Republica Bolivariana de Venezuela

Ministerio del Poder Popular para la Defensa

Universidad Nacional Experimental Politecnica
de la Fuerza Armada
Nucleo Yaracuy – Extension Nirgua

METODOS DE AUDITORIA

Facilitador: Emprendedor:
Ing. Juan ocho Jose G. Vasquez P.
V-27122643
Ing. Sistema
VIII Semestre
 Metodología de una auditoría de apoyo

Existen diversas metodologías de Auditorias Informáticas y todas dependen de lo que se

pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un
proceso de revisión:
Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditoria, efectuar
visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario
para la obtención de información para evaluar preliminarmente el control interno, solicitud de
plan de actividades, Manuales de política, reglamentos, Entrevistas con los principales
funcionarios de la Organización y de la Departamento de Informática.

Revisión y evaluación de controles y seguridades: Consiste de la revisión de los diagramas

de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de
aplicaciones de las áreas críticas, revisión de procesos históricos (backups), revisión de
documentación y archivos, entre otras actividades.

Examen detallado de áreas críticas: Con las fases anteriores el auditor descubre las áreas
críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente
su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos,
alcance y recursos que usará, definirá la metodología de trabajo, la duración de la auditoria,
presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo
lo anteriormente analizado.
Comunicación de resultados: Se elaborará el borrador del informe a ser discutido con los
ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará
esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque
los problemas encontrados, los efectos y las recomendaciones de la Auditoria.
El informe debe contener lo siguiente:
Motivos de la auditoria

Objetivos

Alcance

Estructura Orgánico-Funcional del área Informática

Configuración del Hardware y Software instalado

Control Interno

Resultados de la Auditoria
 Auditoria de Aplicación

Es la revisión que se dirige a evaluar los métodos y procedimientos de uso de aplicaciones o

sistemas de información en una entidad, con el propósito de determinar si su diseño y
aplicación son correctos y comprobar el sistema de procesamiento de información como
parte de la evaluación de control interno; con el fin de identificar aspectos susceptibles para
mejorar o eliminarse.

Las aplicaciones o sistemas de información son uno de los productos finales que genera la
infraestructura de la Tecnología Informática en las organizaciones y por ende son el aspecto
de mayor visibilidad desde la perspectiva de negocio. La importancia de una auditoría de
aplicaciones según lo expuesto anteriormente radica en el control, eficiencia y eficacia de los
sistemas informáticos.

Problemática de la auditoría de una aplicación Informática:

Una aplicación informática o sistema de información habitualmente persigue como

finalidad:

 Registrar fielmente la información considerada de interés en torno a las operaciones

llevadas a cabo por una determinada organización: magnitudes físicas o económicas,
fechas, descripciones, atributos o características, identificación de las personas físicas
u/o jurídicas que intervienen o guardan relación con cada operación, nombres,
direcciones, etc.

 Permitir la realización de cuantos procesos de cálculo y edición sean necesarios a

partir de la información registrada.

 Facilitar, a quienes lo precisen, respuesta a consultas de todo tipo sobre la información

almacenada, diseñadas en contenido y forma para dar cobertura a las necesidades
más comunes constatadas.

 Generar informes que sirvan de ayuda para cualquier finalidad de interés en la

organización presentando la información adecuada.

Si este planteamiento se consigue trasladar con rigor a una aplicación informática y los
usuarios la manejan con soltura y con profesionalidad, la organización a la que pertenecen
contará con un importante factor de éxito en el desarrollo de su actividad.

Sin embargo, ni el rigor en la creación de la aplicación ni la profesionalidad en el uso de la

misma puede ser garantizada. Además la profesionalidad no inmuniza contra el cansancio y
el estrés. Asumiendo está también que de humanos es equivocarse, cometer errores y
omisiones involuntariamente.
Tampoco es imposible que en un momento determinado un empleado descontento cometa
errores intencionadamente o que otro, en apuros económicos, sucumba a la tentación de
intentar un fraude perfecto si considera mínima la probabilidad de ser descubierto, tal y como
funciona el sistema y la organización, que puede no estar dando muestras de ejercer un
control interno riguroso. Y no son éstas las únicas amenazas al normal cumplimiento de la
finalidad de las aplicaciones.

