LAS DIPAS

Son guas de cumplimiento para efectuar la auditora mediante sistemas integrados de

cmputo para evaluar y aplicar las tcnicas necesarias.
Toda esta informacin ser ingresada en una base de datos en la computadora en donde
se proceder a evaluarse de una manera ms gil y razonable. Esto nos permitir
detectar deficiencias en las organizaciones de informtica y en los sistemas que se
desarrollan en ellas.
Importancia de las DIPAS en la Auditoria de Sistemas
La importancia de las DIPAS radican en:
Permite conocer el ambiente de TI ms importante.
Permite detectar si son ptimos o no los sistemas de computadoras en lnea y/o si
estn en vas de mejora.
Permite evaluar la forma de tratamiento de informacin INGRESO-PROCESO para
formar parte la base de datos.
Permite determinar los grados de riesgo.
Simplifican el proceso de auditora.
Declaraciones Internacionales de Practicas de Auditoria
DIPA 1001: Ambiente de TI-Microcomputadoras Independientes.
Est Declaracin describe los efectos que tienen las microcomputadoras independientes
(PCs) sobre el sistema de contabilidad, los controles internos relacionados y sobre los
procedimientos de auditora.
Control Interno en Ambientes de PCs
Las PCs estn orientadas a usuarios finales individuales. El grado de precisin y
confiabilidad de la informacin financiera que producen depender, en parte, de los
controles internos que el usuario adopte, ya sea por voluntad o porque la administracin
los ha prescrito. Los procedimientos de control establecidos se relacionan con la
complejidad del entorno del negocio en que operan las PC. Normalmente, el ambiente
de PCs es menos estructurado que un ambiente de TI controlado en forma central. En el
primero, los usuarios con slo habilidades bsicas de procesamiento de datos pueden
adoptar y poner en marcha los programas de aplicacin en forma relativamente rpida,
haciendo surgir asuntos tales como lo adecuado de la documentacin de sistemas o los
procedimientos de control de acceso. Dichos usuarios pueden no considerar como
importantes o como de costo efectivo los controles sobre el proceso de desarrollo de la
aplicacin (por ejemplo, documentacin adecuada) y las operaciones (por ejemplo,
procedimientos de control de acceso). En tales circunstancias, como la informacin
financiera se procesa en una computadora, los usuarios pueden tender a depositar una
confianza injustificada en la misma.
En un ambiente tpico de PCs, el nivel de controles generales es ms bajo del que se
encontrara en un ambiente de computacin a mayor escala. No obstante, los
procedimientos selectos de seguridad y control pueden ayudar a mejorar el nivel general
de control interno.
Polticas Organizacionales y Procedimientos
Como parte de haber obtenido una comprensin del ambiente de control, y por tanto del
ambiente de TI para PCs, el auditor considera la estructura organizacional de la
organizacin y, en particular, la asignacin de responsabilidades para el procesamiento
de datos. Las polticas y procedimientos efectivos para la adquisicin, desarrollo,
operacin y mantenimiento de PCs pueden enriquecer el ambiente general de control.
La falta de desarrollo de dichas polticas puede llevar a que la organizacin use
programas obsoletos y a errores en los datos as como de la informacin derivada de los

mismos, lo cual puede llevar al incremento del riesgo de fraude. Dichas polticas y
procedimientos incluyen lo siguiente:
Estndares de adquisicin, desarrollo y documentacin
Capacitacin del usuario
Lineamientos de seguridad, respaldos y almacenamiento
Administracin de contraseas (password)
Polticas de uso personal
Estndares de adquisicin y uso de software
Estndares de proteccin de datos
Mantenimiento de programas y soporte tcnico
Un nivel apropiado de segregacin de funciones y responsabilidades
Proteccin contra virus.
Proteccin FsicaEquipo
Debido a sus caractersticas fsicas, las PCs y sus medios de almacenamiento son
susceptibles a robo, dao fsico, acceso no autorizado o mal uso. Pueden protegerse
fsicamente de la manera siguiente:
Cerrndolas bajo llave en un cuarto, gabinete o en un lugar protegido
Usando un sistema de alarma que se active si la PC es desconectada o movida de su
lugar
Asegurando la PC a una mesa
Con polticas que exponen los procedimientos apropiados a seguir al salir de viaje
con una computadora porttil laptop o al usarla fuera de las instalaciones
Usando la criptografa para archivos clave
Instalando un mecanismo de seguridad para controlar el interruptor de =P
encendido / apagado. Esto quiz no prevenga el robo de la PC, pero puede ser efectivo
para controlar el uso no autorizado
Desarrollando controles ambientales para prevenir daos por desastres naturales,
como incendio, inundacin, etc.
Proteccin FsicaMedios Removibles y No Removibles
Los programas y datos de las PCs pueden protegerse en medios de almacenamiento
removibles o no removibles. Por ejemplo, los disquetes y CDs pueden removerse
fsicamente de la PC, mientras que los discos duros normalmente estn integrados en la
PC o en una unidad independiente anexa a la misma. Adems, los componentes
interiores (incluyendo el hard drive disco duro) de muchas PCs, en particular laptops,
son fcilmente accesibles. Cuando muchos individuos usan una PC particular es ms
probable que los medios de almacenamiento se extraven, se alteren sin autorizacin o
se destruyan.
Es responsabilidad del usuario proteger los medios de almacenamiento removibles, por
ejemplo, manteniendo respaldos actualizados de dichos medios en un contenedor a
prueba de incendio, ya sea en el lugar de trabajo, fuera de l o en ambos. Esto aplica
igualmente a los sistemas operativos, programas de aplicacin y datos.
Seguridad de Programas y Datos
Cuando muchos usuarios pueden acceder a las PCs hay un riesgo de que el sistema
operativo, los programas y los datos puedan ser alterados sin autorizacin, o que los
usuarios puedan instalar sus propias versiones de programas dando pie a
responsabilidades potenciales sobre autorizacin del software.
El grado de caractersticas de control y seguridad presentes en un sistema operativo de
PC vara. Aunque algunos sistemas operativos contienen caractersticas de seguridad
sofisticadas selladas, los utilizados en PCs generalmente no las tienen. Sin embargo, hay
tcnicas para ayudar a asegurar que los datos que se procesen y lean sean autorizados,

aminorando la destruccin accidental de stos. Las siguientes tcnicas pueden limitar

slo al personal autorizado al acceso a programas y datos:
Uso de contraseaspassword
Desarrollar un paquete de control de acceso
Usar medios de almacenamiento removibles
Usar directorios y archivos ocultos
Usar la criptografa.
Una tcnica efectiva de control es usar perfiles de usuario y contraseas que controlen el
nivel de acceso concedido a un usuario. Por ejemplo, se puede dar a un usuario un perfil
protegido por una contrasea que permita slo la alimentacin de datos, y puede
configurarse una PC para que requiera una contrasea antes de ser forzada.
En algunos casos, un paquete de control de acceso puede proporcionar control efectivo
sobre el acceso y uso de sistemas operativos, programas y datos. Por ejemplo, slo un
usuario especfico puede tener acceso al archivo de contraseas o permitrsele instalar
programas. Dichos paquetes pueden tambin, en forma regular, examinar los programas
en la PC para detectar si se estn usando programas o versiones de stos no autorizados.
El uso de medios de almacenamiento removibles para programas y datos crticos y
sensibles puede proporcionar una mayor proteccin, al mantenerse fuera de lnea y bajo
control independiente hasta ser requeridos. Por ejemplo, los datos sobre salarios en un
sistema de nminas pueden mantenerse fuera de lnea y usarse slo cuando se requiera
para el procesamiento de nminas.
Remover los programas y datos de las PCs con medios de almacenamiento removibles
(por ejemplo, disquetes, CDs y cartuchos) es una manera efectiva de mantenerlos
seguros. Los medios se colocan despus bajo custodia de los bibliotecarios de archivos
o de los usuarios responsables de los datos o programas.
La criptografa o cifrado es una tcnica que generalmente se utiliza cuando se
transmiten datos sensibles por las lneas de comunicacin, pero puede tambin usarse en
datos almacenados en una PC.
Continuidad de Operaciones
En un ambiente de PC, la administracin se apoya tpicamente en el usuario para
asegurar la disponibilidad continua de los sistemas en caso de una falla, prdida o
destruccin del equipo, sistema operativo, programas o datos. Esto implicar que:
El usuario retenga copias del sistema operativo, programas y datos; cuando menos
una almacenada en un lugar seguro, lejos de la PC
Est disponible el acceso a un equipo alterno dentro de un tiempo razonable, dado el
uso e importancia del sistema fundamental.
El Efecto de PCs sobre el Sistema de Contabilidad y los Controles Internos
Relacionados
El efecto de las PCs sobre el sistema de contabilidad y los riesgos asociados
generalmente depender de:
El grado en que se use la PCs para procesar aplicaciones contables
El tipo e importancia de las transacciones financieras que se procesen
La naturaleza de los programas y datos usados en las aplicaciones.
Controles Generales Segregacin de Funciones
En un ambiente de PC, los usuarios generalmente pueden desempear dos o ms de las
siguientes funciones en el sistema de contabilidad:
Iniciar documentos fuente
Autorizar documentos fuente
Alimentar datos al sistema
Procesar datos que se han alimentado

