PAOLA CRUZZATT SOSA

GLOSARIO

1.- BASE CONSOLIDADA:

La Base de Datos Consolidada, también conocida como Corporativa, no es más

sino aquella que contiene toda la data de la organización, por consiguiente, todos
los registros de las bases de datos remotas.

Por otra parte, la Base de Datos Remota, es aquella que contiene sólo un
subconjunto de la base de datos consolidada.

Para compartir los datos entre ellas, se utiliza un proceso de sincronización

mediante Mobilink.

2.- DIVULGACIONES EN LOS ESTADOS FINANCIEROS: La contabilidad es la

base de la información financiera en la que se reflejan los derechos, las
obligaciones y los resultados obtenidos en fecha determinada, en los estados
financieros se encuentra condensada la información, para elaborarlo se efectuó
una clasificación y acumulación de operaciones afines, debido a que ésta
información es la fuente necesaria de datos y hechos para la toma de decisiones
gerenciales, así como de especial interés para accionistas y terceras personas
que deseen invertir en la empresa.

Las divulgaciones a los estados Financieros trata sobre la información que debe
presentarse en los estados financieros básicos, que son:

Balance General

Estado de Resultados

Estado de Utilidades Retenidas

Estado de Flujo de Efectivo

Y Cualquier otra información cuantitativa que produce la contabilidad, es utilizada

por los distintos interesados en la entidad para:

Observar y Evaluar su comportamiento

 Comparar sus resultados con otros períodos y con otras
entidades

Evaluar sus resultados a la luz de los objetivos

establecidos

Planear sus operaciones

La información contable de una entidad es base fundamental en las decisiones de

los accionistas actuales y potenciales, instituciones de crédito, deudores,
acreedores y terceros directa e indirectamente relacionados con dicha entidad.

El hecho de existir varios interesados en las entidades, determina que la

información contable sea de uso general y por lo tanto cumpla con el requisito de
utilidad para los mismos.

La información contable presentada en los estados financieros debe contener en

forma clara y comprensible los aspectos necesarios para que el usuario de dichos
estados pueda interpretarlos adecuadamente.

Los Estados Financieros de conformidad con principios de Contabilidad

generalmente aceptados, incluye la divulgación de los asuntos importantes
relacionados con la forma y contenido de los estados financieros y de las notas
que acompañan a éstos. Entre estas deben considerarse las clasificaciones, las
bases y cantidades presentadas.

El diccionario define el vocablo divulgar como publicar, extender o poner al

alcance del público algo. Es por eso que la función de comunicar y proporcionar
información contable se efectúa a través de las divulgaciones en los Estados
Financieros, para comunicar las situaciones que sean de interés.

Además de los usuarios, la profesión contable ha considerado necesario que la

información especial para una razonable presentación de los estados financieros
sea divulgada apropiadamente y que la misma se presente de conformidad con
principios de Contabilidad generalmente aceptados, ya que una presentación
distinta pudiera afectar las conclusiones a las que con base en dicha información
podría llegar el lector de los estados financieros. Los métodos que pueden
utilizarse para divulgar esta información en forma significativa son los siguientes:

Divulgaciones en el Cuerpo del Estado

 Notas a los Estados Financieros

Anexos que presenten Información suplementaria.

Divulgaciones en el Cuerpo del Estado: De por si solos los Estados Financieros

constituyen un medio efectivo de divulgación. Cuando su objetivo es presentar
información contable, esta debe ser presentada en forma clara y concisa, en el
propio cuerpo de los estados financieros a través de una adecuada clasificación y
segregación de cuenta y/o usando comentarios breves entre paréntesis, a
continuación de las cuentas que así lo ameriten. En la practica resulta casi
imposible mostrar en los Estados Financieros la totalidad de información que
podría ser requerida.

3.- ERRORES MATERIALES:

Los errores materiales son aquellos que por lo general provienen del cálculo
aritmético entre los precios unitarios y los respectivos sub-totales de una factura y;
en general, son aquellos errores que pueden apreciarse por su contenido sin que
éste incida en la especie, precio y cuantía de la mercancía y de ser el caso su
clasificación arancelaria.

El Código Tributario peruano establece en su artículo 78, entre otros, que la

Orden de Pago puede emitirse por tributos derivados de errores materiales de
redacción o de cálculo en las declaraciones, comunicaciones o documentos de
pago, además también se considera el error originado por el deudor tributario al
consignar una tasa inexistente.

En el INFORME N° 269-2003-SUNAT/2B0000 encontramos una definición

adoptada por la Administración respecto a este concepto:

Error material: Cuando una simple lectura de su texto origina duda sobre su
alcance, vigencia o contenido; implica que la decisión sea contraria a la lógica y al
sentido común (defecto en la redacción, error ortográfico, error de transcripción,
error de expresión). Un error atribuible no a las manifestaciones de voluntad o
razonamiento contenido en el acto sino al soporte material que lo contiene.

