HISTORIA DE LA AUDITORIA

La palabra auditoria tiene que ver con oír y revisar cuentas ya que proviene de latín
auditorius, para el caso de auditoría de sistemas esto lo debemos aplicar como la
recolección y evaluación de evidencias sobre la eficiencia y eficacia en el uso de los sistemas
en la organización, además de mencionar que se debe presentar un informe en donde se
especifiquen en caso de haberlos encontrado los problemas y las diferentes alternativas de
solución o se especifiquen áreas de mejora.

La auditoría nace como una necesidad de evaluar que los registros y resultados de
operaciones de contabilidad fueran correctos, su principal objetivo era prevenir que no
existieran fraudes o robos de bienes que eran encomendados a los administradores.

La actividad del auditor consistía en certificar que los resultados financieros emitidos por
las empresas que solicitaban un préstamo al banco fuera veraces y confiables. Esta actividad
se formalizó con el nacimiento de la contabilidad financiera a finales del siglo pasado.

De acuerdo a diferentes definiciones encontramos que en tiempos históricos las

civilizaciones antiguas había una persona a quienes se les leían los ingresos y los gastos de
un comercio o establecimiento, ya que audire significa oír, escuchar.

En el siglo XV en Europa especialmente en los países de España, Inglaterra, Francia y

Holanda las familias acaudaladas de nobles y ricos solicitaban el servicio de revisores de
cuentas para asegurar que los administradores de sus bienes no realizaran fraudes en los
reportes que presentaba.

A mediados del siglo XIX en el Reino Unido se obligó a ejecutar auditorías a los resultados
financieros y a los registros contables en las empresas públicas. Posteriormente las
empresas en Estados Unidos también realizaron auditorias por disposición de la Comisión
de Valores y Bolsa para las empresas que cotizaban en la bolsa.

Existe también el antecedente en la revolución industrial en donde se incrementaron las

operaciones de fabricación y venta y con esto el registro de ellas, por lo que se hace
indispensable la presencia de contadores para la emisión de resultados financieros. Esto
llevó a la necesidad de un auditor que emitiera un dictamen para evaluar la confiabilidad
del registro de operaciones y de los resultados financieros presentados.

Por muchos años el concepto que se asoció al trabajo del auditor era el de detectar lo que
estaba mal para informar a quien correspondiera sobre dicho acontecimiento, así pasaron
los años y la imagen de una persona chismosa, delatora, inspector ha sido uno de los
inconvenientes con los cuales todo auditor debe luchar ya que se le asocia a alguien que
busca las cosas malas. Sin embargo, es necesario aclarar que en la actualidad el auditor es
quien se encarga de encontrar oportunidades de mejora y de hacer las recomendaciones
correspondientes.

La auditoría nace como una rama dependiente del área financiera en las empresas y la
ejercían solamente profesionales con especialidad en contabilidad dado que revisaban el
registro de operaciones y los estados financieros emitidos por las empresas. Sin embargo,
esta revisión se traslada a otras áreas de la empresa comenzando por las administrativas y
después con el área de ingeniería. Esto trae como consecuencia que el profesional de
auditoría no sea solamente especialista en el área contable y financiera y empiezan a ejercer
dicho labor profesionistas con especialidades en otras áreas.

Al llegar el uso de sistemas en los diferentes procesos organizacionales y sobre todo en la

parte financiera de registro de operaciones y emisión de estados financieros, se ve la
necesidad de realizar auditorías incluyendo a las computadoras y a los programas
computacionales responsable de las operaciones tanto financieras como de otras áreas de
la empresa.

Aún y cuando existen diferentes tipos de auditorías en esencia todas ellas mantienen los
mismos fundamentos. De la auditoría financiera surge la auditoria de operaciones y la
auditoria administrativa. Se publican diferentes estudios e investigaciones que dan como
resultado publicaciones en todo el mundo sobre la auditoria, especificando procedimientos
y metodologías. Con esto se consolida el área de auditoría interna y externa para las
empresas.
CONCEPTO AUDITORIA INFORMÁTICA

La Auditoría Informática la podemos definir como “el conjunto de procedimientos y técnicas

para evaluar y controlar un sistema informático con el fin de constatar si sus actividades son
correctas y de acuerdo a las normativas informáticas y generales prefijadas en la
organización”.

La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de

cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los
sistemas de información en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtención de información.

Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que
proporciona los controles necesarios para que los sistemas sean confiables y con un buen
nivel de seguridad. Además, debe evaluar todo: informática, organización de centros de
información, hardware y software.

CARACTERÍSTICAS DE LA AUDITORÍA INFORMÁTICA

La información de la empresa y para la empresa, siempre importante, se ha convertido en

un Activo Real de la misma, con sus Stocks o materias primas si las hay. Por ende, han de
realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión
Informática.

Del mismo modo, los Sistemas Informáticos o tecnológicos han de protegerse de modo
global y particular: a ello se debe la existencia de la Auditoria de Seguridad Informática en
general, o a la auditoria de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo
o Técnica de Sistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma

su función: se está en el campo de la Auditoria de Organización Informática o tecnológica

Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una
auditoria parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de
Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además
de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna
mezcla de ellas. Por lo tanto, las características más resaltantes son:

 La multiplicidad de usuarios es un fenómeno natural, si se considera que son estos

los que realmente gestionan el negocio de la empresa, y no la informática. Los
constructores de hardware y de productos de software inciden en este entorno de
usuarios facilitando su utilización.
 Tras algunas pruebas de desagregación desafortunadas, las organizaciones
muestran tendencias a mantener centralizadas los ordenadores y periféricos de alta
carga de información y la administración de los datos.
 En efecto, la proliferación de centros de procesos de datos dedicados a
explotaciones determinadas genera costos casi siempre fuera de presupuesto y
debilidades de coordinación de fácil detección.
 La descentralización de los datos no ha pasado de ser una teoría impracticable. La
redundancia e inconsistencia de datos no son un lujo, si no que puede comprometer
el propio sistema de información de la empresa.

OBJETIVO DE LA AUDITORÍA INFORMÁTICA

La operatividad es una función de mínimos consistente en que la organización y las

maquinas funcionen, siquiera mínimamente. No es admisible detener la maquinaria
informática para descubrir sus fallos y comenzar de nuevo. La auditoría debe iniciar su
actividad cuando los Sistemas están operativos, es el principal objetivo el de mantener tal
situación. Tal objetivo debe conseguirse tanto a nivel global como parcial.

La operatividad de los Sistemas ha de constituir entonces la principal preocupación del

auditor informático. Para conseguirla hay que acudir a la realización de Controles Técnicos
Generales de Operatividad y Controles Técnicos Específicos de Operatividad, previos a
cualquier actividad de aquel.

Los Controles Técnicos Generales son los que se realizan para verificar la compatibilidad de
funcionamiento simultaneo del Sistema Operativo y el Software de base con todos los
subsistemas existentes, así como la compatibilidad del Hardware y del Software instalados.
Estos controles son importantes en las instalaciones que cuentan con varios competidores,
debido a que la profusión de entornos de trabajo muy diferenciados obliga a la contratación
de diversos productos de Software básico, con el consiguiente riesgo de abonar más de una
vez el mismo producto o desaprovechar parte del Software abonado. Puede ocurrir también
con los productos de Software básico desarrolla-dos por el personal de Sistemas Interno,
sobre todo cuando los diversos equipos están ubicados en Centros de Proceso de Datos
geográficamente alejados. Lo negativo de esta situación es que puede producir la
inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo
trabajando independientemente, pero no será posible la interconexión e
intercomunicación de todos los Centros de Proceso de Datos si no existen productos
comunes y compatibles.

Los Controles Técnicos Específicos, de modo menos acusado, son igualmente necesarios
para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar mal
son parámetros de asignación automática de espacio en disco que dificulten o impidan su
utilización posterior por una Sección distinta de la que lo generó. También, los periodos de
retención de ficheros comunes a varias Aplicaciones pueden estar definidos con distintos
plazos en cada una de ellas, de modo que la pérdida de información es un hecho que podrá
producirse con facilidad, quedando inoperativa la explotación de alguna de las Aplicaciones
mencionadas.

DELITOS INFORMÁTICOS

El delito es un acto humano, es una acción (acción u omisión)

Dicho acto humano ha de ser antijurídico, debe lesionar o poner en peligro un interés
jurídicamente protegido.

Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto
típico.
El acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y una acción
es imputable cuando puede ponerse a cargo de una determinada persona

La ejecución u omisión del acto debe estar sancionada por una pena.

Por tanto, un delito es: una acción antijurídica realizada por un ser humano, tipificado,
culpable y sancionado por una pena.