 Cambiar programas y datos

Usar o distribuir datos de salida
Modificar los sistemas operativos.
En otros ambientes de TI, estas funciones normalmente se segregaran mediante
controles generales apropiados. Est falta de segregacin de funciones en un ambiente
de PC puede permitir que se dejen de detectar los errores, permitiendo que se cometa y
oculte el fraude.
Controles de Aplicacin
La existencia y uso de controles apropiados de acceso sobre los programas y datos,
combinados con controles sobre la alimentacin, procesamiento y salida de datos
pueden, en coordinacin con las polticas de administracin, compensar algunas de las
debilidades en los controles generales en ambientes de PCs. Los controles efectivos
incluyen lo siguiente:
Procedimientos de control programados, tales como verificaciones de acceso
Un sistema de registro de transacciones y contrapartidas de lotes, incluyendo
seguimiento y resolucin de cualquier excepcin
Supervisin directa, por ejemplo, una revisin de informes
Conciliacin de recuentos de registros o cifras de control.
El control puede establecerse por una funcin independiente que normalmente:
Recibe todos los datos para procesamiento
Asegura que todos los datos sean autorizados y registrados
Hace un seguimiento de todos los errores detectados durante el procesamiento
Verifica la distribucin apropiada de los datos de salida
Restringe el acceso fsico a los programas de aplicacin y datos.
Normalmente se requieren controles separados sobre el archivo maestro y datos de
transacciones.
El Efecto de un Ambiente de PCs sobre los Procedimientos de Auditora
En un ambiente de PCs, puede no ser factible o efectivo, desde el punto de vista de
costo efectivo para la administracin, implementar controles suficientes para reducir a
un nivel mnimo los riesgos de errores sin detectar. En est situacin, despus de
obtener la comprensin del sistema de contabilidad y del ambiente de control requeridos
por la NIA 400 Evaluaciones de Riesgos y Control Interno, el auditor puede encontrar
que es ms efectivo, desde el punto de vista de costo, no hacer una revisin adicional de
los controles generales o de los controles de aplicacin, sino concentrar los esfuerzos de
auditora en los procedimientos sustantivos. Esto puede implicar un examen fsico ms
amplio y confirmacin de los activos, ms pruebas de las transacciones, tamaos
mayores de muestras as como mayor uso de TCA (Tcnicas Computarizadas de
Auditora.)
Cuando el nivel de los controles generales parezca adecuado, el auditor puede decidir
adoptar un enfoque diferente. Por ejemplo, una organizacin que procesa un gran
nmero de transacciones de ventas en una PC, puede establecer procedimientos de
control que reduzcan el riesgo de control.

DIPA 1002: Ambiente TI-Sistema de Computadoras en lnea

Est Declaracin describe los efectos de un sistema de computadoras en lnea sobre el
sistema de contabilidad, los controles internos relacionados y sobre los procedimientos
de auditora.
Sistemas de Computadoras en lnea.
Los sistemas de computadoras en lnea son sistemas de computadoras que posibilitan a
los usuarios el acceso a datos y programas directamente a travs de estaciones de
trabajo. Dichos sistemas pueden comprender:
PCs mainframe (unidades centrales de procesamiento).
Mini computadoras
Una red de microcomputadoras interconectadas.
Cuando la organizacin usa un sistema de computadoras en lnea, es probable que la
tecnologa sea compleja y ligada a los planes estratgicos de negocios de la
organizacin, adems permite a los usuarios iniciar directamente varias funciones, tales
como:
Alimentar transacciones (por ejemplo, transacciones de ventas en una tienda al
menudeo, retiros de efectivo en un banco y embarque de mercancas en una planta).
Hacer investigaciones (por ejemplo, la cuenta corriente de clientes o informacin de
saldos).
Solicitar informes (por ejemplo, una lista de partidas de inventario con cantidades
negativas en existencia).
Actualizar archivos maestros (por ejemplo, establecer cuentas de nuevos clientes y
cambiar los cdigos del libro mayor).
Actividades de comercio electrnico (por ejemplo, colocar pedidos y pagar las
mercancas por Internet)
Caractersticas de los Sistemas de Computadoras en Lnea
Las caractersticas ms importantes se refieren a:
La entrada y validacin de datos en lnea.
El acceso en lnea al sistema por los usuarios
Posible falta de un rastro visible de las transacciones
Acceso potencial al sistema por parte de no usuarios no autorizados, incluyendo a
programadores y otras terceras parte (por ejemplo, a travs de correo electrnico
Internet.)
Las caractersticas particulares de un sistema en lnea especfico dependern del diseo
de dicho sistema.
Control Interno en un Sistema de Computadoras en Lnea
El auditor considera la infraestructura de seguridad antes de examinar los controles
generales y de aplicacin, ya que pueden estar ms expuestas al acceso no autorizado y
a la actualizacin, ya que esta juega un papel importante para asegurar la integridad de
la informacin producida. La organizacin puede necesitar establecer controles
generales adecuados para aminorar los riesgos de virus, acceso no autorizado y la
destruccin potencial de rastros de auditora. As, los controles de acceso son
particularmente importantes para el procesamiento en lnea.
Estos controles pueden incluir el uso de contraseas password, software especializado
de control de acceso, tal como monitores en lnea que mantiene el control sobre los
mens, tablas de autorizacin, contraseas, archivos y programas a los que se permite
acceso de los usuarios. Pueden tambin incluir controles fsicos como el uso de
cerraduras en las estaciones de trabajo, cuartos de computadoras cerradas con llave y
horarias sin actividad. Hay ciertos controles de aplicacin son particularmente
importantes para el procesamiento en lnea. Incluyen los siguientes:

 Autorizacin para pre-procesamiento. Autorizacin para iniciar una transaccin, por

ejemplo, usar una tarjeta bancaria junto con un nmero de identificacin personal antes
de poder hacer un retiro de efectivo mediante un cajero automtico.
Pruebas de edicin de la estacin de trabajo, pruebas de razonabilidad y otras de
validacin. Rutinas programadas que verifican los datos de entrada y los resultados del
procesamiento para que est completo, y para su exactitud y razonabilidad. Estas rutinas
incluyen verificaciones de secuencia, lmite, rango y razonabilidad y pueden
desempearse en una estacin de trabajo inteligente o en la computadora central.
Informes y manejo de errores de alimentacin. Los procedimientos para asegurar
que todos los errores de alimentacin sean informados, identificados y se les impida
seguir el procesamiento, sean corregidos y vueltos a someter para procesamiento
oportuno y, todo de una manera apropiada. Estos procedimientos generalmente
comprendern una mezcla de rutinas tanto manuales como automatizadas.
Procedimientos de corte. Procedimientos que aseguran que las transacciones se
procesan en el periodo contable apropiado. Son particularmente necesarios en sistemas
que tienen un flujo continuo de transacciones. Por ejemplo, en los sistemas en lnea
donde las estaciones de trabajo de diversas localidades registran ordenes de ventas y
embarques, hay necesidad de coordinar el embarque real de mercancas, la salida de
inventario y el procesamiento de facturas.
Controles de archivos. Procedimientos que aseguran que usan los archivos de datos
correctos para el procesamiento en lnea.
Controles de archivo maestro. Los cambios a los archivos maestros se controlan por
procedimientos similares a los usados para controlar otros datos de entrada de
transacciones. Puede ser necesario un refuerzo ms estricto de estos procedimientos de
control porque los datos del archivo maestro pueden tener un efecto significativo sobre
los resultados del procesamiento.
Balanceo. El proceso de establecer controles totales sobre los datos que se someten
para procesamiento por medio de las estaciones de trabajo en lnea, y de comparar los
controles totales durante y despus del procesamiento para asegurar que se transfieren
datos completos y exactos a cada fase del procesamiento. Estos controles de balanceo
son importantes para monitorear los controles de totalidad y exactitud en un ambiente
de procesamiento en tiempo real. Debern incluirse en las rutinas automatizadas de
programas siempre que sea posible.
Efectos de los Sistemas de Computadoras en Lnea sobre l Sistema de Contabilidad y
los Controles Internos Relacionados
El efecto de un sistema de computadoras en lnea sobre el sistema de contabilidad y
riesgos asociados generalmente depender de:
El grado en que el sistema en lnea est siendo usado para procesar aplicaciones
contables;
El tipo e importancia de las transacciones financieras que se procesan; y
La naturaleza de los archivos y programas que usan las aplicaciones.
Factores como los siguientes pueden reducir el riesgo de errores que ocurren porque la
organizacin utiliza sistemas en lnea:
1. Realizar la entrada de datos en o cerca del punto donde se originan las
transacciones reduce el riesgo de que no se registren las transacciones.
2. La correccin inmediata y realimentacin de transacciones invlidas reduce el
riesgo de que dichas transacciones no sean corregidas y vueltas a alimentar
rpidamente.