La posibilidad de fallo en cualquiera de los elementos que intervienen en el proceso

informático. La conexión cada vez más generalizada de las empresas a entornos abiertos
como el internet multiplica los riesgos que amenazan la confidencialidad e integridad de la
información de nuestros sistemas.

Dichas medidas son fundamentalmente medidas de control interno que, con carácter general,
consisten en los procedimientos para verificar, evaluar y tratar de garantizar que todo
funciona como se espera: de acuerdo con las políticas, directrices, normas y procedimientos
establecidos en los diferentes ámbitos de responsabilidad.

Tipos de controles
En el terreno de una aplicación informática, el control interno se materializa
fundamentalmente en controles de dos tipos:

 Controles manuales: a realizar normalmente por parte de personal del área usuaria:
actuaciones previstas para asegurar que, en su caso se preparan, autorizan y
procesan todas las operaciones.

 Controles automáticos: Incorporados a los programas de la aplicación que sirvan de

ayuda para tratar de asegurar que la información se registre y mantenga completa y
exacta, los procesos de todo tipo sobre la misma sean correctos y su utilización por
parte de los usuarios respete los ámbitos de confidencialidad establecidos.

Controles que, según su finalidad, se suelen clasificar en:

 Controles preventivos: Tratan de ayudar a evitar la producción de errores a base de

exigir el ajuste de los datos cualquier criterio que ayude a asegurar la corrección
formal y verosimilitud de los datos (la exactitud solo la garantiza el usuario).

 Controles detectivos: Tratan de descubrir a posteriores errores que no haya sido

posible evitar.

 Controles correctivos: Tratan de asegurar que se subsanen todos los errores

identificados mediantes controles detectivos. Y que pueden ser utilizados:
◦ En las transacciones de recogida o toma de datos.
◦ En todos los procesos de información que la aplicación realizada.
◦ En la generación de informes y resultados de salida.
 Actividades de Aplicación

Entrada, Proceso y Salida:

En un sistema de información debemos tener en cuenta las tres actividades que debe
realizar en un sistema de información para poder producir la información que la empresa
requiere para la toma de decisiones y el control de las operaciones, y en cada una de estas
actividades se debe ejercer un control, el cual posteriormente dara los parametros para la
auditoría.

Estos controles intentan asegurar que:

1. En un sistema computarizado solamente se ingresen datos completos, exactos,

válidos y autorizados por unica vez.

2. La actualización de esos datos se efectúe en los momentos en que realmente

corresponda y bajo las mismas condiciones de seguridad arriba señaladas.

3. El procesamiento se realice a tiempo y cumpliendo con el diseño aprobado del

sistema, según sus objetivos.

4. Los datos se mantengan protegidos y actualizados

5. Las salidas, resultados de procesamiento, cumplan las espectativas formuladasen el

momento de definición del proyecto.

Actividades sujetas a control

En sistema en línea, los datos referentes a las transacciones pueden introducirse

directamente al usuario de las terminales una identificación que se introduce antes que el
sistema acepte datos. El sistema operativo a de conservar un registro de actividades en cada
terminal que será revisada después por el grupo de control en busca de evidencia de uso no
autorizado.

 Captura: Es la entrada de datos originales al sistema. Puede ser un nuevo registro de

un archivo computarizado, o tomando datos de documentos. Puede tener errores
humanos, que afectaran la producción de información.

 Transcripción: Radica en copiar manualmente los datos antes capturados, pero este

tiene posibilidades de contener errores y si es automáticamente mediante programas
de computación, es más fácil que no contenga error y si los hubiese no es por
transcripción, es que los datos fueron capturados así.
  Codificación: Simbolizamos datos mediante números, letras, caracteres especiales o
una mezcla de ellos, llamados códigos.

 Registro: Pruebas de los registros de los archivos para verificar la consistencia lógica,

la validación de condiciones y la razonabilidad de los montos de las operaciones.