Este concepto proviene de la figura del error en la declaración de la voluntad. El

error material es mas bien una errata, una mera equivocación, al ser la
consecuencia de la equivocada manipulación de unos datos, obteniéndose con
ello un resultado contrario al una regla no jurídica (por ejemplo equivocación
artimética).

Según la doctrina para que se configure un "error material":

- El error se debe tratar de una simple equivocación de nombres, fechas,

operaciones matemáticas o transcripciones.

- El error tenga como base los datos del expediente en curso.

- Para detectar en forma clara el error no se requiera de la interpretación de

normas jurídicas.

- No existirá este tipo de error cuando se deba ejercer un juicio valorativo o

explicación de calificación jurídica.

4.- ESTIMACIONES CONTABLES: Por "estimación contable" se entiende la

determinación del importe de una partida en ausencia de normas o criterios
precisos para calcularla. Como ejemplos pueden citarse los siguientes:

· Provisiones para reducir las existencias y las cuentas a cobrar a su valor

estimado de realización.

· Amortizaciones que imputan el coste del activo fijo a lo largo de su vida

útil estimada.

· Impuestos anticipados y diferidos.

· Provisión para cubrir una pérdida que puede surgir en un litigio.

· Pérdidas en contratos de construcción en marcha.

· Provisiones para cubrir garantías

La determinación de una estimación contable puede ser simple o compleja,

dependiendo de la naturaleza de la partida. Por ejemplo, la imputación de un
cargo por alquiler puede apoyarse en un simple cálculo, mientras que la
estimación de una provisión para existencias de movimiento lento o la
determinación del exceso de valoración en los inventarios puede implicar un
análisis complejo de los datos actuales y un pronóstico de las ventas futuras.
 En las estimaciones complejas se requiere un elevado grado de
conocimientos especializados, así como el ejercicio del propio criterio
profesional.

Las estimaciones contables pueden determinarse como una parte de la rutina

del sistema contable, de manera repetitiva, o pueden ser no rutinarias,
apareciendo sólo al final del ejercicio. En muchos casos, se realizan
empleando una fórmula basada en la experiencia histórica, como puede ser la
utilización de tasas estándar para la depreciación de cada clase de activo fijo,
o porcentajes estándares sobre las ventas para calcular una provisión por
garantías post-venta.

En tales casos, la fórmula utilizada debe de ser revisada periódicamente por la

dirección, por ejemplo, evaluando nuevamente el período de vida útil restante
de los inmovilizados o comparando los resultados actuales con los estimados,
ajustándola cuando sea necesario.

La incertidumbre asociada con una partida, o la falta de información suficiente,

pueden imposibilitar la realización de una estimación razonable, en cuyo caso
el auditor ha de evaluar si su informe requiere salvedades o incluso una
opinión denegada, al objeto de cumplir con la norma técnica de auditoría sobre
informes.

5.- EVALUACIÓN DE RIESGO: El análisis o evaluación de riesgos se define

como el proceso de estimar la probabilidad de que ocurra un suceso y
determinar la magnitud de los efectos adversos – referentes a seguridad
durante un lapso especifico; determinado en este caso por el periodo de
ejecución y operación del proyecto.

Para una adecuada evaluación se debe considerar esencialmente la

naturaleza del riesgo, su facilidad de acceso, las características del factor a
ser efectuado o expuesto (receptor), la posibilidad de ocurrencia y la magnitud
de exposición y sus consecuencias, para de esta manera definir medidas
adecuadas que permitan minimizar los impactos que se puedan generar.

La evaluación de los riesgos consiste en la identificación y el análisis de los

riesgos relevantes para la consecución de los objetivos, y sirve de base para
determinar cómo han de ser gestionados los riesgos. Debido a que las
condiciones económicas, industriales, legislativas y operativas continuarán
cambiando continuamente, es necesario disponer de mecanismos para
identificar y afrontar los riesgos asociados con el cambio. “La entidad debe
conocer y abordar los riesgos con que se enfrenta, estableciendo mecanismos
para identificar, analizar y tratar los riesgos correspondientes en las distintas
áreas”.

Aunque para crecer es necesario asumir riesgos prudentes, la dirección debe

identificar y analizar riesgos, cuantificarlos, y prever la probabilidad de que
ocurran así como las posibles consecuencias.

La evaluación del riesgo no es una tarea a cumplir de una vez para siempre.
Debe ser un proceso continuo, una actividad básica de la organización, como
la evaluación continua de la utilización de los sistemas de información o la
mejora continua de los procesos.

Los procesos de evaluación del riesgo deben estar orientados al futuro,

permitiendo a la dirección anticipar los nuevos riesgos y adoptar las medidas
oportunas para minimizar y/o eliminar el impacto de los mismos en el logro de
los resultados esperados. La evaluación del riesgo tiene un carácter
preventivo y se debe convertir en parte natural del proceso de planificación de
la empresa.

Los objetivos relacionados con las operaciones, con la información financiera

y con el cumplimiento pueden ser explícitos o implícitos, generales o
particulares.

Una entidad puede identificar los factores críticos del éxito y determinar los
criterios para medir el rendimiento, estableciendo objetivos por actividad y
globales.