3. La alimentacin de datos desempeada por individuos que entienden la naturaleza

de las transacciones implicadas puede ser menos propensa a error que cuando es
desempeada por individuos no familiarizados con la naturaleza de las transacciones.
4. Procesar las transacciones inmediatamente reduce el riesgo de que sean procesadas
en el periodo contable equivocado.
5. La revisin de autenticidad y autorizacin llevada a cabo en o cerca del punto
donde las transacciones se originan reduce el riesgo de suplantacin u otro acceso no
autorizado a los datos o su manipulacin
El riesgo de errores en los sistemas de computadoras en lnea puede aumentar por las
siguientes razones:
1. Ubicar las estaciones de trabajo por toda la organizacin aumenta la oportunidad de
uso no autorizado de una estacin de trabajo y la entrada de transacciones no
autorizadas.
2. Las estaciones de trabajo en lnea pueden proporcionar una oportunidad ms fcil
de usos no autorizados como:
Modificacin de transacciones o saldos alimentados previamente;
Modificacin de programas de computadora; o
Acceso a datos y programas desde localidades remotas.
Si el procesamiento en lnea se interrumpe por alguna razn; por ejemplo; debido
a telecomunicaciones defectuosas, puede haber mayor oportunidad de que las
transacciones o archivos se pierdan y que la recuperacin no sea exacta y completa.
El acceso en lnea a datos y programas desde lugares remotos mediante
telecomunicaciones puede proporcionar mayor oportunidad de acceso a datos y
programas por personas no autorizadas. Las organizaciones que tengan enlaces con
Internet requieren de mayores controles, como cortafuegos, para manejar el riesgo de
acceso no autorizado a datos y programas.
El uso de comercio electrnico o intercambio de datos electrnicos (EDI) para el
intercambio de documentos entre dos organizaciones da como resultado la prdida de
las pistas de auditora tradicionales en papel, incluyendo facturas y rdenes de compra.
Efecto de los Sistemas de Computadoras en Lnea sobre los Procedimientos de
Auditora
Generalmente en un sistema de computadoras en lnea bien diseado y controlado, es
probable que el auditor ponga a prueba los controles generales y de aplicacin. Si
dichos controles se consideran satisfactorios, el auditor depositara gran confianza en los
controles internos del sistema al determinar la naturaleza, oportunidad y alcance de los
procedimientos de auditora. Las caractersticas de los sistemas de computadoras en
lnea pueden hacer ms efectivo para el auditor desempear una revisin de preimplementacin de nuevas aplicaciones contables en lnea ms revisar las aplicaciones
despus de la instalacin. Para ser completamente efectiva, la revisin puede necesitar
hacerse extensiva a otras aplicaciones que proporcionan datos para dichas aplicaciones
contables; el auditor puede tambin poner a prueba que el nuevo sistema opere y que
est implementado segn diseo. La revisin de pre-implementacin puede dar al
auditor una oportunidad para solicitar funciones adicionales, como listados detallados
de transacciones, o controles dentro del diseo de la aplicacin. Puede tambin dar al
auditor suficiente tiempo para desarrollar y poner a prueba los procedimientos de
auditora con anticipacin al uso del sistema. Los asuntos siguientes son de particular
importancia para el auditor en un sistema de computadoras en lnea:
1. Autorizacin, exactitud, y que estn completas las transacciones en lnea mediante
la implementacin de controles apropiados en el momento en que la transaccin se
acepta para procesamiento.

2. Integridad de registros y procesamiento, debido a que muchos usuarios y

programadores tienen acceso en lnea al sistema.
3. Cambios necesarios en el desempeo de procedimientos debido a asuntos como:
La necesidad de equipos de auditores con habilidades tcnicas en sistemas de
computadoras en lnea.
El efecto del sistema de computadoras en lnea sobre la oportunidad de los
procedimientos de auditora.
La falta de rastros visibles de las transacciones.
Procedimientos realizados durante la etapa de planeacin de la auditora.
Procedimientos de auditora desempeados en forma concurrente con el
procesamiento en lnea.
Procedimientos desempeados despus de que ha tenido lugar el proceso de
datos
Los procedimientos desarrollados durante la etapa de planeacin pueden incluir los
siguientes:
Participacin en el equipo de auditora de individuos con pericia tcnica en sistemas
de computadoras en lnea y los controles relativos.
Identificacin de nuevas instalaciones de acceso remoto.
Determinacin preliminar, durante el proceso de evaluacin del riesgo, del impacto
del sistema sobre los procedimientos de auditora.
Los procedimientos de auditora desempeados en forma concurrente con el
procesamiento en lnea pueden incluir pruebas de los controles sobre las aplicaciones en
lnea. Por ejemplo, esto puede ser por medio de alimentar transacciones para prueba
mediante las estaciones de trabajo en lnea o con el uso de software de auditora. Estas
pruebas pueden usarse ya sea para confirmar la comprensin del sistema por el auditor o
para probar controles como contraseas y otros controles de acceso. Cuando la
organizacin permite el acceso mediante Internet, los procedimientos de auditora
pueden incluir pruebas de acceso no autorizado y otros controles de autorizacin y
acceso, as como pruebas de procesamiento de transacciones. Para evitar alteracin
inadvertida de registros de clientes, el auditor revisa los procedimientos concurrentes
con el personal apropiado de clientes y obtiene aprobacin antes de conducir las
pruebas.
Los procedimientos desempeados despus de tener lugar el procesamiento pueden
incluir los siguientes:
Pruebas de los controles sobre las transacciones registradas por el sistema en lnea
en cuanto a autorizacin, exactitud, y que estn completas.
Procedimientos sustantivos que cubran las transacciones y resultados del
procesamiento ms que pruebas de control, cuando los primeros sean de costo ms
efectivo o cuando el sistema no est bien diseado o controlado.
Reprocesamiento de transacciones ya sea como una prueba de control o como un
procedimiento sustantivo.

DIPA 1003: Ambiente de TI-Sistema de bases de datos

Est Declaracin describe los efectos de un sistema de base de datos sobre el sistema de
contabilidad y los controles internos relativos y sobre los procedimientos de auditora.
Los sistemas de bases de datos consisten principalmente de dos componentes: la base de
datos y el sistema de administracin de la base de datos (SABD). Los sistemas de bases
de datos interactan con otros aspectos del hardware y software del sistema general de
computadoras.
Control Interno en un Ambiente de Base de Datos
La infraestructura de seguridad de informacin de una organizacin juega un importante
papel para asegurarla integridad de la informacin producida, por lo que el auditor
considera dicha infraestructura antes de examinar los controles generales y de
aplicacin. Generalmente, el control interno en un ambiente de base de datos requiere
controles efectivos sobre la base de datos, el SABD y las aplicaciones. La efectividad de
los controles internos depende en gran parte de la naturaleza de las tareas de
administracin de datos y de administracin de la base de datos y como se desempean.
Debido a que los datos son compartidos, a la independencia de datos y a otras
caractersticas de los sistemas de base de datos, los controles generales normalmente
tienen una mayor influencia que los controles de aplicaciones. Los controles generales
sobre la base de datos, el SABD y las actividades de la administracin de recursos de
datos (administracin de datos y administracin de la base de datos) tienen un efecto
profundo sobre el procesamiento de las aplicacin el uso de SABD, junto con las
funciones integradas en l, puede ayudar a proporcionar controles efectivos. Los
controles generales de importancia particular en un ambiente de base de datos pueden
clasificarse en los siguientes grupos:
Enfoque Estndar para Desarrollo y Mantenimiento de Programas de Aplicacin
Considerando que muchos usuarios comparten los datos, el control puede mejorarse si
se usa un enfoque estndar para desarrollar cada nuevo programa de aplicacin y
modificar los existentes. Esto incluye un enfoque paso a paso, formalizado, al que debe
adherirse todos los individuos que desarrollan o modifican un programa de aplicacin.
Tambin incluye analizar el efecto de transacciones nuevas y existentes sobre la base de
datos cada vez que se requiera una modificacin. El anlisis resultante indicara los
efectos de los cambios sobre la seguridad e integridad de la base de datos. Implementar
un enfoque estndar para desarrollar y modificar programas de aplicacin es una tcnica
que puede ayudar a mejorar la exactitud, integridad y totalidad de la base de datos. Los
siguientes son algunos de los controles que pueden ayudar a lograr esto:
Se establecen estndares de definicin, los cuales se vigilan y controlan para su
cumplimiento
Se establecen procedimientos de respaldo y recuperacin de datos para asegurar la
disponibilidad de la base de datos
Se establecen diversos niveles de control de acceso para datos individuales, tablas y
archivos para prevenir el acceso inadvertido o no autorizado
Se establecen controles para asegurar la exactitud, totalidad y consistencia de los
elementos y relaciones de datos en la base de datos. Sin embargo, en los sistemas
complejos del diseo de los sistemas no siempre puede proporcionar a los usuarios
controles que prueben la totalidad y exactitud de los datos, pudiendo haber un
incremento del riesgo de que el SABD no siempre identifique alteraciones de datos o
ndices
Se siguen procedimientos de reestructuracin de la base de datos cuando se hacen
cambio lgicos, fsicos y de procedimiento.