Se podría definir el delito informático como toda acción (acción u omisión) culpable
realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se
beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no
perjudique de forma directa o indirecta a la víctima, tipificado por La Ley, que se realiza en
el entorno informático y está sancionado con una pena.

AUDITORIA INTERNA Y EXTERNA.

Beneficios de la Auditoría:

Los beneficiarios de la auditoría son los que tienen relación con la empresa y necesitan
información correcta y auténtica sobre la situación y actividades de la misma.

Auditoría externa: Accionistas o socios. Consejeros y ejecutivos. Proveedores, acreedores

y otros. Inversores. La Banca. La Hacienda Pública. Los empleados de la empresa. Otros
organismos públicos e institucionales.

Auditoría interna: Es la propia empresa y todos los órganos de gobierno y ejecutivos.

Diferencia entre Auditoría Interna y Externa:

1. En la auditoría interna, el sujeto que la realiza es un empleado de la empresa;

mientras que, en la auditoría externa, es un profesional independiente.
2. En la auditoría interna, la independencia está limitada; mientras que, en la auditoría
externa, la independencia es total.
3. En la auditoría interna, la responsabilidad del sujeto que la realiza es de tipo laboral;
mientras que, en la auditoría externa, es de tipo profesional, que puede llegar a ser
penal.
 4. En la auditoría interna, el objetivo de la auditoría es el examen de la gestión;
mientras que, en la auditoría externa, el objetivo es el examen de los estados
financieros para determinar si representan la situación real de la entidad auditada.
5. En la auditoría interna, el informe emitido es un informe con recomendaciones para
la gerencia; mientras que, en la auditoría externa, está dirigido también a terceros.
6. En la auditoría interna, el uso del informe está restringido al ámbito de la propia
empresa; mientras que, en la auditoría externa, el uso trasciende la propia empresa.

CONTROL

Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si todo se realiza conforme a los programas
adoptados, órdenes impartidas y principios admitidos.

Clasificación general de los controles

 Controles Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo
cierto margen de violaciones.

Ejemplos: Letrero “No fumar” para salvaguardar las instalaciones

Sistemas de claves de acceso

 Controles detectivos

Son aquellos que no evitan que ocurran las causas del riesgo, sino que los detecta luego de
ocurridos. Son los más importantes para el auditor. En cierta forma sirven para evaluar la
eficiencia de los controles preventivos.

Ejemplo: Archivos y procesos que sirvan como pistas de auditoría

Procedimientos de validación
 • Controles Correctivos

Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada

puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos
sobre los controles correctivos, debido a que la corrección de errores es en si una actividad
altamente propensa a errores.

Principales Controles físicos y lógicos

Controles particulares tanto en la parte física como en la lógica se detallan a continuación

Autenticidad

Permiten verificar la identidad

1. Passwords
2. Firmas digitales

Exactitud

Aseguran la coherencia de los datos

1. Validación de campos
2. Validación de excesos

Totalidad

Evitan la omisión de registros, así como garantizan la conclusión de un proceso de envió

1. Conteo de registros
2. Cifras de control

Redundancia

Evitan la duplicidad de datos

1. Cancelación de lotes
2. Verificación de secuencias

Privacidad
Aseguran la protección de los datos

1. Compactación
2. Encriptación

Existencia

Aseguran la disponibilidad de los datos

1. Bitácora de estados
2. Mantenimiento de activos

Protección de Activos

Destrucción o corrupción de información o del hardware

1. Extintores
2. Passwords

Efectividad

Aseguran el logro de los objetivos

1. Encuestas de satisfacción
2. Medición de niveles de servicio

Eficiencia

Aseguran el uso óptimo de los recursos

1. Programas monitores
2. Análisis costo-beneficio

Controles automáticos o lógicos

Periodicidad de cambio de claves de acceso.

SÍNTOMAS DE NECESIDAD DE UNA AUDITORÍA INFORMÁTICA

Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles
de debilidad. Estos síntomas pueden agruparse en clases:

Síntomas de descoordinacion y desorganización:

 No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.

 Los estándares de productividad se desvían sensiblemente de los promedios
conseguidos habitualmente.
 Puede ocurrir con algún cambio masivo de personal, o en una reestructuración
fallida de alguna área o en la modificación de alguna Norma importante.