Los objetivos de control deben ser específicos, adecuados, completos,

razonables e integrados en los objetivos globales de la institución.

El análisis de los riesgo incluirá:

a) Una estimación de su importancia/trascendencia

b) Una evaluación de la probabilidad/frecuencia

c) Una definición del modo en que habrán de manejarse.

d) Las condiciones en que las entidades se desenvuelven suelen sufrir

variaciones por el cual se necesitan cambios para detectar y
encarar el tratamiento de los riesgos asociados con el cambio.

e) Aunque el proceso de evaluación es similar al de los otros riesgos

los cambios merecen afectarse independientemente dada su gran
 importancia y las posibilidades de que los mismos pasen
inadvertidos para quienes están inmersos en las rutinas de los
procesos.

Existen circunstancias que pueden merecer una atención especializada en

función del impacto potencial que plantean y estos son los siguientes:

 Cambios en el entorno.
 Redefinición de la política institucional.
 Reorganizaciones o estructuras internas.
 Ingreso de empleados nuevos, o rotación de los existentes.
 Nuevos sistemas , procedimientos y de tecnología.
 Aceleración del crecimiento.
 Nuevos productos, actividades o funciones.

6.- EVIDENCIA DE AUDITORÍA: El auditor obtendrá la certeza suficiente y

apropiada a través de la ejecución de sus comprobaciones de procedimientos
para permitirle emitir las conclusiones sobre las que fundamentar su opinión
acerca de la información financiera.

La fiabilidad de la evidencia está en relación con la fuente de la que se obtenga

interna y externa, y con su naturaleza, es decir, visual, documental y oral. No
obstante, aunque la fiabilidad depende de las circunstancias en las que se
obtiene, se pueden utilizar los siguientes puntos al evaluarla:

- La evidencia externa es más fiable que la interna.

- La evidencia interna es más fiable cuando los controles internos

relacionados con ellos son satisfactorios.

- La evidencia obtenida por el propio auditor es más fiable que la

obtenida por la empresa.

- La evidencia en forma de documentos y manifestaciones escritas es

más fiable que la procedente de declaraciones orales.

- El auditor puede ver aumentada su seguridad como la evidencia

obtenida de diferentes fuentes diferentes fuentes sea coincidente.

- Debe existir una razonable relación entre el coste de obtener una

evidencia y la utilidad de la información que suministra.
Un elemento fundamental se centra en el contenido definido como evidencia
suficiente y adecuada, en la que el auditor determina los procedimientos y
aplica las pruebas necesarias para su obtención.

Evidencia suficiente, se entiende por suficiente, aquel nivel de evidencia que

el auditor debe obtener a través de sus pruebas de auditoría para llegar a
conclusiones razonables sobre las cuentas anuales que se someten a examen.
Este profesional no pretende obtener toda la evidencia existente, sino aquella
que cumpla, a su juicio profesional, con los objetivos de su examen. En este
sentido, se puede llegar a una conclusión sobre un saldo,
transacción o control, realizando pruebas de auditoría mediante muestreo,
pruebas analíticas o a través de una combinación de ellas.

El nivel de evidencia a obtener por el auditor, referido a los hechos económicos

y otras circunstancias, debe estar relacionado con la razonabilidad de los
mismos y proporcionarle información sobre las circunstancias en que se
produjeron, con el fin de formarse el juicio profesional que le permita emitir una
opinión.

El juicio del auditor con respecto a lo que constituye una cantidad suficiente de
evidencia se ve afectado por factores como:

a) El riesgo de que existan errores en las cuentas.

b) La importancia relativa de la partida analizada con el conjunto de la

información financiera.

c) La experiencia adquirida en auditorías precedentes en la entidad.

d) Los resultados obtenidos de los procedimientos de auditoría,

incluyendo fraudes o errores que hayan podido ser descubiertos.

e) La calidad de la información económico-financiera disponible.

f) La confianza que le merezcan la dirección de la entidad y sus

empleados.

Evidencia adecuada, es una característica cualitativa, está relacionada con su

relevancia y fiabilidad.

Es necesario confiar en evidencias que son más convincentes que

concluyentes, por tanto, con frecuencia puede buscar evidencia de diferentes
fuentes o de distinta naturaleza para apoyar un mismo hecho o dato. La
evidencia es adecuada cuando sea pertinente para que el auditor emita su juicio
profesional.
 El auditor en tal situación debe valorar que los procedimientos que aplica para
la obtención de la evidencia sean los convenientes en cada circunstancia.

Las normas de auditoría ponen de manifiesto que el auditor deberá obtener la

evidencia suficiente y adecuada para conseguir una base razonable que le
permita formarse una opinión sobre la información financiera examinada.

El auditor deberá obtener la evidencia para la auditoría a través de:

  - Las pruebas sustantivas: que tratan de obtener esa evidencia referida a la

información financiera auditada. Están relacionadas con la integridad, la
exactitud y la validez de la información financiera auditada.

