Qué son los Procesos?

Capítulo 1 – Introducción

Durante mis inicios como auditor de sistemas, no encontré una guía clara sobre las tareas que debe ejecutar un auditor de sistemas. En esta guía he recopilado mis 10 años de experiencia como auditor de sistemas en organizaciones de auditoría externa e interna, para ayudar a aquellos que quisieran iniciar si carrera en es gran mundo de la auditoria especializada en sistemas.

Todo auditor, incluyendo al auditor de Sistemas o auditor de TI, debería comprender como funciona una empresa, desde el control interno, la estrategia empresarial y el universo de procesos, así como también debe ser capaz de identificar y evaluar los riesgos asociados a un proceso, y evaluar los controles.

Un auditor de sistemas no trabaja solamente con computadoras ni con programas. Solemos confundir la auditoría de sistemas, con pruebas de penetración, sin embargo, son conceptos distintos. El trabajo real de un auditor es entender cómo funciona una empresa: cómo se organizan las tareas, qué pasos siguen para lograr resultados, y cómo la tecnología influye en todo esto.

Eso significa que, antes de hablar de seguridad, riesgos o controles, un auditor debe comprender los procesos.Un proceso no es una palabra complicada: es simplemente una serie de pasos que se hacen en orden para lograr un objetivo.

Ejemplo sencillo:Imagina que tienes hambre y quieres hacer un sándwich.

1. Tomas el pan.

2. Le pones queso y jamón.

3. Te lo comes.

Ese conjunto de pasos (de tomar el pan hasta comerlo) es un proceso. Los procesos, siempre deben documentarse, la manera correcta de documentar un proceso es a través de un diagrama de flujo:

¿Por qué esto es importante para un auditor?

Porque cada empresa funciona como un “gran sándwich”: tiene entradas (cosas que recibe), actividades (cosas que hace) y salidas (resultados que entrega).Si alguno de esos pasos falla:

• El resultado no es el esperado (Riesgo).

• El cliente queda insatisfecho (Riesgo).

• La empresa puede perder dinero (Riesgo).

El auditor de sistemas necesita entender y observar esos pasos, para detectar dónde la tecnología: interviene, puede mejorar el proceso, o puede generar riesgos.

Diferencia entre actividad diaria y proceso

Mucha gente confunde tareas con procesos.

• Una tarea es algo puntual, como “abrir la caja registradora”.

• Una actividad es un conjunto de tareas, como “hacer el arqueo de caja”.

• Un proceso es toda la secuencia completa: “recibir clientes, cobrarles y cerrar la caja al final del día”.

Para un auditor, es clave no quedarse en la tarea, sino mirar todo el proceso completo, porque los problemas suelen aparecer en las uniones entre pasos.

Un proceso siempre tiene tres elementos clave

1. Entrada (input): lo que inicia el proceso (ejemplo: un cliente pide un producto).

2. Actividades: los pasos que transforman esa entrada en algo nuevo (ejemplo: preparar, empacar y registrar la venta).

3. Salida (output): el resultado final (ejemplo: el cliente recibe su producto).

Ejemplo: Imagina que un cliente llama a una pizzería para pedir una pizza de pepperoni por delivery

• Entrada: un cliente llama y pide una pizza de pepperoni.

• Actividades:

  1. El mesero registra la orden.

  2. El cocinero prepara la pizza.

  3. La meten al horno.

  4. La empacan en una caja.

  5. El repartidor la lleva al cliente.

• Salida: el cliente recibe la pizza caliente en su casa.

Si el auditor revisa este proceso, se fijaría en:

• ¿El pedido se registró correctamente en el sistema?

• ¿El horno funciona siempre o hay riesgo de que se dañe?

• ¿El repartidor sabe la dirección o puede perderse?

****Este es un ejemplo general, no necesariamente aplica a un auditor de sistemas.

Los procesos están en todas partes

Aunque a veces pensamos que los procesos son “cosas de las empresas”, en realidad todos seguimos procesos en la vida diaria:

• En la escuela: el proceso de presentar un examen → estudiar → asistir → responder preguntas → recibir nota.

