Universidad de Oriente

Núcleo Monagas
Escuela de Ciencias Sociales y Administrativas
Departamento de Contaduría Pública
Maturín – Venezuela
Auditoria I

Prof. Bachilleres:
Emir Rodríguez Carrión Rosney C. I. 17.524.911
Sección 02 Aliendres Gleyvis C. I. 14.254.701
Carvajal Alida C. I. 10.308.586
Paredes Mariolis C. I. 17.934.587
Rendón Alvaro C. I. 12.147.131
Betancourt Kimberli C. I. 14.859.784
Aramburu Nathalia C. I. 17.933.105
Figueroa Youfran C. I. 13.814.889

Maturín, 19 de febrero de 2008

 INDICE

Introducción

El procesamiento electrónico de datos (PED)

Como operan los sistemas de Computación

El control Interno en el Sistema de Computación

Revisión y Evaluación del Control Interno

Debilidades del Control Interno

Auditoria Computarizada

_Definición
_Reglas Básicas

Técnicas y Herramientas utilizadas en la Auditoria Computarizada

Conclusión

Recomendaciones

Bibliografía
 INTRODUCCIÓN

La presente investigación consiste en analizar los diferentes términos

relacionados al Procesamiento Electrónico de Datos y su importancia sobre la
estructura de control interno y la auditoria.
El control interno es un proceso, ejecutado por la Junta Directiva, la
administración u otro personal, diseñado para proporcionar seguridad razonable
con miras a la consecución de objetivos en las siguientes categorías:

a. Efectividad y eficiencia de las operaciones

b. Confiabilidad en la información financiera
c. Cumplimiento de las leyes y regulaciones aplicables

En este sentido el presente trabajo consta de los siguientes puntos

adaptados a la auditoria bajo ambiente de sistemas.

 El procesamiento electrónico de datos

 El control interno en el sistema de computación
 Revisión y evaluación del control interno
 Debilidades del control interno
 Auditoria computarizada
 EL PROCESAMIENTO ELECTRONICO DE DATOS Y LA AUDITORIA

El procesamiento electrónico de datos, se refiere al proceso de datos que

forman parte de la organización de una empresa y que solo proporcionan
servicios a otras divisiones, áreas o departamentos de la misma empresa.
Alguna de las características de este sistema resultan agobiantes para los
profesionales (auditores), debido a que este abre posibilidades que en los
sistemas tradicionales no existían, con un sistema computarizado el costo de
recoger y analizar la información es tan pequeño que las únicas limitaciones
son las que marca el interés del profesional en conocer o no determinados
datos y que es probable que aún los clientes de auditoria mas pequeños
utilicen un computador para la mayoría de las funciones de contabilidad, lo que
quiere decir que el desafío de auditar actividades por un computador ha dejado
de estar limitado solamente a los grandes clientes.

Los registros de los clientes se procesan o son procesados con

programas de auditorias para computadoras, para poder obtener la información
con la finalidad de poder evaluarla y analizarla. Para el desarrollo de los
programas de auditorias hay cuatro aspectos entre los cuales podemos
mencionar:

Determinar los objetivos y procedimientos de auditoria, es decir

que se deben formular los objetivos del trabajo de auditoria y
decidir cual va a ser el procedimiento a utilizar en esa auditoria
para lograr los objetivos.

Elaborar diagramas de recorrido del sistema, estos se preparan

para indicar los archivos de entrada que deberán ser procesados
por la computadora en los programas de auditoria y la salida
resultante.

Elaborar diagramas de recorridos del programa, son los que

indican como se van a procesar los datos en la computadora,
además indican las operaciones y decisiones del procesamiento y
el orden que han de seguir en los programas.

Codificación, ensamblado y prueba de los programas de auditoria,

esto debe ser realizado por otros programadores empleados por la
firma del auditor, el propio cliente o alguna compañía de servicio
de computación electrónica.
 Dentro de una organización los sistemas de procesamiento electrónico
de datos representan un gran avance tecnológico puesto que puede contar con
amplias bases de datos, bases de datos relacionadas, procesadores de texto,
hojas de calculo, programas de contabilidad, obtención de imágenes y dibujos
por medio del computador, etc.., además de manejar esta cantidad de tareas
también puede procesar desde una sencilla nómina, hasta llegar a simular los
efectos que diferentes alternativas producirán en todas las operaciones de
dicha organización.