Síntomas de mala imagen e insatisfacción de los usuarios:

 No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de

Software en los terminales de usuario, resfrecamiento de paneles, variación de los
ficheros que deben ponerse diariamente a su disposición, etc
 No se reparan las averías de Hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que está abandonado y desatendido
permanentemente.
 No se cumplen en todos los casos los plazos de entrega de resultados periódicos.
Pequeñas desviaciones pueden causar importantes desajustes en la actividad del
usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

Síntomas de debilidades económico-financiero:

 Incremento desmesurado de costes.

 Necesidad de justificación de Inversiones Informáticas (la empresa no está
absolutamente convencida de tal necesidad y decide contrastar opiniones).
 Desviaciones Presupuestarias significativas.
 Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a
Desarrollo de Proyectos y al órgano que realizó la petición).
Síntomas de Inseguridad:

 Evaluación de nivel de riesgos

 Seguridad Lógica
 Seguridad Física
 Confidencialidad

Continuidad del Servicio.

Es un concepto aún más importante que la Seguridad. Establece las estrategias de

continuidad entre fallos mediante Planes de Contingencia, Totales y Locales.

Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería
prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe
ser sustituido por el mínimo indicio.

SEGURIDAD DE LOS SISTEMAS

En el entorno de negocios actual, la información que se maneja tanto al interior de una

organización como hacia el exterior de la misma está expuesta a un gran número de riesgos,
los cuales tienen un impacto variable en los atributos de seguridad de la información:
confidencialidad, integridad y disponibilidad. En la actualidad, el principal reto está en
entender los riesgos específicos para cada entorno de negocios en particular y también
entender, o incluso medir, el impacto que estos riesgos tienen sobre la seguridad de la
información.

Tradicionalmente, cuando se habla de Seguridad de la Información, se entiende que se

requieren ciertas soluciones de hardware y software con los que la mayoría de las empresas
ya cuentan y consideran que cubren todas sus necesidades actuales y futuras de seguridad
de la información. Estos elementos son firewalls, antivirus, antispam, filtros de contenido
URL, etc. Sin embargo, una estrategia global de seguridad de la información debe considerar
otros elementos que permiten mejorar la postura global de seguridad de la empresa y no
se limitan a atender amenazas puntuales como son el acceso desde el exterior de la red
corporativa o la existencia de virus, las cuales definitivamente si tienen su relevancia, pero
son un elemento más dentro de un esquema general de requerimientos de seguridad.

Una Estrategia Global de Seguridad de la Información, además de los elementos

tradicionales para asegurar el perímetro de la red de la organización, debe incluir aspectos
relacionados con la Gestión de Identidades corporativas, Control de acceso a los sistemas
de información con base en perfiles, Gestión de eventos de seguridad, entre otros.

La práctica de Seguridad de la Información tiene varios objetivos críticos:

1. Utilizar mejores prácticas para la identificación de necesidades y oportunidades para

la mejora de los niveles de Seguridad de la Información.
2. Emitir puntos de vista imparciales sobre las necesidades de Seguridad de la
Información para proponer las mejores estrategias y herramientas para
solventarlas, con el mayor costo beneficio.
3. Proporcionar herramientas de Seguridad de la Información que encajen dentro de
una estrategia global de seguridad para cada entorno específico, contrario a sugerir
soluciones puntuales con una aportación marginal a la problemática de seguridad
observada.

VULNERABILIDADES DE UN SISTEMA INFORMÁTICO

En un sistema informático lo que queremos proteger son sus activos, es decir, los recursos
que forman parte del sistema y que podemos agrupar en:

 Hardware: elementos físicos del sistema informático, tales como procesadores,

electrónica y cableado de red, medios de almacenamiento (cabinas, discos, cintas,
DVDs,...).
 Software: elementos ló́gicos o programas que se ejecutan sobre el hardware, tanto
si es el propio sistema operativo como las aplicaciones.
 Datos: comprenden la información lógica que procesa el software haciendo uso del
hardware. En general serán informaciones estructuradas en bases de datos o
paquetes de información que viajan por la red.
  Otros: fungibles, personas, infraestructuras, aquellos que se 'usan y gastan' como
puede ser la tinta y papel en las impresoras, los soportes tipo DVD o incluso cintas
si las copias se hacen en ese medio, etc.

De ellos los más críticos son los datos, el hardware y el software. Es decir, los datos que
están almacenados en el hardware y que son procesados por las aplicaciones software.