CONTROLES INTERNOS
Se pueden definir el control interno como cualquier actividad o acción realizada manualmente
y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para conseguir sus objetivos.

Clasificación de los controles informáticos:

 Controles preventivos: para tratar de evitar el hecho, como un software de seguridad

que impida los accesos no autorizados al sistema.

 Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto
antes el evento.

 Controles correctivos: facilitan la vuelta a la normalidad cuándo se han producido

incidencias. La auditoria en informática debe ser respaldada por un proceso formal
que asegure su previo entendimiento por cada uno de los responsables de llevar a la
práctica dicho proceso en la empresa.

El uso de un proceso de trabajo metodológico y estándar en la función de auditoria

informática genera las siguientes ventajas:

1. Los recursos orientan sus esfuerzos a la obtención de productos de calidad, con

características y requisitos comunes para todos los responsables.

2. Las tareas y productos terminados de los proyectos se encuentran definidos y

formalizados en un documento al alcance de todos los auditores en informática.

3. Se facilita en alto grado la administración y seguimiento de los proyectos pues la

metodología obliga a la planeación detallada de cada proyecto bajo criterios
estándares.

4. Facilita la superación profesional y humana de los individuos, ya que orienta los

esfuerzos hacia la especialización, responsabilidad, estructuración y depuración de
funciones del auditor en informática.

5. Es un complemento clave en el desarrollo de cada individuo, ya que su formal

seguimiento, aunado a las habilidades, normas y criterios personales coadyuva al
cumplimiento exitoso de los proyectos de auditoria en informática
 6. El proceso de capacitación o actualización en el uso de un proceso metodológico es
más ágil y eficiente, dado que se trabaja sobre tareas y productos terminados
perfectamente definidos.

CONTROLES EXTERNOS

Los órganos de control fiscal externo son, a diferencia de los que realizan el control interno,
aquellos que no forman parte de la administración activa, ubicándose fuera de ella y sin que
exista ninguna especie de subordinación ó dependencia.

El control externo comprende la vigilancia, inspección y fiscalización ejercida por los órganos
competentes del control fiscal externo sobre las operaciones de las entidades sometidas a su
control.

Tales actividades deben realizarse con la finalidad de determinar el cumplimiento de las

disposiciones constitucionales, legales, reglamentarias ó demás normas aplicables a sus
operaciones, así como para determinar también el grado de observancia de las políticas
prescritas en relación con el patrimonio y la salvaguarda de los recursos de tales entidades.

De igual forma deben los órganos de control fiscal externo evaluar la eficiencia, eficacia,
economía, calidad de sus operaciones, con fundamento en índices de gestión, de
rendimientos y demás técnicas aplicables, evaluando además, el Sistema de Control Interno
y formular las recomendaciones necesarias para mejorarlo.

Para garantizar su independencia y buen funcionamiento, se fundamentan en principios los

cuales son:

 Capacidad financiera e independencia presupuestaria.

 Apoliticismo partidista.
 El carácter técnico de Control Fiscal.
 La oportunidad en el ejercicio del control y en la presentación de resultados.
 La economía en el ejercicio del control fiscal.
 La celeridad, y la participación ciudadana en la gestión contralora.

Concatenando estas características y principios, los órganos de control fiscal externo podrán,
al fin, gozar de plena autonomía hacia el logro de sus metas y objetivos.

El control de gestión  tiene rango constitucional y legal, ya que el control fiscal implica ahora
una investigación a fondo, con fines de evaluación permanente, de las actividades de los
entes y organismos sujetos a control, que a su vez permitirá la verificación de planes y
programas, así como él cumplimento y resultado de políticas y decisiones gubernamentales.