- Las pruebas de cumplimiento, que tratan de obtener evidencia de que se

están cumpliendo y aplicando correctamente los procedimientos de control
interno existentes. Una prueba de cumplimiento, es el examen de la
evidencia disponible de que una o más técnicas de control interno están en
operación o actuando durante el período auditado. Estas pruebas tratan de
obtener evidencia de que los procedimientos de control interno, en los que
el auditor basa su confianza en el sistema, se aplican en la forma
establecida.

La evidencia de auditoría se obtiene, a través de pruebas de cumplimiento

y sustantivas, mediante el uso de uno o más de los siguientes métodos:

a) Inspección: consiste en la revisión de la coherencia y concordancia de los

registros contables, así como en el examen de los documentos y activos
tangibles.

b) La observación: consiste en ver la ejecución de un proceso o

procedimiento efectuado por otros. En este sentido un ejemplo es cuando
el auditor puede observar cómo el personal de la entidad realiza un
inventario físico o la aplicación de un control.

c) Las preguntas: obtienen información apropiada de las personas de dentro y

fuera de la entidad. Las preguntas abarcan desde las formuladas por
escrito a terceros ajenos a la entidad hasta las hechas oralmente al
personal de la misma. Las respuestas a estas preguntas pueden
corroborar la evidencia obtenida anteriormente o proporcionar información
que no se poseía, sin perjuicio de su posterior contraste si el auditor lo
considera necesario.
 d) Las confirmaciones: mediante ellas se obtiene corroboración, normalmente
por escrito, de una información contenida en los registros contables, así
como la carta con las manifestaciones del cliente. Por ejemplo, el auditor,
normalmente, deberá solicitar confirmación de saldos o transacciones a
través de la comunicación directa con terceros (clientes, proveedores,
entidades financieras, etc.).

e) Los cálculos: comprueban la exactitud aritmética de los registros contables

y de los cálculos y análisis realizados por la entidad o en la realización de
cálculos independientes.

f) Las técnicas de examen analítico: comparan los importes registrados con

las expectativas desarrolladas por el auditor al evaluar las interrelaciones
que razonablemente pueden esperarse entre las distintas partidas de la
información financiera auditada, estudio de los índices y tendencias más
significativos, investigación de variaciones y transacciones atípicas,
análisis de regresión, cálculos globales de razonabilidad de saldo respecto
a ejercicios anteriores y presupuestos, etc.

La evidencia obtenida se deberá recoger en los papeles de trabajo de

auditoría como justificación y soporte del trabajo efectuado. Un matíz
importante y particular, dentro de la problemática de la Evidencia en
general, es aquel que determina los aspectos determinantes de una
Evidencia relativa y riesgo probable.

6.- JUICIO DEL AUDITOR: El juicio del auditor con respecto a las situaciones a
informar, varía en cada trabajo y está influenciado por la naturaleza y extensión
de los procedimientos de auditoria y otros factores, tales como el tamaño de la
entidad, su complejidad y la naturaleza y diversificación de sus actividades.

Esta comunicación se debe hacer con personas de alto nivel de autoridad y

responsabilidad, tales como el Consejo de Administración, el dueño de la
empresa o con quienes hayan contratado al auditor.

Como parte de su trabajo, el auditor debe además, proporcionar sugerencias

que permitan mejorar la estructura de control interno existente.

El auditor también podrá identificar asuntos que a su juicio no sean

estrictamente situaciones a informar o bien sean poco importantes y tendrá que
decidir si comunica o no estos asuntos en beneficio de la administración.
7.- La importancia relativa: Se puede considerar como la magnitud error en la
información financiera que bien individualmente o en su conjunto, hace probable
que el juicio de una información, se hubiera visto influido o su decisión afectada
como consecuencia error u omisión. La emisión de una opinión favorable por el
auditor supone que las cuentas están libres de errores u omisiones importantes,
por ello, el auditor no tiene obligación de examinar todas y cada una de las
transacciones realizadas por la entidad auditada, por tanto, es necesario recurrir
al de importancia relativa para determinar el alcance del trabajo a realizar y
evaluar el efecto de las distintas circunstancias que pudieran incidir en su
informe.

8.- LUCRO CESANTE: El lucro cesante es una forma de daño patrimonial que
consiste en la pérdida de una ganancia legítima o de una utilidad económica por
parte de la víctima o sus familiares como consecuencia del daño, y que ésta se
habría producido si el evento dañoso no se hubiera verificado. Es, por tanto, lo
que se ha dejado de ganar y que se habría ganado de no haber sucedido un
daño.

El lucro cesante ocurre cuando hay una pérdida de una perspectiva cierta de
beneficio. Por ejemplo, el comerciante cuya mercancía ha sido destruida puede
reclamar el precio de la misma, así como el beneficio que hubiera obtenido.

Si bien se admite generalmente la indemnización por lucro cesante, la

jurisprudencia suele exigir una carga probatoria mucho mayor, y son mucho
más cautelosos a la hora de concederla.