Incluso de todos ellos, el activo más crítico son los datos. El resto se puede reponer con
facilidad y los datos ... sabemos que dependen de que la empresa tenga una buena política
de copias de seguridad y sea capaz de reponerlos en el estado más próximo al momento en
que se produjo la pérdida. Esto puede suponer para la empresa, por ejemplo, la dificultad
o imposibilidad de reponer dichos datos con lo que conllevaría de pérdida de tiempo y
dinero.

Vulnerabilidad: definición y clasificación

Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad

del sistema informático.

Vulnerabilidad de desbordamiento de buffer.

Si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un

momento en que se sobrepase la capacidad del buffer y los bytes que sobran se almacenan
en zonas de memoria adyacentes. En esta situación se puede aprovechar para ejecutar
código que nos de privilegios de administrador.

Vulnerabilidad de condición de carrera (race condition).

Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este
tipo de vulnerabilidad. Es el caso típico de una variable, que cambia su estado y puede
obtener de esta forma un valor no esperado.

Vulnerabilidad de Cross Site Scripting (XSS).

Es una vulnerabilidad de las aplicaciones web, que permite inyectar código VBSript o
JavaScript en páginas web vistas por el usuario. El phishing es una aplicación de esta
vulnerabilidad. En el phishing la víctima cree que está accediendo a una URL (la ve en la
barra de direcciones), pero en realidad está accediendo a otro sitio diferente. Si el usuario
introduce sus credenciales en este sitio se las está enviando al atacante.

Vulnerabilidad de denegación del servicio.

La denegación de servicio hace que un servicio o recurso no esté disponible para los
usuarios. Suele provocar la pérdida de la conectividad de la red por el consumo del ancho
de banda de la red de la víctima o sobrecarga de los recursos informáticos del sistema de la
víctima.

Vulnerabilidad de ventanas engañosas (Window Spoofing).

Las ventanas engañosas son las que dicen que eres el ganador de tal o cual cosa, lo cual es
mentira y lo único que quieren es que el usuario de información. Hay otro tipo de ventanas
que si las sigues obtienen datos del ordenador para luego realizar un ataque.

RIESGOS EN LA AUDITORIA

Es importante en toda organización contar con una herramienta, que garantice la correcta
evaluación de los riesgos a los cuales están sometidos los procesos y actividades de una
entidad y por medio de procedimientos de control se pueda evaluar el desempeño de la
misma.

Si consideramos entonces, que la Auditoría es “un proceso sistemático, practicado por los
auditores de conformidad con normas y procedimientos técnicos establecidos, consistente
en obtener y evaluar objetivamente las evidencias sobre las afirmaciones contenidas en los
actos jurídicos o eventos de carácter técnico, económico, administrativo y otros, con el fin
de determinar el grado de correspondencia entre esas afirmaciones, las disposiciones
legales vigentes y los criterios establecidos.” es aquella encargada de la valoración
independiente de sus actividades. Por consiguiente, la Auditoría debe funcionar como una
actividad concebida para agregar valor y mejorar las operaciones de una organización, así
como contribuir al cumplimiento de sus objetivos y metas; aportando un enfoque
sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de
riesgos, control y dirección.

Los servicios de Auditoría comprenden la evaluación objetiva de las evidencias, efectuada

por los auditores, para proporcionar una conclusión independiente que permita calificar el
cumplimiento de las políticas, reglamentaciones, normas, disposiciones jurídicas u otros
requerimientos legales; respecto a un sistema, proceso, subproceso, actividad, tarea u otro
asunto de la organización a la cual pertenecen.

A diferencia de algunos autores, que definen la ejecución de las auditorías por etapas,
somos del criterio que es una actividad dedicada a brindar servicios que agrega valores
consecuentemente en dependencia de la eficiencia y eficacia en el desarrollo de diferentes
tareas y actividades las cuales deberán cumplirse sistemáticamente en una cadena de
valores que paulatinamente deberán tenerse en cuenta a través de subprocesos que
identifiquen la continuidad lógica del proceso, para proporcionar finalmente la calidad del
servicio esperado.

Viendo la necesidad en el entorno empresarial de este tipo de herramientas y teniendo en

cuenta que, una de las principales causas de los problemas dentro de los subprocesos es la
inadecuada previsión de riesgos, se hace necesario entonces estudiar los Riesgos que
pudieran aparecen en cada subproceso de Auditoría, esto servirá de apoyo para prevenir
una adecuada realización de los mismos.