• En el hogar: el proceso de lavar la ropa → separar → meter en lavadora → poner jabón → secar → doblar.

• En el trabajo: el proceso de pedir vacaciones → llenar formulario → jefe aprueba → RRHH registra → empleado descansa.

Esto significa que un auditor de sistemas, para poder revisar procesos en una empresa, primero debe entrenar su “ojo de observador”: aprender a ver procesos en la vida diaria, entenderlos y pensar dónde podrían fallar.

¿Por qué fallan los procesos?

Un proceso puede fallar por muchas razones:

1. Error humano: alguien se equivoca al ingresar datos, al entregar un producto o al no seguir un procedimiento.

2. Fallas tecnológicas: el sistema se cae, el software no está actualizado, el equipo se daña.

3. Mal diseño: el proceso tiene pasos redundantes o poco claros.

4. Falta de controles: nadie revisa que se hagan bien los pasos, entonces los errores se acumulan.

Ejemplo real:En un supermercado, si el cajero no pasa bien un producto por el lector, el inventario queda mal registrado. El cliente se lleva la compra, pero el sistema “cree” que el producto sigue en stock.

Con el tiempo, la empresa tendrá pérdidas porque confía en datos incorrectos.

El papel del auditor frente a los procesos

Un auditor de sistemas debe hacerse preguntas claves cada vez que observa un proceso:

• ¿Está bien definido el proceso?

• ¿El proceso es automatizado (depende 100% del sistema), semi-automatizado (el sistema necesita intervención humana), manual (No se necesita del sistema)?

• ¿Las actividades tienen responsables claros?

• ¿Existen procedimientos documentados?

• ¿Qué riesgos existen si un paso falla?

• ¿La tecnología ayuda o entorpece este proceso?

En este módulo aprenderás a mirar más allá del paso individual y a entender la secuencia completa. El auditor no se queda en “el cajero pasó mal el producto”, sino en:

• ¿Quién revisa los registros de caja?

• ¿Cómo se controla el inventario?

• ¿Hay un sistema automático que detecta inconsistencias?

Ejercicio de calentamiento

Piensa en el proceso de tomar un bus para ir al trabajo:

1. Esperas en la parada.

2. Te subes al bus.

3. Pagas el pasaje.

4. Te bajas en tu destino.

Preguntas de auditor:

• ¿Qué pasa si el bus no llega? (falla operativa).

• ¿Qué pasa si el sistema de cobro electrónico se daña? (falla tecnológica).

• ¿Qué pasa si no hay control de boletos? (falta de control).

Con este ejemplo simple, entiendes cómo los auditores ven riesgos en procesos cotidianos.

Capítulo 2 – ¿Qué es un proceso?

Definición básica

Un proceso es un conjunto de pasos organizados que transforman una entrada en un resultado de salida.No se trata solo de hacer cosas, sino de hacerlas en orden, con un propósito definido y repitiéndolas siempre igual para obtener resultados consistentes.

Ejemplo:

• Entrada: harina, agua, levadura.

• Proceso: mezclar → amasar → hornear.

• Salida: pan caliente.

Componentes de un proceso

Un proceso bien definido tiene:

1. Entrada (Input): lo que inicia el proceso (ej. solicitud, materia prima, datos).

2. Actividades/Subprocesos: lo que se hace para transformar la entrada.

3. Recursos: personas, tecnología, equipos, dinero.

4. Controles: revisiones o mecanismos que aseguran que el proceso funcione bien.

5. Salida (Output): el resultado (producto, servicio o información).

📌 Ejemplo empresarial:En un banco o financiera, el proceso de otorgar un préstamo tiene:

• Entrada: solicitud del cliente.

• Actividades: análisis de crédito, verificación de ingresos, aprobación.

• Recursos: analistas, sistema bancario.

• Controles: política de crédito, verificación de documentos.