Es importante saber que el procesamiento electrónico de datos le

proporciona al auditor una poderosa herramienta que le permite aumentar sus
procedimientos de auditoria y prestar mayores servicios a los clientes, el auditor
debe estar al tanto de las formas en que puede usar la computadora y las
ventajas que obtendría con ello, como por ejemplo realizar labores de
contabilidad rutinarias, con una rapidez y precisión sin precedentes. Este hace
posible el desarrollo de la información que no habría podido reunirse en el
pasado, debido a las limitaciones de tiempo y costos. Cuando el cliente lleva
registros de contabilidad con un sistema de computador complejo y sofisticado,
con frecuencia los auditores encuentran útil y aún necesario, utilizar el
computador a realizar muchos de los procedimientos de auditoria.

Un sistema de procesamiento electrónico de datos consta de los

siguientes elementos:

1. Un procesador electrónico de datos (la unidad central de

procesamiento CPU) es el encargado de procesar programas de
instrucciones para manipular (mover y cambiar) la información. La
información puede ser en números, caracteres, imágenes (en
forma digital) o cualquier cosa que pueda estar representada por
un conjunto de caracteres.

2. El equipo periférico asociado o formado por dispositivos de

preparación de datos, de su entrada y salida, este elemento
central ejecuta funciones de lógica, aritmética, almacenamiento
de datos durante el proceso, y control de los mismos.

3. Procedimientos para indicar datos que se necesitan así como

donde obtenerlos y en que forma se podrán utilizar.

4. Rutinas de instrucción para el procesador.

 5. Personal para observar, conservar y mantener el equipo, para
analizar y establecer procedimientos, para preparar instrucciones,
proporcionar datos de entrada, utilizar informes, revisar resultados
y supervisar la operación en su totalidad.

SISTEMAS DE COMPUTACIÓN

Estos sistemas son un conjunto del flujo formalizado, que se muestran en

diferentes grados según el nivel de estructura de la empresa de la que se trate.
Dentro del aspecto operacional es normal encontrar un alto nivel de
computación en las empresas, mientras que en cuanto a tácticas y sobre todo a
estrategias el grado es bastante menor.

1. Nivel Gerencial (estratégico): es el que se encarga de determinar los

objetivos, políticas y misiones. Emplea información más elaborada como
pueden ser las tendencias de la empresa, márgenes, rentabilidad por productos
o departamentos. En general, maneja modelos o funciones de los datos y se
caracteriza por trabajar con pequeños volúmenes de información, pocos datos
muy elaborados, realizar tratamientos de cálculos muy complejos y procesos
imprevisibles, llevar a cabo pocas consultas, operaciones y actualizaciones,
que suponen a veces la realización de un gran número de tratamientos de la
información. El tiempo de respuesta en muchos casos es tan solo de horas o
minutos.

2. Nivel Ejecutivo (táctico): traduce en tácticas los objetivos, políticas y

misiones que le han sido fijados por el nivel gerencial; es decir, dispone
adecuadamente de los recursos para alcanzar los objetivos, y cumple las
misiones que corresponden a las políticas fijadas. Emplea información
elaborada; normalmente no le interesa el saldo de una cuenta, sino el saldo
medio de una cuenta de un colectivo determinado.

3. Nivel Operacional: es el encargado de ejecutar las órdenes que le ha

entregado el nivel ejecutivo. Maneja información elemental no integrada, como
puede ser el saldo de una cuenta para comprobar si puede aceptarse el pago
de un cheque. Se caracteriza, en general, por manejar un elevado volumen de
datos elementales, por realizar tratamientos de procesos simples, previsibles y
rutinarios, llevar a cabo un elevado número de consultas y actualizaciones en
un tiempo rápido de respuesta y contar con extensos archivos.