Es necesario en este sentido tener en cuenta lo siguiente:

 La evaluación de los riesgos inherentes a los diferentes subprocesos de la Auditoría.

 La evaluación de las amenazas o causas de los riesgos.
 Los controles utilizados para minimizar las amenazas o riesgos.
 La evaluación de los elementos del análisis de riesgos.

Generalmente se habla de Riesgo y conceptos de Riesgo en la evolución de los Sistemas de

Control Interno, en los cuales se asumen tres tipos de Riesgo:
 1. Riesgo de Control: Que es aquel que existe y que se propicia por falta de control de
las actividades de la empresa y puede generar deficiencias del Sistema de Control
Interno.
2. Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su
revisión no detecten deficiencias en el Sistema de Control Interno.
3. Riesgo Inherente: Son aquellos que se presentan inherentes a las características del
Sistema de Control Interno.

Sin embargo, los Riesgos están presentes en cualquier sistema o proceso que se ejecute, ya
sea en procesos de producción como de servicios, en operaciones financieras y de mercado,
por tal razón podemos afirmar que la Auditoría no está exenta de este concepto.

En cada Subproceso, como suele llamársele igualmente a las etapas de la misma, el auditor
tiene que realizar tareas o verificaciones, en las cuales se asumen riesgos de que esas no se
realicen de la forma adecuada, claro que estos Riesgos no pueden definirse del mismo modo
que los riesgos que se definen para el control Interno.

El criterio del auditor en relación con la extensión e intensidad de las pruebas, tanto de
cumplimiento como sustantivas, se encuentra asociado al riesgo de que queden sin detectar
errores o desviaciones de importancia, en la contabilidad de la empresa y no los llegue a
detectar el auditor en sus pruebas de muestreo. El riesgo tiende a minimizarse cuando
aumenta la efectividad de los procedimientos de auditoría aplicados.

El propósito de una auditoría a los Estados Financieros no es descubrir fraudes, sin embargo,
siempre existe la posibilidad de obtener cifras erróneas como resultado de una acción de
mala fe, ya que puede haber operaciones planeadas para ocultar algún hecho delictivo.
Entre una gran diversidad de situaciones, es posible mencionar las siguientes:

 Omisión deliberada de registros de transacciones.

 Falsificación de registros y documentos.
 Proporcionar al auditor información falsa.
A continuación, se exponen algunas situaciones que pueden indicar la existencia de errores
o irregularidades.

 Cuando el auditor tiene dudas sobre la integridad de los funcionarios de la empresa;

si la desconfianza solamente es con relación a la competencia y no con la honradez
de los ejecutivos de la compañía, el auditor deberá tener presente que pudiera
encontrarse con situaciones de riesgo por errores o irregularidades en la
administración.
 Cuando el auditor detecte que los puestos clave como cajero, contador,
administrador o gerente, tienen un alto porcentaje de rotación, existe la posibilidad
de que los procedimientos administrativos, incluidos los contables, presenten fallas
que pueden dar lugar a errores o irregularidades.
 El desorden del departamento de contabilidad de una entidad implica informes con
retraso, registros de operaciones inadecuados, archivos incompletos, cuentas no
conciliadas, entre otros. Esta situación como es fácil comprender, provoca errores,
tal vez realizados de buena fe, o inclusive con actos fraudulentos. La gerencia tiene
la obligación de establecer y mantener procedimientos administrativos que
permitan un control adecuado de las operaciones.

Dentro de las auditorías se debe verificar la función de elaboración o proceso de datos,

donde se deben chequear entre otros los siguientes aspectos:

 Existencia de un método para cerciorarse que los datos recibidos para su valoración
sean completos, exactos y autorizados.
 Emplear procedimientos normalizados para todas las operaciones y examinarlos
para asegurarse que tales procedimientos son acatados.
 Existencia de un método para asegurar una pronta detección de errores y mal
funcionamiento del Sistema de Cómputo.
 Deben existir procedimientos normalizados para impedir o advertir errores
accidentales, provocados por fallas de operadores o mal funcionamiento de
máquinas y programas.
Sistemas de Control de Riesgos

La estructura de Control de Riesgos pudiéramos fundamentarla en dos pilares: los Sistemas

Comunes de Gestión y los Servicios de Auditoría Interna, cuyas definiciones, objetivos,
características y funciones se exponen a continuación.