• Salida: préstamo aprobado o rechazado.

Características de un buen proceso

• Estandarizado: se hace siempre igual, no depende de la improvisación.

• Medible: tiene indicadores (ej. tiempo de atención al cliente, errores detectados).

• Trazable: se puede seguir qué pasó en cada paso y quién lo hizo.

• Mejorable: se puede analizar y optimizar.

Como auditor de sistemas, tu trabajo es revisar si el proceso cumple con estas características.

Diferencias entre tarea, actividad, subproceso y proceso

Ejemplo gráfico (explicación narrativa)

Imagina un árbol:

• El tronco es el proceso principal.

• Las ramas son los subprocesos.

• Las hojas son las actividades.

• Y cada nervio de la hoja es una tarea.

• El manual de botánica que explica cómo debe crecer ese árbol sería el procedimiento.

Ejemplo narrado – Proceso de venta en una concesionaria de autos

1. Entrada: cliente interesado en un vehículo.

2. Subproceso: cotización y negociación.

   • Actividad: mostrar el auto, explicar características, hacer prueba de manejo.

   • Tareas: registrar datos del cliente, entregar la cotización, agendar cita.

3. Subproceso: financiamiento.

   • Actividad: validar historial de crédito, gestionar documentos.

4. Subproceso: entrega.

   • Actividad: preparar papeles de tránsito, entregar llaves, facturar.

5. Salida: cliente recibe el auto.

Un auditor revisaría aquí si:

• El sistema registra todas las cotizaciones.

• El área de crédito aplica políticas claras.

• Los documentos de entrega están completos.

Un auditor de sistemas revisaría:

·       Roles de usuarios que pueden registrar nuevos clientes.

·       Seguridad e Integridad de los datos de los clientes.

·       Roles de personas que realizan las facturas

·       Posible concentración de funciones en el sistema (La misma persona crea, edita, aprueba, factura).

Capítulo 3 – Tipos de Procesos

En cualquier organización, los procesos no son todos iguales. Se pueden clasificar en tres grandes tipos: administrativos, financieros y operativos. Entender esta clasificación es fundamental para un auditor de sistemas, porque cada tipo tiene riesgos distintos y la tecnología impacta de manera diferente en cada uno.

1. Procesos Administrativos

Son los que tienen que ver con la gestión interna de la empresa.

• Incluyen decisiones estratégicas, gestión de personal, compras, planeación.

• No producen un producto para el cliente directamente, pero permiten que la empresa funcione.

Ejemplo:En una universidad: contratación de profesores, gestión de horarios, compra de materiales.

Riesgo: si los procesos administrativos son lentos o desordenados, toda la operación se afecta (ejemplo: falta de profesores en un semestre por mala planificación).

2. Procesos Financieros

Son los relacionados con el dinero de la empresa.

• Facturación, cobros, pagos, préstamos, presupuestos, conciliaciones bancarias.

• Son procesos muy sensibles, porque un error afecta directamente la liquidez y puede incluso generar problemas legales.

Ejemplo:En un banco: registro de depósitos, pagos de préstamos, conciliación de cuentas.

Riesgo: si los sistemas permiten registrar dos veces un mismo pago, la empresa puede reportar ingresos falsos o pérdidas injustificadas.

3. Procesos Operativos

Son los que representan la actividad principal del negocio.

• Producción, ventas, atención al cliente, distribución.

• Son los procesos que el cliente percibe directamente.

Ejemplo:En un supermercado: reabastecimiento de góndolas, cobro en cajas, control de inventario.

Riesgo: si se rompe el sistema de cajas, el supermercado no puede vender, aunque tenga productos en stock.

Comparación rápida

Con esto ya tenemos clara la clasificación de procesos.

El auditor de sistemas debe mirar cada tipo con lupa:

• En lo administrativo, ¿la tecnología organiza o confunde?

• En lo financiero, ¿los sistemas garantizan exactitud y control?

• En lo operativo, ¿los sistemas permiten continuidad o generan interrupciones?