Requisitos para que se pueda conceder una indemnización por lucro

cesante, la jurisprudencia exige dos requisitos:

Que el lucro cesante exista y pueda ser probado, junto con su relación directa
con el daño causado. Este es el requisito más difícil.
Que pueda ser determinado económicamente la cuantía que se ha dejado de
percibir. Por ejemplo, si una persona no pudo trabajar durante un mes por culpa
de un daño causado, el lucro cesante sería su sueldo durante un mes (menos,
en su caso, las pensiones que hubiera podido percibir).

Determinación
Los tribunales no han fijado un criterio único, y depende en gran medida de las
circunstancias y de las pruebas del caso concreto. Si el daño ha sido dentro de
una relación contractual, dependerá también de los términos pactados en el
contrato.
9.- POLÍTICAS CONTABLES: Las políticas contables comprenden los principios,
bases, convenciones, reglas y prácticas específicas adoptados por una
empresa para la preparación y presentación de sus estados financieros.

En la preparación y presentación de los estados financieros se reconocen entre

las políticas contables fundamentales las siguientes:

a) Uniformidad en la Presentación:

Las políticas contables utilizadas para preparar y presentar los estados

financieros deben ser aplicadas de manera uniforme de un ejercicio a otro,
salvo que el cambio en dichas políticas contables resulte de una variación
significativa en la naturaleza de las operaciones de la empresa; o una
revisión de la presentación de sus estados financieros demuestre que dará
lugar a una presentación más apropiada de los mismos; o que el cambio sea
requerido por una NIC, en cuyo caso se debe revelar por medio de una nota
aclaratoria el efecto en los estados financieros.

b) Importancia relativa y Agrupación:

Las transacciones y otros eventos deben revelarse considerando su

importancia relativa en los estados financieros. Se consideran importantes
cuando, debido a su naturaleza o cuantía, su conocimiento o
desconocimiento, puede alterar significativamente las decisiones económicas
de los usuarios de la información.

Para decidir si una partida o conjunto de partidas es importante, debe

evaluarse conjuntamente su naturaleza y magnitud. Dependiendo de las
circunstancias, el factor determinante puede ser la naturaleza o la magnitud
de la partida con relación a cada uno de los estados financieros.

Para efectos de presentación, los importes de partidas que no sean

significativos deben agruparse con otros de naturaleza o función similar, no
siendo necesario presentarlos separadamente

10.- RIESGO: De acuerdo al diccionario de la Real Academia Española, "riesgo"

significa "contingencia o proximidad de un daño". La declaración No. 9 sobre las
normas para la práctica profesional de la auditoría interna (SIAS 9), emitida por
el Instituto Americano de Auditores Internos, señala al riesgo, como "la
posibilidad de que un evento o acción pueda afectar en forma adversa a la
 organización". Riesgo es el potencial de resultados negativos,la generalidad de
las empresas pueden verse expuestas a diversos tipos de riesgos que pueden
resumirse en los siguientes:

· Contabilidad errónea o inapropiada.

· Pérdida o destrucción de activos fijos o recursos financieros.

· Costos excesivos/Ingresos deficientes.

· Sanciones legales.

· Fraude o robo.

· Decisiones erróneas de la gerencia.

· Interrupción del negocio. Deficiencias en el logro de objetivos y

metas.

· Desventaja ante la competencia. Desprestigio de imagen.

De acuerdo con la lista anterior, se puede decir que los riesgos son fácilmente
identificables; sin embargo, las causas que propician su aparición, pueden ser
múltiples y de índole muy diversa. Una misma causa puede generar más de un
tipo de riesgo.

Los riesgos no se originan por la falta de controles, estos existen por sí mismos
y se presentan cuando son causados.

Los controles se establecen para reducir o evitar las causas.

11.- RIESGO PROBABLE: Las normas técnicas sobre ejecución del trabajo,
consideran riesgo probable la posibilidad de que el auditor no detecte un error
significativo que pudiera existir en las cuentas por falta de evidencia respecto
a una determinada partida o por la obtención de una evidencia deficiente o
incompleta sobre la misma. Deben diseñarse y ejecutarse procedimientos de
auditoría que resultan en un riesgo reducido y aceptable de que la opinión que
se exprese sobre las cuentas anuales sea inadecuada. Para la evaluación del
riesgo probable se debe considerar el criterio de importancia relativa al ser
interdependientes en cuanto al fin de la formación de juicio para la emisión de
una opinión. Las decisiones a adoptar basadas en tales evaluaciones, al ser
también interdependientes, se deben juzgar y evaluar de forma conjunta y
acumulativa. Sin lugar a dudas, y conforme a lo mencionado, es necesario
 tratar de manera singular la Justificación documental suficiente. Hay que
asegurarse de que las pruebas documentales o las justificaciones que
amparan sus conclusiones son suficientemente válidas.

12.- SEGURIDAD RAZONABLE: La definición de "seguridad razonable" varía

dependiendo del contexto en el que sea usada. La seguridad razonable que
ofrece un sistema de control interno efectivo representa un nivel de seguridad
no absoluta, pero sí provee a la persona competente en materia de control
interno con una base sólida para concluir si es probable que los objetivos de la
organización sean logrados.

