Introducción

En el mundo globalizado de la actualidad se debe incrementar es la productividad, el

control, la seguridad y la confidencialidad, para tener la información necesaria en el
tiempo y en el lugar adecuado para poder tomar las mejores decisiones en los
procedimientos de la auditoria que han sido necesarios para las empresas, instituciones
públicas o privadas, ya que todos esos tipos de organizaciones cuenten con un sistema
documental de sus procedimientos, técnicas y funciones. A la utilización de las
computadora para llevarla en la ejecución de la auditoria, se debe tomar en cuenta las
herramientas que permitirán ampliar la cobertura y así poder reducir el tiempo, costo de
las pruebas y procedimientos del muestro, para que nos permita elaborar una auditorias a
sistemas financiero y contables. Ya que es el soporte del sistema de gestión de la calidad y
planificación, pues en ella se plasman no solo las formas de operar de la organización sino
toda la información que permite el desarrollo de todos los procesos.

Sin embargo, en muchas organizaciones, los sistemas de información basados en

computadoras son el corazón de las actividades cotidianas y objeto de gran consideración
en la toma de decisiones, las empresas consideran con mucho cuidados las capacidades de
sus sistemas de información cuando deciden ingresar o no en nuevos mercados o cuando
planean la respuesta que darán a la competencia.

Metodología de una auditoría de apoyo

Existen algunas metodologías de auditorías de sistemas y todas dependen de lo que se
pretenda revisar o analizar, o de acuerdo con la filosofía y técnica de cada organización y
departamento de auditoría en particular. Sin embargo, existen ciertas técnicas o
procedimientos para una auditoria de apoyo pero como estándar podemos nombrar
algunas fases básicas:

Estudio preliminar efectuando observaciones a la unidad informática para conocer datos

de la misma, solicitando el plan de actividades, manuales de políticas, reglamentos,
entrevistas con los principales funcionarios. si están operando sistemas avanzados de
computación, como procedimientos en línea, base de datos, se podría evaluar el sistema
empleando técnicas avanzadas de auditoría, revisión y evaluación de controles y
seguridades revisando procesos de documentación y archivos, realizando y examen
detallado de áreas críticas estableciendo los motivos, objetivos, alcance de recursos la
duración de la auditoria, y seguidamente comunicación de resultados elaborando un
borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al
informe definitivo, destacando los problemas encontrados, los efectos y las
recomendaciones de la auditoría.

Actividades de aplicación (entradas, procesos, salidas)

Tienen por objeto probar la integridad y la exactitud de las transacciones procesadas
mediante la tecnología de la información, así como garantizar la confiabilidad de la salida
de esta tecnología, la conciliación de los totales de control generados por el sistema con
los obtenidos en la fase de entrada constituye un aspecto importante. En algunos
sistemas, con un repaso y pruebas exhaustivas el departamento de usuario mide la
confiabilidad de la salida proveniente del departamento de los sistemas de información.

Procedimientos de control entrada:

Controles de acceso: asegura que los datos inscritos al sistema son los autorizados y están
las responsabilidades para el cambio de datos, la responsabilidad de los datos es
conjuntamente compartida por alguna organización y la dirección de informática.

Control de secuencia: los registros de las transacciones llevaran un número para

identificarlos que sean consecutivos, por lo que no pueden haber duplicados
principalmente en el caso de redes y de bancos de datos, no puede haber intervalos vacíos
de secuencia.

Control de límite: se verifican los límites de valores que puede asumir una variable de
entrada y que se rechazara o advertirá en caso no cumpla con los límites establecidos.

Control de rango: es similar al anterior, pero se trata de un par de límites.

Control de paridad: se utiliza para verificar una transmisión de datos (que puede ser la
fuente para el ingreso de datos a otro sistema).

Control de validez: consiste en suponer como válidos aquellos campos codificados con
valores establecidos.

Control de razonabilidad: los datos inscritos se contrastan con límites de razonabilidad.

Control de existencia: es un control que sirve para validar un dato que ingresa al sistema y
además asegura que el proceso sea con un orden establecido.

Control de integridad: consiste en que un campo siempre debe contener datos, no puede
estar vacío, etc.

Procedimientos de control de procesos:

Recálcalos manuales: consiste en re calcular manualmente una muestra de las
transacciones a fin de asegurar que el procesamiento está realizando la tarea esperada.

Edición: consiste en comprobar que el input de datos es correcto, aquí se interpreta el

paso de input como parte del proceso.