Controles de aplicación
 Los controles de aplicación permiten asegurar la completitud, exactitud, precisión, validez e
integridad de los datos, en el procedimiento de las transacciones a través de las aplicaciones
informáticas. Estos controles se implementan en las etapas de entrada, procesamiento y
salida de los sistemas informáticos. Los controles de aplicación se establecen para
proporcionar una seguridad razonable de que los objetivos que la gerencia establece sobre
las aplicaciones, se alcanzan. Los controles de aplicación consisten de actividades manuales
y/o automatizadas que aseguran que la información cumple con ciertos criterios los cuales
son:

 Efectividad
 Eficiencia
 Confidencialidad
 Integridad
 Disponibilidad
 Cumplimiento
 Confiabilidad

Estos controles se articulan típicamente a través de funciones específicas para la solución, la

definición de las reglas de negocio, para el procesamiento de la información y la definición de
procedimientos manuales de soporte.

Objetividad de los controles

1.Preparación y autorización de información puente: Asegurar que los documentos
fuente están preparados por el personal autorizado y calificado siguiendo los
procedimientos establecidos, teniendo en cuenta una adecuada segregación de
funciones respecto al origen y aprobación de estos documentos, detectar errores e
irregularidades para que sean informados y corregirlos.
2.Recolección y entrada de información fuente: Establecer que la entrada de datos se
realice en forma oportuna por personal calificado y autorizado. La corrección y reenvío
de los datos que fueron erróneamente ingresados se deben realizar son comprometer
los niveles de autorización de las transacciones originales. En donde sea apropiado
para la reconstrucción, retener los documentos fuente originales durante el tiempo
necesario.
3.Chequeo de exactitud, integridad y autenticidad: Asegurar que las transacciones son
exactas, completas y válidas. Validar los datos ingresados y editar o devolver para
corregir, tan cerca de punto de origen como sea posible.
4.Integridad y validez del procesamiento: Mantener la integridad y validación de los
datos a través del ciclo de procesamiento. Detectar transacciones erróneas y que no
interrumpan el procesamiento de transacciones válidas.
5.Revisión de salidas, reconciliación y manejo de errores: Establecer procedimientos y
responsabilidades asociadas para asegurar que la salida se maneja de forma
autorizada, entregada al destinatario apropiado, y protegida durante la transmisión,
 que se verifica, detecta y corrige la exactitud de la salida, y que se usa la información
proporcionada en la salida
6.Autenticación e integridad de transacciones: Antes de pasar datos de la transacción
entre aplicaciones internas y funciones de negocio/operativas, verificar el apropiado
direccionamiento, autenticidad del origen e integridad del contenido. Mantener la
autenticidad y la integridad durante la transmisión o el transporte.

Responsables del control

            Las auditorias no fueron diseñadas para ejercer el control, si no para velar que sea
realizado por quienes tienen la responsabilidad de ejercerlo en razón a sus competencias y
en relación con sus funciones. Así mismo, el control no es una oficina o dependencia, son
todos los elementos que hacen parte de la organización donde cada uno de ellos desempeña
un componente de control y son los dueños de los procesos quienes garantizan su
autocontrol, autogestión y autorregulación. En términos prácticos, estos son los controles que
garantizan el quehacer de las organizaciones:
1.Las normas: en la medida que la administración realice sus actuaciones conforme a
la ley y regulaciones, no incurrirán en desviaciones y sanciones que generan su
omisión.
2.La misión: la observancia de la naturaleza posibilita que todas las actuaciones estén
dirigidas a cumplir sus propósitos.
3.La planeación: permite controlar y demarcar las actuaciones de la organización para
el cumplimiento de sus objetivos, de una acertada planeación dependerá su
seguimiento y cumplimiento de metas e indicadores.
4.El perfil del talento humano comprometido y ético: posibilita que una vez
seleccionado y dirigido a las áreas y procesos de su competencia, se asegure la
calidad de los resultados
5.Los sistemas de información: las bases de datos de los clientes, así como la certeza
razonable de su contabilidad, presupuesto y demás productos financieros y
administrativos automatizados, permite proyectar futuras actuaciones y tomar las
mejores decisiones para la organización.
6.Los manuales: medio para formalizar y documentar los procesos y procedimientos
de la organización, como una manera de estandarizar con cierta precisión las
operaciones y responsabilidades de quienes manejan el quehacer organizacional.
7.Los archivos: memoria institucional que propicia las bases y soportes de actuaciones
pasadas para utilizarlas como experiencias en los proyectos futuros.
8.La alta dirección: de su estilo a través de policías y estrategias dependerá el
desempeño de la organización en su conjunto, lo que aunado a la administración del
riesgo implica la adopción de controles preventivos que posibilita la mitigación de
eventos irregulares y poco convenientes para la organización.
La responsabilidad del sistema del control interno de la organización recaerá sobre el
representante legal, no obstante, la aplicación de métodos, procesos y procedimientos, al
igual que la eficiencia, eficacia de las operaciones será de todos lo que hacen parte de la
organización en la medida de sus competencias y funciones.