13.- VALOR DE PARTICIPACIÓN PATRIMONIAL: Es el valor que resulta de

dividir el patrimonio neto de una empresa entre el porcentaje de propiedad que
tiene quien haya invertido en acciones o participaciones del capital de ella.
(Resolución Nº 002-90-EF/93.01, Metodología de Ajuste Integral de los
Estados Financieros por Efecto de Inflación, publicada el 25 de noviembre de
1990).
DICTAMEN DE AUDITORÍA DE SISTEMAS
TOTAL ARTEFACTOS S.A.

PRÁCTICA DE AUDITORÍA DE SISTEMAS AL 31 DE MARZO DEL 2011.

DICTAMEN DE LOS AUDITORES INDEPENDIENTES

 MOORE STEPHENS

Av. El Polo N°670, oficina 602

Centro Empresarial El Polo II

Surco.

TOTAL ARTEFACTOS S.A.

SISTEMAS DE INFORMACIÓN JUNTO CON EL DICTAMEN DE LOS AUDITORES

INDEPENDIENTES
 MOORE STEPHENS

Av. El Polo N°670, oficina 602

Centro Empresarial El Polo II

Surco.

DICTAMEN DE LOS AUDITORES INDEPENDIENTES

A los Accionistas y Directores:

TOTAL ARTEFACTOS S.A.

1. Hemos auditado los sistemas de información de TOTAL ARTEFACTOS S.A.,

una subsidiaria peruana de LFLP Holding LLC (USA), que se han venido
utilizando normas y métodos ajustados al nivel de desarrollo tecnológico del
momento.

Responsabilidad del Auditor Informático sobre los Sistemas de información:

2. El auditor informático tiene triple responsabilidad: en primer lugar debe poner

de manifiesto a la dirección de la empresa los importantes cambios que se
están produciendo, y los riesgos asociados que se han de tener en cuenta
(aconsejar). En segundo lugar, con anterioridad a la puesta en funcionamiento
de estas nuevas tecnologías, el auditor debe asegurarse de que los controles
que se hayan implementado, o se vayan a implementar, son los adecuados.
En tercer lugar el Auditor debe evaluar la efectividad de los nuevos controles
como consecuencia de la utilización de estas tecnologías (comprobar). El
desarrollo de nuestra auditoría se basa en la aplicación de normas, técnicas y
procedimientos de auditoría.

El presente examen fue realizado de conformidad con las normas de auditoría

informática generalmente aceptadas (NAIGA), habiéndose practicado los
siguientes procedimientos:
 I. Análisis y estudio del área informática:

- Entorno Software general: programas y aplicaciones.

- Entorno Hardware: equipos y accesorios.
- Análisis FODA: Fortalezas, Oportunidades, Debilidades y
Amenazas.

II. Análisis de la documentación proporcionada:

Por el responsable de los equipos de cómputo:

- Políticas, manuales y procedimientos.

- Inventarios y listado de registros de los equipos.

III. Entrevistas concertadas:

- A 5 miembros del personal laboral del área administrativa:

dirección, secretaría, contabilidad, estadística y sistemas.

- Responsable de los equipos de cómputo.

IV. Requerimientos de información:

- Información general del servicio de Sistemas.

- Descripción del hardware.
- Sistemas de seguridad.
- Aplicaciones.

V. Elaboración de cuestionarios:

Los cuestionarios han sido elaborados tomando en cuenta los

aspectos generales que se puede abarcar en esta práctica de
auditoría, tales como el conocimiento de las principales
dificultades que se presentan en la administración de los
equipos de cómputo y el requerimiento de recursos.

Nuestras auditorías fueron realizadas de acuerdo a las normas personales,

normas para realizar el trabajo, y normas para elaborar los informes. Las
normas personales se refieren a la independencia y formación del auditor, por
tanto ponen de manifiesto las características, los conocimientos, la experiencia
y el comportamiento ético del auditor que ha de tener para que pueda
desarrollar, de manera satisfactoria, la función de auditoría; las normas
técnicas sobre ejecución del trabajo comprende la planificación (análisis de
riesgo, desarrollo de un plan global relativo al ámbito y a la realización de la
auditoría, preparación del programa de auditoría), el estudio y evaluación del
sistema de control interno (controles generales: controles de la organización,
controles sobre el desarrollo de los sistemas y su documentación, controles
sobre el software del sistema y sobre el hardware, controles de acceso,
controles sobre los procedimientos y sobre los datos; controles sobre las
aplicaciones: controles de entradas, controles del proceso, controles de las
salidas) y la evidencia.

El auditor obtiene evidencia suficiente y adecuada, mediante la realización y

evaluación de las pruebas de auditoría que se consideren necesarias, al
objeto de obtener una base de juicio razonable, sobre los datos que se
examinan y poder expresar una opinión respecto de las mismas.

La evidencia suficiente, es una característica cuantitativa de la evidencia. Se

entiende por tal el nivel de evidencia que el auditor obtiene a través de sus
pruebas de auditoría para llegar a conclusiones razonables.