Verificación de razonabilidad de cifras calculadas: consiste en probar la razonabilidad de

los resultados de las transacciones para asegurarse de la adecuación a criterios
predeterminados.

Verificación de la cantidad de registros procesados probando los resultados producidos en

la aplicación con datos de prueba contra los resultados que fueron obtenidos inicialmente.

Manejo de archivo de errores para su posterior investigación.

Verificación por rangos de fechas o períodos.

Aprobación electrónica: para que un determinado registro pase de un estado a otro por la
autorización de un usuario diferente al que genero el registro.

Archivos de seguimiento: que permiten identificar el status de una determinada operación

en un momento determinado.

Procedimientos de salida:

Resguardo de formularios negociables, sensibles o críticos: deben ser debidamente

controlados en un listado de formularios recibidos, utilizados y dando razón de las
excepciones, rechazos y para protegerlos de robo o daño.

Autorización de distribución: las opciones de reporte del sistema deben estar de acuerdo
con las funciones que tiene el usuario en el sistema y ser controlado por los accesos
definidos en el sistema.

Estructura estándar de los formatos de los reportes: como son el número de páginas, la
hora, fecha, nombre del programa que lo produce, cabeceras, etc.

Cuando la información es necesaria, puede localizarse y recobrarse manualmente del área

de almacenamiento físico. En las aplicaciones computarizadas la mayoría de los archivos
están en medios magnéticos deben utilizarse programas extractivos para recobrar la
información de tales medios, los cuales son normalmente muy rápidos y exactos, por
ejemplo, en el caso de base de datos.
Actividades sujetas a control (captura, registro, codificación,
transcripción, etc.)
Estas actividades se usan al procesar una aplicación. Se relacionan con la utilización de la
tecnología de la información para iniciar, registrar, procesar y comunicar las transacciones
u otros datos financieros. Inician con los requisitos de la autorización apropiada de las
transacciones a procesar. Cuando los datos correspondiente se registrar originalmente en
documentos fuentes de hojas impresas ventas por ejemplo, quien lo inicialice pueden
indicar la autorización. En sistema en línea, los datos referentes a las transacciones
pueden introducirse directamente al usuario de las terminales una identificación que se
introduce antes que el sistema acepte datos. El sistema operativo a de conservar un
registro de actividades en cada terminal que será revisada después por el grupo de control
en busca de evidencia de uso no autorizado.

Captura: es la entrada de datos originales al sistema. Puede ser un nuevo registro de un

archivo computarizado, o tomando datos de documentos. Puede tener errores humanos,
que afectaran la producción de información.

Transcripción: radica en copiar manualmente los datos antes capturados, pero este tiene
posibilidades de contener errores y si es automáticamente mediante programas de
computación, es más fácil que no contenga error y si lo hubiere no es por transcripción, es
que los datos fueron capturados así.

Codificación: simbolizamos datos mediante números, letras, caracteres especiales o una

mezcla de ellos, llamados códigos.

Registro: pruebas de los registros de los archivos para verificar la consistencia lógica, la
validación de condiciones y la razonabilidad de los montos de las operaciones.

Control interno
Desempeña una importante función al participar en los planes a largo plazo y en el diseño
detallado de los sistemas y su implantación, detecta las irregularidades y errores,
contribuyendo a la seguridad del sistema contable que se utiliza en la empresa, fijando y
evaluando los procedimientos administrativos, contables y financieros que ayudan a que
la empresa realice su objeto, propugna por la solución factible de tal manera que se
asegure que los procedimientos de auditoría y de seguridad sean incorporados a todas y
cada una de las fases del sistema.
Control externo
Es realizada por una persona u organismo externo a la empresa que realiza exámenes de
los estados financieros realizado de acuerdo con ciertas normas, independiente con el fin
de expresar su opinión sobre ellos.

Herramientas y técnicas de control

Cuestionarios:

El diseño de un cuestionario debe tener una adecuada preparación, pre evaluación y

evaluación. Algunas guías generales son:

1. identificar el grupo que va a ser evaluado.

2. escribir una introducción clara para que el investigado conozca los objetivos del estudio
y el uso que se dará a la información.

3. determine qué datos deben ser recopilados.

4. elabore las preguntas con toda la precisión (no hagas preguntas en negativo), de tal
forma que la persona que la responda lo pueda ser con toda claridad. Estructure las
preguntas en forma lógica y secuencial de tal forma que el tiempo de respuesta y de
escritura sea breve (aunque se debe dejar abiertas las observaciones). Elimine todas
aquellas preguntas que no tengan un objetivo claro, o que sea improcedentes.

