y dándoles las herramientas necesarias para que puedan desarrollar su trabajo sin presiones ni limitaciones.
ALGUNAS CONSULTORAS EN EL PERU
Noles Monteblanco & Asoc. Soc. Civil.
Evaluación de aspectos administrativos y operativos de la empresa
Geneva Group International-Peru Auditoría Financiera, Precios de Transferencia. Valuaciòn de Empresas, Tax-Legal
Panez Chacaliaza & Asoc. Auditores - Consultores - Servicios - Tributarios - Inventarios
Alliott Group Rejas, Alva y Asociados S.C. Full Member of Alliott Group.
Riva Consultores & Asociados S.A.C. Outsouring contable, tributario y laboral - precios de transferencia, ERP
Geneva Group International-Peru Auditoría Financiera, Precios de Transferencia. Valuaciòn de Empresas, Tax-Legal
Baker Tilly Peru Auditoría, Outsourcing, Tax & Legal, Servicios Financieros, Gestión Negocios.
SEGURIDAD DE LA INFORMACION
¿Qué es seguridad de la información?
La información es un activo que, como otros activos comerciales importantes, es esencial para
el negocio de una organización y en consecuencia necesita ser protegido adecuadamente.
Esto es especialmente importante en el ambiente comercial cada vez más interconectado.
Como resultado de esta creciente interconectividad, la información ahora está expuesta a un
número cada vez mayor y una variedad más amplia de amenazas y vulnerabilidades (ver
también los Lineamientos OECD de la Seguridad de Sistemas y Redes de Información).
La información puede existir en muchas formas. Puede estar impresa o escrita en un papel,
almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos,
mostrada en películas o hablada en una conversación. Cualquiera que sea la forma que tome
la información, o medio por el cual sea almacenada o compartida, siempre debiera estar
apropiadamente protegida.
La seguridad de la información es la protección de la información de un rango amplio de
amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y
maximizar el retorno de las inversiones y las oportunidades comerciales.
La seguridad de la información se logra implementando un adecuado conjunto de controles;
incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de
software y hardware. Se necesitan establecer, implementar, monitorear, revisar y mejorar
estos controles cuando sea necesario para asegurar que se cumplan los objetivos de
seguridad y comerciales específicos. Esto se debiera realizar en conjunción con otros
procesos de gestión del negocio.
¿Cómo establecer los requerimientos de seguridad?
Es esencial que una organización identifique sus requerimientos de seguridad. Existen tres
fuentes principales de requerimientos de seguridad,
Una fuente se deriva de evaluar los riesgos para la organización, tomando en cuenta la
estrategia general y los objetivos de la organización. A través de la evaluación del riesgo, se
identifican las amenazas para los activos, se evalúa la vulnerabilidad y la probabilidad de
ocurrencia y se calcula el impacto potencial.
Otra fuente son los requerimientos legales, reguladores, estatutarios y contractuales que tienen que satisfacer una organización, sus socios comerciales, contratistas y proveedores de servicio; y su ambiente socio-cultural.
Otra fuente es el conjunto particular de principios, objetivos y requerimientos comerciales para
el procesamiento de la información que una organización ha desarrollado para sostener sus
operaciones.
Evaluando los riesgos de la seguridad
Los requerimientos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad. El gasto en controles debiera ser equilibrado con el daño comercial
probable resultado de fallas en la seguridad.
Los resultados de la evaluación del riesgo ayudarán a guiar y determinar la acción de gestión
apropiada y las prioridades para manejar los riesgos de seguridad de la información, e implementar los controles seleccionados para protegerse contra esos riesgos.
La evaluación del riesgo se debiera repetir periódicamente para tratar cualquier cambio que
podría influir en los resultados de la evaluación del riesgo.
Se puede encontrar más información de la evaluación de los riesgos de seguridad en la cláusula.
Medios de procesamiento de la información
Cualquier sistema, servicio o infraestructura de procesamiento de la información, o los locales
físicos que los alojan
Seguridad de la información
Preservación de confidencialidad, integración y disponibilidad de la información; además,
también puede involucrar otras propiedades como autenticidad, responsabilidad, norepudiación
y confiabilidad
Evento de seguridad de la información
Cualquier evento de seguridad de la información es una ocurrencia identificada del estado de
un sistema, servicio o red indicando una posible falla en la política de seguridad de la
información o falla en las salvaguardas, o una situación previamente desconocida que puede
ser relevante para la seguridad. (ISO/IEC TR 18044:2004)
Incidente de seguridad de la información
Un incidente de seguridad de la información es indicado por un solo evento o una serie de
eventos inesperados de seguridad de la información que tienen una probabilidad significativa
de comprometer las operaciones comerciales y amenazar la seguridad de la información.
(ISO/IEC TR 18044:2004)
Amenaza
Una causa potencial de un incidente no-deseado, el cual puede resultar en daño a un sistema
u organización (ISO/IEC 13335-1:2004)
Vulnerabilidad
La debilidad de un activo o grupo de activos que puede ser explotada por una o más
amenazas. (ISO/IEC 13335-1:2004)
Estructura de este estándar
Este estándar contiene 11 cláusulas de control de seguridad conteniendo colectivamente un
total de 39 categorías de seguridad principales y una cláusula introductoria que presenta la
evaluación y tratamiento del riesgo.
Categorías de seguridad principales
Cada categoría de seguridad contiene:
a) un objetivo de control que establece lo que se debiera lograr; y
b) uno o más controles que se pueden aplicar para lograr el objetivo de control.
Las descripciones del control están estructuradas de la siguiente manera:
Control
Define el enunciado de control específico para satisfacer el objetivo de control.
Lineamiento de implementación
Proporciona información más detallada para apoyar la implementación del control y cumplir
con el objetivo de control. Parte de este lineamiento puede no ser adecuado en todos los
casos y por lo tanto, pueden ser adecuadas otras maneras para implementar el control.
Tratamiento de los riesgos de seguridad
Antes de considerar el tratamiento del riesgo, la organización debiera decidir el criterio para
determinar si se pueden aceptar los riesgos, o no. Los riesgos pueden ser aceptados si, por
ejemplo, se ha evaluado que el riesgo es bajo o que el costo del tratamiento no es efectivo en
costo para la organización. Estas decisiones debieran ser registradas.
Para cada uno de los riesgos definidos después de una evaluación del riesgo se necesita
tomar una decisión de tratamiento del riesgo. Las opciones posibles para el tratamiento del
riesgo incluyen:
a) aplicar los controles apropiados para reducir los riesgos;
b) aceptar los riesgos consciente y objetivamente, siempre que cumplan claramente
con la política y el criterio de aceptación de la organización de la organización;
c) evitar los riesgos no permitiendo acciones que podrían causar que el riesgo ocurra;
d) transferir los riesgos asociados a otros grupos; por ejemplo, aseguradores o
proveedores.