El sistema de información de la empresa debe estar configurado de

forma tal que proporcione a cada nivel (gerencial, ejecutivo y operacional),
información oportuna y exacta, a tiempo, fiable, necesaria y suficiente.
 En este sentido el auditor debe entender que su papel profesional debe
ser el de asesor gerencial para asegurar el éxito de las funciones y en
consecuencia debe visualizar la empresa y su futuro en forma
sistemático- estructural, articulando ordenadamente los objetivos del área
informática con la misión y los objetivos de la organización.

EL CONTROL INTERNO EN EL SISTEMA DE COMPUTACIÓN

Cuando se introducen las computadoras y el PED, las normas de

auditoria generalmente aceptadas y sus interpretaciones, el código de conducta
profesional, la responsabilidad legal y los conceptos de recopilación de
evidencias permanecen sin cambios, sin embargo, algunos de los métodos
específicos apropiados para la implantación de controles, sí cambia, a medida
que los sistemas se hacen más complejos. El ambiente de control interno en
los sistemas de PED. Complejos, es más determinante que para los sistemas
menos complejos porque hay mayor potencial para errores

En el análisis del control interno, el auditor computacional debe hacer

una recolección y evaluación de evidencias para determinar cuando son
salvaguardados los activos de los sistemas computarizados, de que manera se
mantiene la integridad de los datos y como se logran los objetivos de la
organización eficazmente y como se usan los recursos consumidos
eficientemente. La auditoria en informática sigue los objetivos tradicionales de la
auditoria, aquellos que son de la auditoria externa, de salvaguarda de los
activos y la integridad de datos, aquellos propios de la auditoria interna que no
solo logran los objetivos señalados sino también los de eficiencia y eficacia.

El auditor en informática debe contar con los conocimientos técnicos

requeridos y con capacidad profesional. El propósito de revisar la adecuación
del sistema de control interno es el de cerciorarse si el sistema establecido
proporciona una razonable seguridad de que los objetivos y metas de la
organización se cumplirán eficiente y económicamente.

El sistema de información proporciona datos para la toma de decisiones,

el control y el cumplimiento con requerimientos externos. Por ello, los auditores
deben examinar los sistemas de información y cuando sea apropiado
asegurarse:

_Que los registros e informes contengan información precisa, confiable,

oportuna, completa y útil.
_Que los controles sobre los registros e informes sean adecuados y
efectivos.
 CONTROLES GENERALES DE APLICACIÓN EN AUDITORIA

 CONTROLES DE ENTRADA: Los controles de las entradas se diseñan

de manera que se pueda comprobar que la información procesada por
la computadora sea valida, completa y precisa

 CONTROLES DE PRCESAMIENTO: Están diseñados para asegurar

que la entrada de datos al sistema se procesa correctamente. Esto
quiere decir que todos los datos que se capturan en la computadora se
procesan, solo una vez, y de forma correcta.

 CONTROLES DE SALIDA: Los controles sobre las salidas están

diseñados para comprobar que los datos generados por la
computadoras son validos, precisos, completos y que se distribuyen
sólo a la persona autorizada. El control de salida más importante es la
división de la razonabilidad de los datos por alguien que conoce como
debe ser la salida.

REVISIÓN Y EVALUACIÓN DEL CONTROL INTERNO

El primer paso en el desarrollo de la auditoria, después de la planeación,

es la revisión y evaluación del área en cuestión. Para obtener mejores
resultados en la auditoria computacional se debe tener una buena planeación,
siendo esta fundamental, tomando en cuenta los siguientes objetivos:

 Evaluación administrativa del área de procesos electrónicos

 Evaluación de los sistemas y procedimientos
 Evaluación del proceso de datos, de los sistemas y de los equipos de
computo (software, hardware, redes, bases de datos, comunicaciones)
 Seguridad y confidencialidad de la información.
 Aspectos legales de los sistemas de información.