5. limite el número de preguntas para evitar que sea demasiado el tiempo de contestación
y que se pierda el interés de la persona.

6. implemente un cuestionario piloto, para evaluar que todas las preguntas sean claras y
que las respuestas sean las esperadas.

7. diseñe e implemente un plan de recolección de datos.

8. determine el método de análisis que será usado.

Entrevistas:

Aunque la entrevista es una de las fuentes de información más importante para saber
cómo opera un sistema, no siempre tiene la efectividad que se desea, ya que en ocasiones
las personas entrevistadas pueden ser presionadas por los analistas de sistemas, o piensan
que si se hacen unos cambios, estos podrían afectar su trabajo. El gerente debe de hacer
del conocimiento de los entrevistados en propósito del estudio.
Una guía para la entrevista puede ser la siguiente:

1. prepárense para la entrevista estudiando los puestos de las personas que va a hacer
entrevistada y sus funciones.

2. preséntese y de un panorama del motivo de la entrevista.

3. comience con preguntas generales sobre las funciones, la organización y los métodos de
trabajo.

4. haga preguntas específicas sobre los procedimientos que puedan dar como resultado el
señalamiento de mejoras.

5. siga los temas tratados en la entrevista.

6. limite el tomar nota a la más relevante para evitar distractores.

7. al final de la entrevista ofrezca un resumen de la información obtenida y pregunte como

se le podrá dar seguimiento.

Trazas y/o huellas:

Con frecuencia, el auditor informático debe verificar que los programas, tanto de los
sistemas como de usuario, apoyándose en productos software muy potente.

Se utilizan para comprobar la ejecución de las validaciones de datos previstas, no deben

modificar en absoluto el sistema. Si la herramienta auditora produce incrementos
apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para
su empleo.

Por lo que se refiere al análisis del sistema, los auditores informáticos emplean productos
que comprueban los valores asignados por técnica de sistemas a cada uno de los
parámetros variables de las librerías más importantes del mismo.

Software de interrogación:

Se utiliza productos software llamados genéricamente paquetes de auditoría, capaces de

generar programas.

En la actualidad, los productos software especial para la auditoría informática se orientan

principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos
de la empresa auditada
Se ha desarrollado interfaces de transporte de datos entre computadoras personales y
mainframe, de modo que el auditor informático copia en su propia PC la información más
relevante para su trabajo.

El auditor se ve obligado (naturalmente, dependiendo del alcance de la auditoría) a

recabar información de los mencionados usuarios finales, lo cual puede realizar con suma
facilidad con los polivalentes productos descritos.

Finalmente, el auditor confecciona personalmente determinadas partes del informe. Para

ello, resulta casi imprescindible una cierta soltura en el manejo de procesadores de texto,
paquetes de gráficos, hojas de cálculo, etc.

Conclusión
A través de este trabajo de investigación, se logró presenciar el ciclo de vida del desarrollo
de sistema, ya que se puede medir la calidad del software de forma correcta debido a su
naturaleza, debido a esto la certificación se da a los procesos de manera correcta con su
consecución de los mismos garantizaría un buen software. En el mundo de la computación
en el primer lugar es la herramienta más valiosa que debe tener un adecuado control.

El profesional encargado, también debe de adecuarse con las normas de auditoría y el

control interno para que sea congruente con el desarrollo tecnológico.

La auditoría en informática es una nueva materia que es consecuencia directa del

desarrollo en el área y de la necesidad de evaluar la adecuada utilización, respaldo y
confidencialidad de la información de la organización.

Para lograr esta evaluación se requiere que el auditor conozca no solo sobre las materias
que le son propias sino que tenga una capacitación técnica en el área de sistemas,
computacionales e informática.

La auditoria no debe terminar con la presentación sino debe ser el inicio de auditorías y
revisiones periódicas, con un adecuado seguimiento de las observaciones, para lograr las
correcciones a los problemas y las mejoras a los sistemas que lo ameriten.
Bibliografía

-auditoría en informática, José Antonio Echenique García, editorial mc gran Hill, 2da
edición, 2001.

-principios de auditoría, whillington – pany, editorial mc graw-hill interamericana,

decimocuarta edición, 2006

http://www.buenastareas.com/ensayos/auditoria/43051867.html