Herramientas y técnicas de control

Las técnicas son los procedimientos que se usan en el desarrollo de un proyecto de auditoría
informática. Estas son algunas de las técnicas más comunes y aceptadas:
Análisis y diseño estructurado
Gráficas de Pert
Gráficas de Gantt
Documentación
Programación estructurada
Modulación de datos y proceso
Entrevistas

Las herramientas son el conjunto de elementos que permiten llevar a cabo las acciones
definidas en las técnicas. Las herramientas utilizadas son: cuestionarios, entrevistas,
checklist, trazas y software de interrogación.

Los cuestionarios: Es la herramienta punto de partida que permiten obtener

información y documentación de todo el proceso de una organización, que piensa ser
auditado. El auditor debe realizar una tarea de campo para obtener la información necesaria,
basado en evidencias o hechos demostrables. Inicia su trabajo solicitando que se
cumplimenten los cuestionarios enviados a las personas correspondientes, marcadas por el
auditor. Los cuestionarios no tienen que ser los mismos en caso de organizaciones distintas,
ya que deben ser específicos para cada situación. La fase de cuestionarios puede omitirse si
el auditor ha podido recabar la información por otro medio.

La entrevista: Se utiliza para obtener información más específica que la obtenida

mediante cuestionarios, utilizando el método del interrogatorio, con preguntas variadas y
sencillas, pero que han sido convenientemente elaboradas.

El checklist: Conjunto de preguntas respondidas en la mayoría de las veces oralmente,

destinados principalmente a personal técnico. Por estos motivos deben ser realizadas en un
orden determinado, muy sistematizadas, coherentes y clasificadas por materias, permitiendo
que el auditado responda claramente.
Existen dos tipos de filosofía en la generación de checklists:
De rango: las preguntas han de ser puntuadas en un rango establecido (por ejemplo,
de 1 a 5, siendo 1 la respuesta más negativa y 5 la más positiva)
Binaria: las respuestas sólo tienen dos valores cuya respuesta puede ser Si o No.

La primera filosofía permite una mayor precisión en la evaluación, aunque depende, claro
está, del equipo auditor. Los binarios, con una elaboración más compleja, deben ser más
precisos.

Las trazas: Se basa en el uso de software, que permiten conocer todos los pasos
seguidos por la información, sin interferir el sistema. Además del uso de las trazas, el auditor
utilizará, los ficheros que el próximo sistema genera y que recoge todas las actividades que
se realizan y la modificación de los datos, que se conoce con el nombre de log. El log
almacena toda aquella información que ha ido cambiando y como ha ido cambiando, de
forma cronológica.

El software de interrogación: Se utiliza productos software llamados genéricamente

paquetes de auditoría, capaces de generar programas. En la actualidad, los productos
software especial para la auditoría informática se orientan principalmente hacia lenguajes
que permiten la interrogación de ficheros y bases de datos de la empresa auditada
 Bibliografia:

Metodología de una auditoría de apoyo:

https://sites.google.com/site/auditoriaeninformaticacun/planeacion

Entrada, Proceso y Salida: https://audcontrolgrp4.weebly.com/entrada-procesamiento-y-

salida-de-informacioacuten.html

controles interno y externo : http://auditoria-de-sistemas-unefa.blogspot.com

controles de aplicación, objetivo de aplicación, respinsabilidad de control y herramienta de

control: https://curiosityaevelio.blogspot.com/2020/03/metodologia-metodologia-de-una.html