Modelo de Datos y Propiedad de Datos

En un ambiente de base de datos, donde muchos individuos pueden usar programas para
ingresar/registrar y modificar datos, el administrador de la base de datos necesita
asegurarse de que haya una asignacin de responsabilidad clara y definida por la
exactitud e integridad de cada partida de datos. Deber asignarse a un solo propietario
de los datos la responsabilidad de definir las reglas de acceso y seguridad; quienes
pueden usar los datos (acceso) y qu funciones pueden desempear (seguridad). Asignar
responsabilidad especfica por la propiedad de los datos ayuda a asegurar la integridad
de la base de datos. Por ejemplo, puede designarse al gerente de crdito como
propietario del lmite de crdito de un cliente, siendo responsable de determinar los
usuarios autorizados de dicha informacin. Si varios individuos tienen capacidad de
tomar decisiones que afecten la exactitud e integridad de los datos dados, aumenta la
probabilidad de que estos sean alterados o se usen de manera no apropiada. Tambin son
importantes, cuando se usa un sistema de base de datos, los controles sobre los perfiles
de usuarios, no solo para establecer el acceso autorizado, sino tambin para detectar
violaciones o intentos de acceso no autorizado.
Acceso a la Base de Datos
El acceso de usuarios a la base de datos puede restringirse mediante controles de acceso.
Estas restricciones aplican a individuos, estaciones de trabajo y programas. Para que las
contraseas sean efectivas se requieren procedimientos adecuados para cambiarlas,
mantener el secreto de las mismas y revisar e investigar los intentos de violacin a la
seguridad. Relacionar las contraseas a estaciones terminales, programas y datos
definidos ayuda a asegurar que solo usuarios y programas autorizados puedan tener
acceso, corregir o suprimir datos. Por ejemplo, el gerente de crdito puede dar autoridad
a los vendedores para referirse al lmite de crdito de un cliente, mientras que un
dependiente del almacn podra no tener dicha autorizacin.
El acceso de usuarios a los diversos elementos de la base de datos puede controlarse aun
ms mediante el uso de tablas de autorizacin. La implementacin no apropiada de
procedimientos de acceso puede dar como resultado el acceso no autorizados a la base
de datos. Los controles apropiados tambin aseguran que los datos almacenados sean
convertibles a un formato legible para las personas, en un tiempo razonable.
Segregacin de Funciones
Las responsabilidades para desempear las diversas actividades requeridas para disear,
implementar y operar una base de datos se dividen entre el personal tcnico, de diseo,
administrativo y de usuarios. Sus funciones incluyen diseo del sistema, diseo,
administracin y operacin de la base de datos. Es necesario mantener la adecuada
segregacin de estas funciones para asegurar la totalidad, integridad y exactitud de la
base de datos. Por ejemplo, los individuos responsables de modificar los programas de
personal en la base de datos no deberan ser los mismos que estn autorizados para
cambiar las tarifas de pago individuales en la base de datos.
Seguridad de los Datos y Recuperacin de la Base de Datos
Es probable que las bases de datos se usen por personas en muy diferentes partes de las
operaciones de una organizacin. Esto significa que muchas partes de la organizacin
sern afectadas si los datos no estuvieran disponibles o tuvieran errores.
Consecuentemente los controles generales, en los sistemas de base de datos, se
convierten en muy importantes para la seguridad de los datos y la recuperacin de la
base de datos.
El Efecto de la Base de Datos sobre el Sistema de Contabilidad y los Controles Internos
Relacionados

El efecto de un sistema de datos sobre el sistema de contabilidad y los riesgos asociados

generalmente dependern de factores como:
El grado en el que las bases de datos se usen para aplicaciones contables
El tipo e importancia de las transacciones financieras que se procesen
La naturaleza y estructura de la base de datos, el SABD (incluyendo el diccionario
de datos) las tareas de administracin de la base de datos y las aplicaciones (por
ejemplo, actualizacin por lote o en lnea)
Los controles generales y de aplicacin que sean particularmente importantes en un
ambiente de base de datos.
Los sistemas de base de datos tpicamente dan mayor confiabilidad en los datos que los
sistemas que no son de base de datos. En estos sistemas los controles generales cobran
una mayor importancia que los controles de aplicacin. Esto puede dar como resultado
un riesgo reducido de fraude o error en los sistemas de contabilidad donde se usen bases
de datos. Los siguientes factores, combinados con controles adecuados, contribuyen a
est mayor confiabilidad en los datos:
Se logra mejor consistencia de datos porque los datos se registran y actualizan slo
una vez, en lugar de ser almacenados en varios archivos y actualizados en diferentes
momentos por diferentes programas.
Se mejorar la integridad de los datos con el uso efectivo de mecanismos incluidos
en el SABD, tales como rutinas de recuperacin/reinicio, rutinas generalizadas de
edicin y validacin, junto con caractersticas de seguridad y control.
Otras funciones disponibles con el SABD pueden facilitar los procedimientos de
control y auditora. Estas funciones incluyen generadores de informes que pueden
usarse para crear informes de consistencia y lenguajes de consulta, los cuales pueden ser
usados para identificar inconsistencias en los datos.
En forma alterna, puede aumentar el riesgo de representacin errnea si los sistemas de
base de datos se usan sin los controles adecuados. En un ambiente tpico que no sea de
base de datos, los controles ejercidos por usuarios individuales pueden compensar las
fallas en los controles generales. Sin embargo, en un sistema de base de datos los
usuarios individuales no pueden siempre compensar los controles inadecuados de la
administracin de la base de datos. Por ejemplo, el personal de cuentas por cobrar no
puede controlar en forma efectiva los datos de cuenta por cobrar si no se restringe a
otros miembros del personal la modificacin de los saldos de las cuentas por cobrar en
la base de datos.
El Efecto de la Base de Datos sobre los Procedimientos de Auditora
Los procedimientos de auditora en un ambiente de base de datos sern afectados
principalmente por el grado en el que el sistema de contabilidad use los datos de la base
de datos. Cuando aplicaciones contables de importancia usen una base comn de datos,
el auditor puede encontrar conveniente, desde el punto de vista de su costo, utilizar
algunos de los procedimientos como por ejemplo:
Para obtener una comprensin del ambiente de control de la base de datos y del flujo de
transacciones, el auditor puede considerar el efecto de lo siguiente sobre el riesgo de
auditora al planear su auditora:
Los controles de acceso relevantes. Personas fuera de la funcin contable tradicional
pueden usar las bases de datos, y el auditor considera los controles de acceso sobre los
datos contables y sobre todos los que puedan tener acceso a ellos.

 El SABD y las aplicaciones contables importantes que usan la base de datos. Otras
aplicaciones dentro de la organizacin pueden generar o alterar datos que usan las
aplicaciones contables. El auditor considera cmo el SABD controla estos datos.
Los estndares y procedimientos para desarrollo y mantenimiento de los programas
de aplicacin que usan la base de datos. Las bases de datos especialmente las de
computadoras independientes, pueden a menudo ser diseadas e implementadas por
personas fuera del ambiente de TI o de las funciones contables. El auditor considera
cmo controla la organizacin el desarrollo de estas bases de datos.
La funcin de administracin de recursos de datos, est funcin juega un papel
importante para mantener la integridad de los datos almacenados en la base de datos.
Descripcin de puestos, estndares y procedimientos para los individuos
responsables del soporte tcnico, diseo, administracin y operacin de la base de datos.
Con los sistemas de base de datos es probable que una gama ms amplia de individuos
tenga importantes responsabilidades sobre los datos, al contrario de los sistemas que no
sean de base de datos.
Los procedimientos usados para asegurar la integridad, seguridad y totalidad de la
informacin financiera contenida en la base de datos.
La disponibilidad de recursos de auditora dentro del SABD.
Los procedimientos que se usan para introducir a la operacin nuevas versiones de
la base de datos.
Al determinar el grado de confiabilidad de los controles internos relacionados con el uso
de la base de datos en el sistema de contabilidad. Si el auditor posteriormente decide
apoyarse en dichos controles, ste disea y lleva a cabo las pruebas apropiadas.
Cuando el auditor decide llevar a cabo pruebas de control o procedimientos sustantivos
relacionados con el sistema de base de datos, a menudo ser ms efectivo hacerlo
usando tcnicas de auditora con ayuda de computadora. El hecho de que todos los datos
estn almacenados en un lugar, y organizados de una manera consistente, hace ms fcil
la extraccin de muestras. Tambin las bases de datos pueden incluir datos generados
fuera de la funcin contable, lo que ayudar a hacer ms efectiva la aplicacin de
procedimientos analticos.
Los procedimientos de auditora pueden incluir el uso de las funciones del SABD para:
Poner a prueba los controles de acceso
Generar datos para pruebas
Proporcionar una pista de auditora
Verificar la integridad de la base de datos
Proporcionar acceso a la base de datos o una copia de partes relevantes en la base de
datos para posibilitar el uso de software de auditora
Obtener informacin necesaria para la auditora.
Antes de usar los recursos del SABD, el auditor considera si estn funcionando en
forma adecuada.
Si los controles de administracin de la base de datos son inadecuados, tal vez no pueda
el auditor compensar las fallar de control con alguna cantidad de trabajo sustantivo. Por
lo tanto, cuando est claro que los controles en el sistema de base de datos no son
confiables, el auditor considera si la realizacin de procedimientos sustantivos sobre
todas las aplicaciones contables importantes que usan la base de datos lograra el
objetivo de auditora. Si el auditor no puede superar las fallas en el ambiente de control
con trabajo sustantivo para reducir el riesgo de auditora a un nivel aceptablemente bajo,
la NIA 700 El dictamen del Auditor Sobre los Estados Financieros, requiere que el
auditor emita su opinin con salvedades o se abstenga de emitirla.

Las caractersticas de los sistemas de base de datos pueden hacer ms efectivo para el
auditor practicar una revisin de pre-implementacin de nuevas aplicaciones contables
ms que revisar las aplicaciones despus de su instalacin. Est revisin de preimplementacin y revisin del proceso de administracin del cambio pueden dar al
auditor una oportunidad de solicitar funciones adicionales, tales como rutinas de
auditora o controles integrados dentro del diseo de la aplicacin. Puede tambin dar al
auditor tiempo suficiente para desarrollar y poner a prueba procedimientos de auditora
con anticipacin al uso del sistema.