La evidencia adecuada, es una característica cualitativa de la evidencia. La

evidencia es adecuada cuando es útil para que el auditor pueda emitir su
opinión profesional.

La evidencia se ha obtenido de los manuales de organización de la empresa,

los manuales de procedimientos del centro de proceso de datos, el manual de
auditoría interna de la empresa, de informes y escritos de auditorías
anteriores, del plan de auditoría de la empresa a corto y largo plazo, de las
actas de las reuniones de la dirección, de los manuales de las características
de los equipos, instalaciones, programas y ficheros de datos, de los
organigramas de la empresa, de confirmaciones externas, del archivo
permanente de los auditores internos, de entrevistas con el personal de la
empresa.

Los informes de auditoría están ajustados a los principios y normas de

auditoría informática generalmente aceptados (NAIGA), emitidas por
“Electronic Data Processing Auditor Foundation” (EDPAF), así como las
normas de “General Standards for information Systems Auditing” de la
fundación EDPAF. Así también se tomó en consideración la aplicación de las
siguientes normas:

Normas Internacionales de Auditoría emitidas por IFAC (International

Federation of Accountants), la NIA (Norma Internacional de Auditoría o
International Standards on Auditing, ISA) 15 y 16, donde se establece la
necesidad de utilizar otras técnicas además de las manuales.

Norma ISA 401, sobre Sistemas de Información por Computadora. SAS No. 94
(The Effect of Information Technology on the Auditor's Consideration of
Internal Control in a Financial Statement audit) dice que en una organización
que usa Tecnologías de Información, se puede ver afectada en uno de los
siguientes cinco componentes del control interno: el ambiente de control,
evaluación de riesgos, actividades de control, información, comunicación y
monitoreo además de la forma en que se inicializan, registran, procesan y
reporta las transacciones.

La norma SAP 1009 (Statement of Auditing Practice) denominada Computer

Assisted Audit Techniques (CAATs) o Técnicas de Auditoría Asistidas por
Computador, plantea la importancia del uso de CAAT en auditorías en un
entorno de sistemas de información por computadora.

SAP 1009 los define como programas de computadora y datos que el auditor
usa como parte de los procedimientos de auditoría para procesar datos de
significancia en un sistema de información.

SAP 1009 describe los procedimientos de auditoría en que pueden ser usados
los CAAT:

- Pruebas de detalles de transacciones y balances (recálculos de intereses,

extracción de ventas por encima de cierto valor, etc.)
- Procedimientos analíticos, por ejemplo identificación de inconsistencias o
fluctuaciones significativas.
- Pruebas de controles generales, tales como configuraciones en sistemas
operativos, procedimientos de acceso al sistema, comparación de códigos
y versiones.
- Programas de muestreo para extraer datos.
- Pruebas de control en aplicaciones.
- Recálculos.

Según SAP1009, en su párrafo 26 :

El software de auditoría consiste en programas de computadora usados por el

auditor, como parte de sus procedimientos de auditoría, para procesar datos
de importancia de auditoría del sistema de contabilidad de la entidad. Puede
consistir en programas de paquete, programas escritos para un propósito,
programas de utilería o programas de administración del sistema.
 Independientemente de la fuente de los programas, el auditor deberá verificar
su validez para fines de auditoría antes de su uso.

También en el desarrollo de nuestra auditoría hemos aplicado técnicas

(estudio general, análisis de datos: comparación, comparación de programas,
mapeo y rastreo de programas, análisis de código de programas, datos de
prueba, datos de prueba integrados, análisis de bitácoras, simulación paralela;
inspección, confirmación, investigación, declaración, certificación, observación,
cálculo) ,procedimientos de auditoría (obtener conocimientos del control
interno, analizar las características del control interno, verificar los resultados
de control interno, fundamentar conclusiones de la auditoría), procesos de
monitoreo (monitoreo del proceso, evaluar lo adecuado del control interno,
obtención de aseguramiento independiente, proveer auditoría independiente),
las técnicas de auditoría asistidas por computadora CAAT (Computer Audit
Assisted Techniques) son de suma importancia para el auditor cuando realiza
una auditoría que incluyen distintos tipos de herramientas y de técnicas, las
que más se utilizan son los software de auditoría generalizado, software
utilitario, los datos de prueba y sistemas expertos de auditoría. Las CAAT se
pueden utilizar para realizar varios procedimientos de auditoría incluyendo:

 Prueba de los detalles de operaciones y saldos.

 Procedimientos de revisión analíticos.
 Pruebas de cumplimiento de los controles generales de sistemas
de información.
 Pruebas de cumplimiento de los controles de aplicación.

Opinión

4. En nuestra opinión las áreas auditadas como:

I. Entorno de Hardware:

a. Servidor: Las características de hardware del servidor son de una calidad

superior a la de los demás computadores usados por el personal
correspondiente, por lo que el desempeño del equipo que hace de servidor
es óptimo.