Es importante destacar que se puede hacer una revisión del sistema de

control interno; bien sea preliminar o detallada, es uno de los mas importantes
pasos en la planeación adecuada de la auditoria y no debe emprenderse en
forma negligente o descuidada. Conforme las circunstancias lo permitan, el
auditor debe adquirir familiaridad con los procedimientos y métodos de uso.
Debe elaborarse un registro sistemático y claro de lo que debe observarse
durante la revisión de tales sistemas, y en este registro el auditor prudente
señalará claramente aquellos datos que el en forma independiente ha obtenido
y aquellos datos que, de acuerdo con las circunstancias, ha tenido que aceptar
por explicaciones verbales.
 Al terminar la revisión el auditor puede proceder en uno de los tres (3)
caminos siguientes:

 Diseño de la auditoria, puede haber problemas debido a la falta de

competencia técnica para realizar la auditoria.
 Realizar una revisión detallada de los controles internos de los
sistemas con la esperanza de que se deposite la confianza en los controles de
los sistemas y de que una serie de pruebas sustantivas puedan reducir las
consecuencias.
 Decidir el no confiar en los controles internos del sistema. Existen dos
razones posibles para esta decisión. Primero, puede ser más eficiente desde el
punto de vista de costo-beneficio el realizar pruebas sustantivas directamente.
Segundo, los controles del área de informática puedan duplicar los controles
existentes del área del usuario. El auditor puede decidir que se obtendrá un
mayor costo-beneficio al dar una mayor confianza a los controles de
compensación y revisar y probar mejor estos controles.

La revisión preliminar significa la recolección de evidencias por medio de

entrevistas con el personal de la instalación, la observación de las actividades
en la instalación y la revisión de la documentación preliminar.

Los objetivos de la fase detallada son los de obtener la información

necesaria para que el auditor tenga un profundo entendimiento de los controles
usados dentro del área de informática.

El auditor debe decidir si debe de continuar elaborando pruebas de

consentimiento, con la esperanza de obtener mayor confianza por medio del
sistema de control interno, o proceder directamente a la revisión con los
usuarios (pruebas compensatorias), o a las pruebas sustantivas. En algunos
casos el auditor puede, después hacer un análisis detallado, decidir que con los
controles internos se tiene suficiente confianza, y en otros casos que los
procedimientos alternos de auditoria pueden ser más apropiadas.

DEBILIDADES DEL CONTROL INTERNO

El auditor debe evaluar en que momento los controles establecidos

reducen las pérdidas a un nivel aceptable. Los métodos de obtención de
información al momento de la evaluación de información al momento de la
evaluación detallada son los mismos usados en la investigación preliminar, y lo
único que difiere es la profundidad con que se obtiene la información y se
evalúa.

El auditor interno debe considerar las causas de las pérdidas que

afectan la eficiencia y eficacia, además de evaluar por qué los controles
escogidos son o no suficientes para reducir las pérdidas esperadas a un nivel
aceptable. Si los controles escogidos son óptimos, si provocan un sobre control,
o bien si se logra un nivel satisfactorio de control usando menos controles o
controles menos costosos. Si el auditor considera que los controles internos del
sistema no son satisfactorios, en lugar de proceder directamente a revisar, a
probar controles alternos o realizar pruebas sustantivas y procedimientos deben
señalar las recomendaciones para mejorar los controles de los sistemas.

AUDITORIA COMPUTARIZADA

Es una función que ha siso desarrollada para asegurar la salvaguarda de

los activos de los sistemas de computadoras, mantener la integridad de los
datos y lograr los objetivos de la organización en forma eficaz y eficiente.

Es un examen metódico de una situación relativa a un producto, proceso

u organización, en materia de calidad, realizado en cooperación con los
interesados, a fin de verificar la concordancia de la realidad con lo
preestablecido, y la adecuación al objetivo buscado.

La auditoria computacional surge como respuesta a una serie de riesgos

planteados por el uso de la computación en las empresas, a saber: físicos, de
descontrol, incapacidad, ineficacia, costes y, por otra parte a la importancia que
asume la información en empresa.

Una de las tareas del auditor computacional es lograr que se pase de

una función computarizada abstracta, como muchas veces ocurre en la
actualidad, a otra en que los criterios fundamentales que se le exijan sean los
asociados a la rentabilidad, asumiendo la calidad como uno de ellos.

La auditoria computarizada tiene como objetivo fundamental mejorar la

rentabilidad, la seguridad y la eficiencia de la empresa, esta técnica fue creada
con la finalidad d evaluar y disminuir el riesgo de pérdidas ocasionadas por
errores y delitos que puedan afectar los activos de una organización.