DIPA 1008: Evaluacin del riesgo del control interno-Caractersticas y

consideraciones del CIS
Un entorno de sistema de informacin de cmputo (CIS) se define en la Norma
Internacional de Auditora (NIA) 401 "Auditora en un Entorno de Sistemas de
Informacin por Computadora," como sigue:
Para los fines de las Normas Internacionales de Auditora, existe un entorno de CIS
cuando hay implicada una computadora de cualquier tipo o tamao en el procesamiento
por parte de la entidad de informacin financiera de importancia para la auditora, ya
sea que la computadora sea operada por la entidad o por un tercero.
Estructura Organizacional
En un entorno de CIS, una organizacin establecer una estructura organizacional y
procedimientos para administrar las actividades de CIS. Las caractersticas de una
estructura organizacional de CIS incluyen:
Concentracin de funciones y conocimiento: Aunque la mayora de los sistemas que
emplean mtodos de CIS incluye ciertas operaciones manuales, generalmente el nmero
de personas involucradas en el procesamiento de informacin financiera es
significativamente reducido. Ms an, cierto personal de procesamiento de datos puede
ser los nicos con un conocimiento detallado de la interrelacin entre las fuentes de
datos, cmo se procesan, y la distribucin y uso de los datos de salida. Es tambin
probable que est consciente de cualesquiera debilidades en el control interno y, por lo
tanto, pueden estar en posicin de alterar programas o datos mientras estn almacenados
o durante el procesamiento. Todava ms, pueden no existir muchos controles
convencionales basados en la segregacin adecuada de funciones incompatibles, o en
ausencia de controles de acceso u otros, pueden ser menos efectivos.
Concentracin de programas y datos: A menudo estn concentrados los datos por
transaccin y del archivo maestro, generalmente en forma legible por la mquina, ya sea
en una instalacin de computadora localizada centralmente o en un nmero de
instalaciones distribuidas por toda una organizacin. Es probable que los programas de
computadora que dan la capacidad de obtener acceso a, y de alterar dichos datos estn
almacenados en la misma ubicacin que los datos. Por lo tanto, en ausencia de controles
apropiados, hay un mayor potencial para acceso no autorizado a, y alteracin de,
programas y datos.
Naturaleza del Procesamiento
El uso de computadoras puede dar como resultado el diseo de sistemas que
proporcionen menos evidencia que aquellos que se usen procedimientos manuales.
Adems, estos sistemas pueden ser accesibles a un mayor nmero de personas. Las
caractersticas del sistema que pueden ser resultado de la naturaleza del procesamiento
CIS, incluyen:
Ausencia de documentos de entrada: Los datos pueden ser alimentados directamente
al sistema por computadora sin documentos que los soporten. En algunos sistemas de
transaccin en lnea, la evidencia por escrito de la autorizacin de alimentacin de datos
individuales (por ejemplo, aprobacin para entrada de pedidos) puede ser reemplazada
por otros procedimientos, como los controles de autorizacin contenidos en los
programas de computadoras (por ejemplo, aprobacin de lmite de crdito).
Falta de rastro visible de transacciones: Ciertos datos pueden mantenerse en
archivos de computadoras solamente. En un sistema manual, normalmente es posible
seguir una transaccin a travs del sistema examinando un entorno de CIS, sin embargo,
el rastro de la transaccin puede estar parcialmente en forma legible por mquina, y
todava ms, puede existir slo por un perodo limitado de tiempo.

 Falta de datos de salida visibles: Ciertas transacciones o resultados del

procesamiento pueden no imprimirse. En un sistema manual, y en algunos sistemas de
CIS, es posible normalmente examinar en forma visual los resultados del
procesamiento. En otros sistemas de CIS, los resultados del procesamiento no pueden
imprimirse, o pueden imprimirse slo datos resumidos. As, la falta de datos de salida
visibles puede dar como resultado la necesidad de tener acceso a datos retenidos en
archivos legibles slo por computadora.
Facilidad de acceso a datos y programas de computadora: Se puede tener acceso a
los datos y los programas de computadora, y pueden ser alterados, en la computadora o
por medio del uso de equipo de computacin en lugares remotos. Por lo tanto, en
ausencia de controles apropiados, hay un potencial mayor para el acceso no autorizado
a, y la alteracin de, datos y programas por personas dentro o fuera de la organizacin.
Aspectos de Diseo y de Procedimiento
El desarrollo de CIS generalmente dar como resultado el diseo y caractersticas de
procedimientos que son diferentes de los que se encuentran en los sistemas manuales.
Estos aspectos diferentes de diseo y de procedimiento de CIS incluyen:
Consistencia de funcionamiento: El CIS desempea funciones exactamente como se
les programe y son potencialmente ms confiables que los sistemas manuales, previsto
que todos los tipos de transaccin y todas las condiciones que puedan ocurrir se
anticipen e incorporen en el sistema. Por otra parte, un programa de computadora que
no est correctamente programado y probado puede procesar en forma consistente
transacciones u otros datos en forma errnea.
Procedimientos de control programados: La naturaleza del procesamiento por
computadora permite el diseo de procedimientos de control interno en los programas
de computadora. Estos procedimientos pueden ser diseados para proporcionar
controles con visibilidad limitada (por ejemplo se puede dar proteccin de datos contra
acceso no autorizado mediante el uso de palabras clave.) Pueden disearse otros
procedimientos para uso con intervencin manual, tales como la revisin de informes
impresos para reportar excepciones y errores, y verificaciones de razonabilidad y lmites
de los datos.
Actualizacin sencilla de una transaccin en archivo mltiple o de base de datos:
Una entrada sencilla al sistema de contabilidad puede automticamente actualizar todos
los registros asociados con la transaccin. (por ejemplo, los documentos de embarque de
mercadera pueden actualizar las ventas y los archivos de cuentas por cobrar a clientes,
as como el archivo de inventario). As, una entrada equivocada en dicho sistema puede
crear errores en diversas cuentas financieras.
Transacciones generadas por sistemas: Ciertas transacciones pueden iniciarse por el
CIS sin necesidad de un documento de entrada. La autorizacin de dichas transacciones
puede no ser evidenciada con documentos de entrada visibles ni documentada en la
misma forma que las transacciones que se inician fuera del CIS (por ejemplo, el inters
puede ser calculado y cargado automticamente a los saldos de cuentas de clientes con
base en trminos previamente autorizados contenidos en un programa por
computadora.)
Vulnerabilidad de datos y medio de almacenamiento de programas: Grandes
volmenes de datos y los programas de computadora usados para procesar dichos datos
pueden almacenarse en medios de almacenamiento porttil o fijo, como discos o cintas
magnticas. Estos medios son vulnerables al robo, prdida, o destruccin intencional o
accidental.
Controles Internos en un Entorno del CIS

Los controles internos sobre el procesamiento por computadora, que ayudan a lograr
objetivos globales del control interno, incluyen tanto procedimientos manuales como
procedimientos integrados en programas por computadora. Dichos procedimientos de
control manual y por computadora comprenden los controles globales que afectan el
entorno de CIS (controles generales de CIS) y los controles especficos sobre las
aplicaciones contables (controles de aplicacin CIS).
Controles Generales del CIS
El propsito de los controles generales de CIS es establecer un marco de referencia de
control global sobre las actividades de CIS y proporcionar un nivel razonable de certeza
de que se logran los objetivos globales del control interno. Los controles generales del
CIS pueden incluir lo siguiente:
1. Controles de organizacin y administracin: Diseados para establecer un marco de
referencia organizacional sobre las actividades de CIS incluyendo:
Polticas y procedimientos relativos a funciones de control
Segregacin apropiada de funciones incompatibles (por ejemplo, preparacin de
transacciones de entrada, programacin y operaciones por computadora.)
2. Desarrollo de sistemas de aplicacin y controles de mantenimiento: Diseados para
proporcionar certeza razonable de que los sistemas se desarrollan y mantienen de
manera eficiente y autorizada. Tambin estn diseados tpicamente para establecer
control sobre:
Pruebas, conversin, implementacin y documentacin de sistemas nuevos y
revisados
Cambios a sistemas de aplicacin
Acceso a documentacin de sistemas
Adquisicin de sistemas de aplicacin con terceros.
3. Controles de operacin de computadoras: Diseados para controlar la operacin de
los sistemas y proporcionar certeza razonable de que:
Los sistemas son usados para propsitos autorizados nicamente
El acceso a las operaciones de la computadora es restringido a personal autorizado
Slo usan programas autorizados
Los errores de procesamiento son detectados y corregidos.
4. Controles del software de sistemas: Diseados para proporcionar razonable certeza
de que el software del sistema se adquiere o desarrolla de manera autorizada y eficiente,
incluyendo:
Autorizacin, aprobacin, pruebas, implementacin y documentacin de software
de sistemas nuevos y modificaciones del software de sistemas
Restriccin de acceso a software y documentacin de sistemas al personal
autorizado.
5. Controles de entrada de datos y de programas: Diseados para proporcionar
razonable certeza de que:
Hay establecida una estructura de autorizacin sobre las transacciones que se
alimentan al sistema
El acceso a datos y programas est restringido a personal autorizado.
Hay otras salvaguardas del CIS que contribuyen a la continuidad del procesamiento del
CIS. Estas pueden incluir:
Respaldo de datos y programas de computadora en otro sitio
Procedimientos de recuperacin para usarse en caso de robo, prdida o destruccin
intencional o accidental
Provisin para procesamiento externo en caso de desastre.