La recomendación es aumentar la capacidad, mejorar las características de

memoria y la velocidad del procesador en el equipo de Rayos X, ya para
evitar posibles fallas al momento de administrar la gran cantidad de
información que se genera en ese departamento.
 b. Requerimiento de un UCP: Se pudo notar que la no existencia de un sistema
de control para fallos de energía eléctrica, y sumándole además la crisis
energética por la que atraviesa nuestro país en la actualidad, puede
ocasionar daños en las máquinas y pérdida de la información. Para
contrarrestar estos problemas, es conveniente adquirir un sistema UPC para
proteger los equipos de los inesperados cortes del fluido eléctrico.

II.Entorno Software
a. Programas y utilitarios:

A continuación se muestran algunas observaciones respecto a programas

necesarios que deberían ser optimizados para agilizar los procesos y evitar
pérdidas de tiempo:

Utilitarios importantes Estado Observaciones

Office 2010: Word, Bueno Mantenimiento frecuente

Excel,Concar

Internet Bueno Se debe bloquear el

Messenger y evitar la
descarga de programas
pesados que podrían
entorpecer a las
máquinas.

Antivirus Regular No existe en todas las

máquinas y en algunas
hace falta la
actualización del
antivirus.

SIF Bueno Presenta varios errores,

necesita mantenimiento
continuo.

b. Programas mal instalados:

Algunas máquinas tienen programas mal instalados, como por ejemplo el

Office 2007 el cual para activar una de sus funciones especiales, solicita el
CD de instalación; por lo que se recomienda que la instalación de este tipo
 de software se lo haga completamente y de manera correcta, para evitar
pérdidas de tiempo a los usuarios, a menos que esto implique someter a la
máquina a trabajar con bajo rendimiento.

c. Protección antivirus:

Actualmente se utiliza en la mayoría de las máquinas el antivirus AVG 8.5 y

en otras el Avira, el problema radica en que estos antivirus se los debe
actualizar regularmente ya que de no hacerlo, la máquina puede estar en
peligro al no estar totalmente protegida. Si bien es cierto que no todos los
antivirus son efectivos, se recomienda que el antivirus que se utilice en un
equipo sea actualizado una vez a la semana y configurarlo para que realice
revisiones completas.

d. Actualizaciones:

Las actualizaciones deben ser periódicas, para equipos y software,

siguiendo los parámetros establecidos por la institución; estos pueden ser
frecuencia y tipo de actualización, además del cuidado que se debe tener
con los computadores una vez que han sido actualizados, etc.

III. Aspecto de Seguridad general:

a. Riesgos en los equipos de cómputo:

La mayoría de las máquinas se encuentran mal ubicadas en sus

respectivas oficinas, los monitores están directamente a la luz solar y
algunos CPUs están colocados en el piso. Se recomienda que los
equipos sean reubicados en un lugar seguro, que facilite el ambiente de
trabajo para los usuarios, y que los componentes de las máquinas sean
colocadas es su respectivo lugar para evitar daños.

Debe hacerse un mantenimiento preventivo más frecuente a las máquinas

y actualizar el antivirus, además de dar recomendaciones generales para
el buen uso de los equipos.
IV. Servicio

a. Distribución de los equipos:

La ubicación de los equipos de cómputo, para algunos usuarios, no es
viable. Esta incorrecta ubicación hace que las máquinas ocupen más
espacio físico de lo necesario, a más de correr el riesgo de dañarse o sufrir
daños en su estructura. Lo que se debería hacer es reubicar y distribuir de
manera óptima los equipos en su respectivo espacio asignado y brindar un
mejor ambiente de trabajo al usuario.

b. Elaboración de manuales de procedimiento :

No existen manuales de procedimiento para el buen uso de las máquinas y
sus componentes, además no se cuenta con un manual de usuario del
Sistema Hospitalario por lo que se recomienda elaborar los respectivos
manuales avalados por el director del Centro Ambulatorio y que sirvan de
ayuda al personal laboral y a quienes hagan de técnicos de sistemas.

V. RECOMENDACIONES:

1. Ampliar la capacidad, mejorar las características de memoria y la

velocidad del procesador en los equipos.

2. Adquirir e instalar un sistema UPC de seguridad eléctrica para proteger

los equipos de los inesperados cortes del fluido eléctrico.

3. Optimizar los programas y aplicaciones necesarias para agilizar los

procesos y evitar pérdidas de tiempo.

4. Instalar software completamente y de manera correcta, ordenar en un sitio

seguro los CD’s instaladores.

5. Actualizado el antivirus una vez a la semana y configurarlo para que realice

revisiones completas.

6. Las actualizaciones deben ser periódicas, para equipos y software.

7. Reubicar los equipos en un lugar seguro, y colocar los componentes de las

máquinas en su respectivo lugar para evitar daños.
8. Instar a los usuarios sobre el buen uso y cuidado de los equipos.

9. Hacer un seguimiento continuo a la conexión por parte del técnico .

10. Elaborar los manuales de procedimiento y de uso del Sistema.

Lima, Perú

31 de marzo de 2011

Refrendado por

Jaime Vizcarra Moscoso (Socio)

Contador Público Colegiado

Matrícula Nº 6847