Controles de Aplicacin del CIS

El propsito de los controles de aplicacin de CIS es establecer procedimientos
especficos de control sobre las aplicaciones contables para proporcionar razonable
certeza de que todas las transacciones estn autorizadas y registradas, y son procesadas
completamente, con exactitud y con oportunidad. Los controles de aplicacin de CIS
incluyen:
1. Controles sobre datos de entrada: Diseados para proporcionar razonable certeza de
que:
Las transacciones son autorizadas en forma apropiada antes de ser procesadas por la
computadora
Las transacciones son convertidas con exactitud a una forma legible por mquina y
registradas en los archivos de datos de la computadora
Las transacciones no estn perdidas, aadidas, duplicadas o cambiadas en forma
impropia
Las transacciones incorrectas son rechazadas, corregidas y, si es necesario, vueltas a
procesar oportunamente.
2. Controles sobre el procesamiento y sobre archivos de datos de la computadora:
Diseados para proporcionar certeza razonable de que:
Las transacciones, incluyendo las transacciones generadas por el sistema, son
procesadas en forma apropiada por la computadora
Las transacciones no estn perdidas, aadidas, duplicadas o cambiadas en forma no
apropiada
Los errores de procesamiento son identificados y corregidos oportunamente.
3. Controles sobre los datos de salida: Diseados para proporcionar razonable certeza
de que:
Los resultados del procesamiento son exactos
El acceso a los datos de salida est restringido a personal autorizado
Los datos de salida se proporcionan al personal autorizado apropiado
oportunamente.
Revisin de los Controles Generales del CIS.
El auditor deber considerar cmo estos controles generales del CIS afectan las
aplicaciones del CIS importantes para la auditora. Los controles generales del CIS que
se relacionan a algunas o todas las aplicaciones son controles tpicamente
interdependientes en cuanto a que su operacin es a menudo esencial para la efectividad
de los controles de aplicacin del CIS. Consecuentemente puede ser ms eficiente
revisar el diseo de los controles generales antes de revisar los controles de aplicacin.
Revisin de Controles de Aplicacin del CIS
El control sobre los datos de entrada, procesamiento, archivos de datos y salida de datos
puede ser desempeado por personal del CIS, por usuarios del sistema, por un grupo de
control separado o puede ser programado en el software de aplicacin. Los controles de
aplicacin del CIS que el auditor puede desear probar incluyen:
Controles manuales ejercidos por el usuario: Si los controles manuales ejercidos por
el usuario del sistema de aplicacin tienen la capacidad de dar una certeza razonable de
que los datos de salida del sistema son completos, exactos y autorizados, el auditor
puede decidir limitar las pruebas de control a estos controles manuales (por ejemplo, los
controles manuales ejercidos por el usuario sobre el sistema computarizado de nminas
para empleados asalariados podra incluir un total anticipado del control de entradas
para los pagos brutos, la comprobacin de los clculos de salida de salarios netos, la
aprobacin de pagos y transferencia de fondos, la comparacin con las cifras del

registro de nmina, y una rpida conciliacin bancaria.) En este caso, el auditor puede
desear probar slo los controles manuales ejercidos por el usuario.
Controles sobre los datos de salida del sistema: Si, adems de los controles
manuales ejercidos por el usuario, los controles que deben probarse usan informacin
producida por la computadora o estn contenidos dentro de programas de computadora,
puede ser posible probar dichos controles examinando los datos de salida del sistema
usando tcnicas de auditora ya sea manual o con ayuda de computadora. Dichos datos
de salida pueden ser en forma de medios magnticos, microfilm o impresos (por
ejemplo, el auditor puede probar los controles ejercidos por la organizacin sobre la
conciliacin de totales de reportes con las cuentas de control del libro mayor y puede
realizar pruebas manuales de dichas conciliaciones). Alternativamente, cuando la
conciliacin se realiza por computadora, el auditor puede desear probar la conciliacin
volviendo a ejecutar el control con el uso de tcnicas de auditora con ayuda de
computadora.
Procedimientos de control programados: En el caso de ciertos sistemas por
computadora, el auditor puede encontrar que no sea posible o, en algunos casos, no sea
prctico probar los controles examinando slo los controles del usuario o los datos de
salida del sistema (por ejemplo, en una aplicacin que no da resultados impresos de
aprobaciones crticas o violaciones a las polticas normales, el auditor puede querer
probar los procedimientos de control contenidos dentro del programa de aplicacin.) El
auditor puede considerar llevar a cabo pruebas de control con el uso de tcnicas de
auditora con ayuda de computadora, como prueba de los datos, reprocesamiento de
datos de transacciones o, en situaciones inusuales, examinar la codificacin del
programa de aplicacin.
Evaluacin
Los controles generales del CIS pueden tener un efecto significativo en el
procesamiento de transacciones en los sistemas de aplicacin. Si estos controles no son
efectivos, puede haber un riesgo de que pudieran ocurrir representaciones errneas y no
ser detectadas en los sistemas de aplicacin. As, las debilidades en los controles
generales del CIS pueden imposibilitar la prueba de ciertos controles de aplicacin del
CIS; sin embargo, los procedimientos manuales ejercidos por los usuarios pueden
proporcionar control efectivo al nivel de aplicacin.
DIPA 1009: Tcnicas de Auditoria con la ayuda de la computadora
Los objetivos y alcance global de una auditoria no cambian cuando se conduce una
auditoria en un ambiente de sistemas de informacin de cmputo (CIS). Sin embargo, la
aplicacin de procedimientos de auditora puede requerir que el auditor considere
tcnicas conocidas como Tcnicas de auditora con ayuda de computadora (TAACs) que
usan la computadora como una herramienta de auditora.
Las TAACs pueden mejorar la efectividad y eficiencia de los procedimientos de
auditora. Pueden tambin proporcionar pruebas de control efectivas y procedimientos
sustantivos cuando no haya documentos de entrada o un rastro visible de auditora, o
cuando la poblacin y tamaos de muestra sean muy grandes.
El propsito de esta declaracin es proporcionar lineamientos sobre el uso de TAACs.
Se aplica a todos los usos de TAACs que requieran el uso de una computadora de
cualquier tipo o tamao. Las consideraciones especiales que se refieren a ambientes de
CIS en entidades pequeas se describen ms adelante.
Descripcin de tcnicas de auditora con ayuda de computadora
Esta declaracin describe las tcnicas de auditora con ayuda de computadora
incluyendo herramientas de auditora, conocidas en forma colectiva como TAACs. Las

TAACs pueden usarse para desarrollar diversos procedimientos de auditora, incluyendo

los siguientes:
Pruebas de detalles de transacciones y saldos, por ejemplo, el uso de software de
auditora para recalcular los intereses o la extraccin de facturas por encima de un cierto
valor de los registros de computadora
Procedimientos analticos, por ejemplo, identificar inconsistencias o fluctuaciones
importantes
Pruebas de controles generales, por ejemplo, pruebas de la instalacin o
configuracin del sistema operativo o procedimientos de acceso a las bibliotecas de
programas o el uso de software de comparacin de cdigos para verificar que la versin
del programa en uso es la versin aprobada por la administracin
Muestreo de programas para extraer datos para pruebas de auditora
Pruebas de controles de aplicacin, por ejemplo, pruebas del funcionamiento de un
control programado
Rehacer clculos realizados por los sistemas de contabilidad de la entidad.
Las TAACs son programas y datos de computadora que el auditor usa como parte de los
procedimientos de auditora para procesar datos importantes para la auditoria contenidos
en los sistemas de informacin de una entidad. Los datos pueden ser datos de
transacciones, sobre los que el auditor desea realizar pruebas de controles o
procedimientos sustantivos, o pueden ser otros tipos de datos. Por ejemplo, los detalles
de la aplicacin de algunos controles generales pueden mantenerse en forma de archivos
de texto u otros archivos por aplicaciones que no sean parte del sistema contable. El
auditor puede usar TAACs para revisar dichos archivos para obtener evidencia de la
existencia y operacin de dichos controles. Las TAACs pueden consistir en programas
de paquete, programas escritos para un propsito, programas de utilera o programas de
administracin del sistema. Independientemente del origen de los programas, el auditor
ratifica que sean apropiados y su validez para fines de auditora antes de usarlos:
Los programas en paquete son programas generalizados de computadora diseados
para desempear funciones de procesamiento de datos, tales como leer datos,
seleccionar y analizar informacin, hacer clculos, crear archivos de datos as como dar
informes en un formato especificado por el auditor.
Los programas escritos para un propsito desempean tareas de auditoria en
circunstancias especficas. Estos programas pueden desarrollarse por el auditor, por la
entidad que est siendo auditada o por un programador externo contratado por el
auditor. En algunos casos el auditor puede usar los programas existentes de una entidad
en su estado original o modificados porque as puede ser ms eficiente que desarrollar
programas independientes.
Los programas de utileras se usan por una entidad para desempear funciones
comunes de procesamiento de datos, tales como clasificacin, creacin e impresin de
archivos. Estos programas generalmente no estn diseados para propsitos de auditoria
y, por lo tanto, pueden no contener caractersticas tales como conteos automticos de
registros o totales de control.
Los programas de administracin del sistema son herramientas de productividad
mejorada que tpicamente son parte de un ambiente sofisticado de sistemas operativos,
por ejemplo, software de recuperacin de datos o software de comparacin de cdigos.
Como los programas de utileras, estas herramientas no estn diseadas especficamente
para usarlos en auditoria y su uso requiere un cuidado adicional.
Las rutinas de auditoria incorporadas a veces estn integradas en un sistema de
computadoras de una entidad para proporcionar datos de uso posterior por el auditor.
Incluyen:

1. Fotos instantneas: Esta tcnica implica tomar una foto de una transaccin
mientras fluye por los sistemas de computadora. Las rutinas del software de auditoria
estn incorporadas en diferentes puntos de la lgica del procesamiento para capturar
imgenes de la transaccin mientras avanza por las diversas etapas del procesamiento.
Esta tcnica permite al auditor rastrear los datos y evaluar los procesos de computadora
aplicados a los datos.
2. Archivo de revisin de auditoria del control del sistema. Este implica incorporar
mdulos de software de auditoria dentro de un sistema de aplicaciones para
proporcionar monitoreo continuo de las transacciones del sistema. La informacin es
reunida en un archivo especial de computadora que el auditor puede examinar.
Las tcnicas de datos de prueba a veces se usan durante una auditoria, alimentando
datos (por ejemplo, una muestra de transacciones) en el sistema de computadora de una
entidad y comparando los resultados obtenidos con resultados predeterminados.
Un auditor podra usar datos de prueba para:
1. Poner a prueba controles especficos en programas de computadora, tales como
controles en lnea de contraseas y acceso a datos;
2. Poner a prueba transacciones seleccionadas de transacciones previamente
procesadas o creadas por el auditor para poner a prueba caractersticas especficas de
procesamiento de los sistemas de informacin de una entidad. Dichas transacciones
generalmente son procesadas por separado del procesamiento normal de la entidad; y
3. Poner a prueba transacciones usadas en un mecanismo integrado de pruebas
donde se establece una unidad modelo (por ejemplo, un departamento o empleado
ficticio), a la cual se le registran las transacciones durante el ciclo de procesamiento
normal.
Cuando se procesan los datos de prueba con el procesamiento normal de la entidad, el
auditor se asegura de que las transacciones de prueba sean eliminadas posteriormente de
los registros contables de la entidad.
El creciente poder y sofisticacin de las microcomputadoras, particularmente laptops, ha
dado como resultado otras herramientas para uso del auditor. En algunos casos, las
laptops sern enlazadas a los sistemas de computadora central del auditor.
Ejemplos de estas tcnicas incluyen:
Sistemas expertos, por ejemplo en el diseo de programas de auditoria y en la
planeacin de auditoria y evaluacin de riesgos
Herramientas para evaluar los procedimientos de un cliente para la administracin
de riesgos
Papeles de trabajo electrnicos, planeados para la extraccin directa de datos de los
registros de la computadora del cliente, por ejemplo: descargar el libro mayor para
pruebas de auditoria.
Programas de modelaje corporativo y financiero para usar como pruebas predecibles
de auditoria.
Estas tcnicas son ms comnmente conocidas como automatizacin de la
auditoria.
Consideraciones en el uso de TAACs
Al planear una auditoria, el auditor puede considerar una combinacin apropiada de
tcnicas de auditoria manuales y con ayuda de computadora. Al evaluar el uso de
TAACs, los factores a considerar incluyen:
Antes de usar TAACs el auditor considera los controles incorporados en el diseo de los
sistemas de computadora de la entidad a los que se aplicaran stas para determinar
cmo deberan emplearse.
1. Conocimiento, pericia y experiencia del equipo de auditora del ambiente de CIS

La NIA 401, Auditoria en un Ambiente de Sistemas de Informacin por

Computadora trata del nivel de habilidades y competencia que necesita el equipo de
auditora para conducir una auditoria en un ambiente de CIS. Proporciona lineamientos
para cuando un auditor delega trabajo a ayudantes con habilidades de CIS o cuando se
usa el trabajo de otros auditores o expertos con dichas habilidades. Especficamente, el
equipo de auditora deber tener suficiente conocimiento para planear, ejecutar y usar
los resultados de la TAAC particular que se adopte. El nivel de conocimiento requerido
depende de la complejidad y naturaleza de la TAAC y del sistema de informacin de la
entidad.
2. Disponibilidad de TAACs e instalaciones adecuadas de computacin
El auditor deber considerar la disponibilidad de las TAACs, instalaciones
adecuadas de computacin y los sistemas de informacin y datos necesarios basados en
computadoras. El auditor puede planear el uso de otras instalaciones de computacin
cuando el uso de TAACs en una computadora de la entidad no es econmico o no es
factible, por ejemplo, a causa de una incompatibilidad entre el programa del paquete del
auditor y la computadora de la entidad. Adems, el auditor puede elegir usar sus propias
instalaciones, como microcomputadoras o laptops.
Puede requerirse la cooperacin del personal de la entidad para proporcionar las
instalaciones de procesamiento en un horario cmodo, para ayudar con actividades
como la carga y ejecucin de las TAACs en el sistema de la entidad, y proporcionar
copias de archivos de datos en el formato requerido por el auditor.
3. Imposibilidad de pruebas manuales
Quiz no sea posible desempear manualmente algunos procedimientos de auditoria
porque dependen de un procesamiento complejo (por ejemplo, anlisis estadstico
avanzado) o implica cantidades de datos que sobrepasaran cualquier procedimiento
manual. Adems, muchos sistemas de informacin por computadora desempean tareas
para las que no hay evidencia de copias impresas disponibles y, por lo tanto, puede no
ser factible para el auditor desempear las pruebas manualmente. La falta de evidencia
en copias impresas puede ocurrir en diferentes etapas del ciclo de negocios.
La fuente de informacin puede ser iniciada electrnicamente por la activacin de
voz, imgenes electrnicas de datos o transferencias electrnicas de fondos en el punto
de venta. Adems, algunas transacciones como descuentos y clculo de intereses,
pueden generarse directamente por programas de computadora sin autorizacin
especfica de las transacciones individuales.
Un sistema puede no producir un rastro visible de auditoria que proporcione certeza
sobre la totalidad y exactitud de las transacciones procesadas. Por ejemplo, un programa
de computadora podra cotejar las notas de entrega con las facturas de proveedores.
Adems, los procedimientos de control programados como verificacin de lmites de
crdito de clientes, pueden proporcionar evidencia de copia impresa slo con base en
excepciones.
Un sistema puede no producir informes en copia impresa. Adems, un informe
impreso puede contener slo totales resumidos mientras que los archivos de
computadora retienen los detalles de soporte.
4. Efectividad y eficiencia
La efectividad y eficiencia de los procedimientos de auditoria pueden mejorarse
usando las TAACs para obtener y evaluar la evidencia de auditoria. Las TAACs son a
menudo un medio eficiente de poner a prueba un gran nmero de transacciones o
controles sobre grandes volmenes por medio de:
Analizar y seleccionar muestras de un gran volumen de transacciones;
Aplicar procedimientos analticos; y

 Desarrollar procedimientos sustantivos.

Los asuntos relacionados con la eficiencia que pueden ser considerados por el
auditor incluyen:
El tiempo para planear, disear, ejecutar y evaluar la TAAC
Revisin tcnica y horas de asistencia
Diseo e impresin de formas (por ejemplo, confirmaciones)
Disponibilidad de recursos de computacin.
Al evaluar la efectividad y eficiencia de una TAAC, el auditor puede considerar el
uso continuo de la aplicacin de la TAAC. La planeacin inicial, diseo y desarrollo de
una TAAC generalmente beneficiar a las auditorias de perodos posteriores.
5. Oportunidad
Ciertos datos, como detalles de transacciones, a menudo se conservan por slo
un corto tiempo, y pueden no estar disponibles en forma legible por la mquina para
cuando el auditor lo requiere. As, el auditor necesitar hacer arreglos para la retencin
de los datos requeridos, o puede necesitar alterar la programacin del trabajo que
requiera de estos datos.
Cuando el tiempo disponible para desempear una auditoria sea limitado, el
auditor puede planear el uso de una TAAC, porque cumplir con su requerimiento de
tiempo mejor que otros procedimientos posibles.
Utilizacin de TAACs
Los pasos principales que debe tomar el auditor en la aplicacin de una TAAC son:
Establecer el objetivo de aplicacin de la TAAC
Determinar el contenido y accesibilidad de los archivos de la entidad
Identificar los archivos especficos o bases de datos que deben examinarse
Entender la relacin entre las tablas de datos cuando deba examinarse una base de
datos
Definir las pruebas o procedimientos especficos y transacciones relacionadas y
saldos afectados
Definir los requerimientos de datos de salida
Convenir con el usuario y departamentos de CIS, si es apropiado, en las copias de
los archivos relevantes o tablas de bases de datos que deben hacerse en la fecha y
momento apropiado del corte
Identificar al personal que puede participar en el diseo y aplicacin de la TAAC
Refinar las estimaciones de costos y beneficios
Asegurarse que el uso de la TAAC est controlado y documentado en forma
apropiada
Organizar las actividades administrativas, incluyendo las habilidades necesarias e
instalaciones de computacin
Conciliar los datos que deban usarse para la TAAC con los registros contables;
Ejecutar la aplicacin de la TAAC
Evaluar los resultados.
1. Control de la aplicacin de la TAAC
Los procedimientos especficos necesarios para controlar el uso de una TAAC
dependen de la aplicacin particular. Al establecer el control, el auditor considera la
necesidad de:
a. Aprobar especificaciones y conducir una revisin del trabajo que deba desarrollar la
TAAC.
b. Revisar los controles generales de la entidad que puedan contribuir a la integridad
de la TAAC, por ejemplo, controles sobre cambios a programas y acceso a archivos de

computadora. Cuando dichos controles no son confiables para asegurar la integridad de

la TAAC, el auditor puede considerar el proceso de la aplicacin de la TAAC en otra
instalacin de computacin adecuada.
c. Asegurar la integracin apropiada de los datos de salida dentro del proceso de
auditoria por parte del auditor.
Los procedimientos llevados a cabo por el auditor para controlar las aplicaciones
de la TAAC pueden incluir:
a. Participar en el diseo y pruebas de la TAAC.
b. Verificar, si es aplicable, la codificacin del programa para asegurar que est de
acuerdo con las especificaciones detalladas del programa.
c. Solicitar al personal de computacin de la entidad revisar las instrucciones del
sistema operativo para asegurar que el software correr en la instalacin de computacin
de la entidad.
d. Ejecutar el software de auditoria en pequeos archivos de prueba antes de
ejecutarlo en los archivos principales de datos.
e. Verificar si se usaron los archivos correctos, por ejemplo, verificando la evidencia
externa, como totales de controles mantenidos por el usuario, y que dichos archivos
estn completos.
f. Obtener evidencia de que el software de auditoria funcion segn lo planeado, por
ejemplo, revisando los datos de salida y la informacin de control.
g. Establecer medidas apropiadas de seguridad para salvaguardar la integridad y
confidencialidad de los datos.
Cuando el auditor tiene la intencin de desarrollar procedimientos de auditoria en forma
concurrente con procesamiento en lnea, el auditor revisa dichos procedimientos con el
personal apropiado del cliente y obtiene aprobacin antes de conducir las pruebas para
ayudar a evitar la alteracin inadvertida de los registros del cliente.
Para asegurar procedimientos de control apropiados, no se requiere necesariamente la
presencia del auditor en la instalacin de computacin durante la ejecucin de una
TAAC. Sin embargo, esto puede proporcionar ventajas prcticas, como controlar la
distribucin de los datos de salida y asegurar la correccin oportuna de errores, por
ejemplo, si se fuera a usar un archivo de entrada equivocado.
Los procedimientos de auditoria para controlar las aplicaciones de datos de prueba
pueden incluir:
a. Controlar la secuencia de presentacin de datos de prueba cuando se extienda a
varios ciclos de procesamiento.
b. Realizar corridas de prueba que contengan pequeas cantidades de datos de prueba
antes de presentar los datos de prueba principales de la auditoria
c. Predecir los resultados de los datos de prueba y compararlos con la salida real de
datos de pruebas, para las transacciones individuales y, en total
d. Confirmar que se us la versin actual de los programas para procesar los datos de
prueba
e. Poner a prueba si los programas usados para procesar los datos de prueba fueron
utilizados por la entidad durante el periodo aplicable de auditoria.
Cuando el auditor utilice una TAAC, puede requerir la cooperacin de personal de la
entidad con amplio conocimiento de la instalacin de computacin. En estas
circunstancias, el auditor puede considerar si el personal influy en forma inapropiada
en los resultados de la TAAC.
Los procedimientos de auditoria para controlar el uso de un software de ayuda para la
auditoria pueden incluir:

a. Verificar la totalidad, exactitud y disponibilidad de los datos relevantes, por

ejemplo, pueden requerirse datos histricos para elaborar un modelo financiero
b. Revisar la razonabilidad de los supuestos usados en la aplicacin del conjunto de
herramientas, particularmente cuando se usa software de modelaje
c. Verificar la disponibilidad de recursos con habilidad en el uso y control de las
herramientas seleccionadas
d. Confirmar lo adecuado del conjunto de herramientas para el objetivo de auditoria,
por ejemplo, puede ser necesario el uso de sistemas especficos para la industria en el
diseo de programas de auditoria para negocios con ciclos nicos.
2. Documentacin
El estndar de papeles de trabajo y de procedimientos de retencin para una
TAAC es consistente con el de la auditoria como un todo.
Los papeles de trabajo necesitan contener suficiente documentacin para
describir la aplicacin de la TAAC, tal como:
- Planeacin
Objetivos de la TAAC
Consideracin de la TAAC especifica que se va a usar
Controles que se van a ejercer
Personal, tiempo, y costo.
- Ejecucin
Preparacin de la TAAC y procedimientos de prueba y controles
Detalles de las pruebas realizadas por la TAAC
Detalles de datos de entrada, procesamiento y datos de salida
Informacin tcnica relevante sobre el sistema de contabilidad de la entidad, tal
como la organizacin de archivos.
- Evidencia de auditoria
Datos de salida proporcionados
Descripcin del trabajo de auditoria desarrollado en los datos de salida
Conclusiones de auditoria.
- Otros
Recomendaciones a la administracin de la entidad
Adems, puede ser til documentar las sugerencias para usar la TAAC en aos
futuros.
3. Utilizacin de TAACs en ambientes de CIS en entidades pequeas
Aunque los principios generales explicados en esta declaracin se aplican a
ambientes de CIS en entidades pequeas, los siguientes puntos necesitan consideracin
especial:
El nivel de controles generales puede ser tal que el auditor deposite menos
confiabilidad en el sistema de control interno. Esto dar como resultado un mayor
nfasis sobre pruebas de detalles de transacciones y saldos y procedimientos analticos
de revisin, lo que puede incrementar la efectividad de ciertas TAACs, particularmente
software de auditoria
Cuando se procesan volmenes menores de datos, los mtodos manuales pueden ser
de costo ms efectivo.
Una entidad pequea quiz no pueda proporcionar al auditor ayuda tcnica
adecuada, haciendo poco factible el uso de TAACs.
Ciertos programas de auditora en paquete pueden no operar en computadoras
pequeas, restringiendo as la opcin del auditor en cuanto a TAACs. Sin embargo, los

archivos de datos de la entidad pueden copiarse y procesarse en otra computadora

adecuada
DIPA 1013: Comercio Electrnico-Efecto en la Auditoria de los Estados Financieros
El propsito de esta Declaracin Prctica Internacional de Auditoria es proveer
asistencia a los auditores de estados financieros cuando la entidad cuyos estados
financieros que estn siendo auditados, se ocupan de una actividad comercial que tiene
lugar mediante la conexin de computadores a una red pblica tal como la internet. Las
orientaciones de esta Declaracin son particularmente relevante con la aplicacin de los
siguientes Estndares de Auditoria: 300 Planeacin, 310 Conocimiento del Negocio,
400 Valoracin de Riesgos y Control Interno, 401 Auditoria en Ambientes
Computarizados y Sistemas de Informacin.
El uso de redes pblicas para negocios asociados con el consumidor final (B-C),
Negocio a Negocio (B-B), Negocio a Gobierno (B-G), Negocio a Empleados (B-E),
comercio electrnico (e-com), presentan riesgos nicos que deben ser dirigidos hacia la
entidad y considerados por el auditor cuando planea el desarrollo de la auditoria de
estados financieros.
Esta declaracin identifica asuntos especficos para asistir al auditor cuando considera
significativo el comercio electrnico para las actividades de la entidad y los efectos en
la valoracin de los riesgos que l requiere para formarse una opinin sobre los estados
financieros. En ausencia de un compromiso separado, el propsito de las
consideraciones del auditor, diferentes a formarse una opinin, pueden ser proveer una
consultora, recomendaciones concernientes a los negocios de la entidad relacionados
con el comercio electrnico, sistemas o actividades propias.
Comunicaciones y transacciones sobre la red a travs de computadores, no son una
nueva caracterstica del desarrollo de los negocios. Algunos ejemplos de experiencias
anteriores son: Procesos del negocio que frecuentemente interactan con un computador
remoto, el uso de redes de computadores e intercambio de datos electrnicos (EDI). Sin
embargo, el incremento en el uso de internet para los negocios electrnicos, introduce
nuevos elementos de riesgo que requieren consideracin por parte del auditor.
El internet se refiere a la red mundial de computadores inter-comunicados; esto es una
red pblica compartida que es capaz de comunicarse con otras entidades e individuos
alrededor del mundo. Esto es interoperable, lo cual significa que cualquier
computador conectado al internet, puede comunicarse con cualquier otro computador
conectado al internet. El internet es una red pblica, en contraste con redes privadas a
las cuales solo tienen acceso entidades o personas autorizadas. El uso de redes pblicas
introduce riesgos especiales que deben ser analizados por la entidad. El incremento de
actividades en internet sin la debida atencin de los riesgos por parte de la entidad,
puede tener efectos para la valoracin de los mismos por parte del auditor.
Mientras esta Declaracin ha sido escrita para situaciones cuando la entidad se
introduce en actividades comerciales sobre una red pblica tal como internet, muchas de
las orientaciones aqu expuestas pueden ser tambin utilizadas para redes privadas.
Similarmente, las consideraciones pueden ser aplicadas en entidades formadas
primordialmente para negocios electrnico.
Habilidades y Conocimientos.
El nivel de habilidades y conocimientos requeridos para interpretar los efectos del
comercio electrnico en la auditoria, variar con la complejidad de las actividades
realizadas en el internet por parte de la entidad. El nivel de formacin en Tecnologa de
la Informacin (IT) y de negocios electrnicos en internet, ir tan lejos como los
potenciales efectos sobre los estados financieros de:

 Estrategias y actividades de la entidad sobre los negocios electrnicos.

La tecnologa usada para facilitar la inmersin de la entidad en los negocios
electrnicos y las habilidades y conocimientos del personal de la entidad para la
Tecnologa de la Informacin (IT).
Los riesgos asociados con el uso de los negocios electrnicos de la entidad en
internet y la direccin aproximada de dichos riesgos, principalmente lo adecuado del
sistema de control interno y los procesos de reportes financieros.
El auditor debe considerar si el personal asignado para introducirse en los negocios
electrnicos, tiene apropiadas habilidades y conocimientos en Tecnologa de la
Informacin (IT) e internet e-com. Cuando dichas transacciones electrnicas tienen un
efecto significativo sobre los negocios de la entidad, pueden ser requeridas algunas
competencias especiales, tales como:
Conocer los riesgos inherentes en la entidad sobre las actividades en negocios
electrnicos y las responsabilidades administrativas por dichos riesgos incluidos los del
sistema de control interno y la contabilidad.
Elaborar las preguntas apropiadas acerca del uso de negocios electrnicos en
internet e interpretar adecuadamente las implicaciones de las respuestas obtenidas.
Determinar la naturaleza, tiempo y extensin de procedimientos de auditoria y
evaluacin de la evidencia.
Considerar los efectos sobre la entidad de la dependencia de los negocios
electrnicos en internet y la posible continuidad de los mismos.
En ciertas circunstancias el auditor puede determinar el uso de expertos, por ejemplo
si considera apropiado contratar otro profesional para la evaluacin de la seguridad
(Prueba de vulnerabilidad o penetracin). Cuando dicho trabajo es utilizado, el auditor
obtiene apropiada y suficiente evidencia de tal forma que la labor (Del experto) es
adecuada para los propsitos de la auditoria.