Hoy en día la mayoría de las empresas tienen toda su información

estructurada en sistemas computarizados, de allí la importancia de contar con
sistemas, el éxito de una empresa depende de la eficiencia de su sistema de
información, por ejemplo, una empresa puede contar con un personal altamente
capacitado pero si tiene un sistema informático propenso a errores, lento, frágil,
e inestable, la empresa nunca saldría adelante.

Una de las tareas del auditor computacional es lograr que se pase de

una función computarizada abstracta (como muchas veces ocurre en la
actualidad) a otra en que los criterios fundamentales que se les exija sean
asociados a la rentabilidad.

La auditoria computarizada debe realizarse por profesionales expertos,

ya que una auditoria mal hecha puede traer consecuencias drásticas para la
empresa principalmente económica. El auditor computacional debe cumplir con
los siguientes requisitos:

Debe ser contador auditor o ingenieros en informática.

Experiencia mínima de tres años en cargos similares.
Manejo de herramientas tecnológicas de apoyo a áreas de
auditoria.
Debe tener indispensable conocimiento avanzado de auditoria
computarizada

En resumen se puede decir que la auditoria computarizada ha sido

beneficiada de acuerdo a los múltiples programas de apoyo, ya que el auditor
puede realizar minuciosas revisiones, la cual sería imposible realizar
manualmente.

Reglas Básicas

Se deben tener en cuenta una serie de principios básicos a la hora de

realizar una auditoria de cara a lograr una mayor efectividad en el trabajo por
parte del auditor computacional.

 Fomentar la cooperación de los elementos auditados. Normalmente

se suele adoptar una actitud defensiva entre el auditor, ya que se piensa que
este busca culpables. Para evitar esa situación, o incluso que se llegue aun
boicot más o menos abierto, es preciso convencer a todos los implicados de
que el auditor solo busca mejoras y soluciones.
 Contar con el apoyo de la dirección, ya que se deberían realizar
entrevistas y solicitar documentación y posiblemente trabajos de los elementos
auditados.
 Cuidar aspectos protocolarios; explicar al jefe de una unidad qué es lo
que se desea obtener en una entrevista con un subordinado suyo; establecer
una diferencia entre los jefes y los empleados.
 Realizar una presentación o entrevista inicial en que se explique el
objetivo, su justificación y se aclaren dudas.
 Solicitar con antelación precisa la información inicial a obtener. Es
decir, solicitar la información precisa antes de comenzar los trabajos (manuales
de normas, etc.)
  No adelantar resultados parciales sobre un área o función
determinadas; las visiones o análisis parciales pueden causar impresiones
falsas y además ser erróneas.
 Comentar con los interesados los resultados obtenidos antes de
presentarlos a niveles superiores.

TÉCNICAS Y HERRAMINETAS UTILIZADAS EN LA AUDITORIA

COMPUTARIZADA

Las técnicas utilizadas son las habituales en la auditoria clásica,

muestreo, revisión, entrevista, prueba y simulación. En cuanto a las
herramientas utilizadas se pueden mencionar: cuestionarios, estándares,
simuladores, paquetes de auditoria, matrices de riesgo y monitores.

Simuladores:

Dado que entre los elementos a observar figuran configuraciones de

software y hardware a veces hay que utilizar herramientas especiales para
poder deducir el comportamiento del elemento en cuestión ante situaciones
límite como pueden ser un corte de luz, un tráfico muy elevado de información,
etc. Se trata, en definitiva, de comprobar si poseen las características
necesarias para hacer frentes a estas situaciones. Hay simuladores basados en
productos de software y otros que usan una mezcla de software y hardware.

Para ayudas en el diseño de redes de comunicaciones, por ejemplo, se

pueden usar productos que simulan y predicen el comportamiento de una
configuración ante un suceso determinado, indicando capacidad de proceso,
cuellos de botella, etc., o bien que rastrean el comportamiento de un elemento
en una situación real.

Paquetes de auditoria:

Son herramientas comúnmente usadas por personas que realizan

auditoria por medio de la computadora. Son programas o conjuntos de
programas que permiten con órdenes sencillas y de pequeño formato, generar
programas que realizan funciones típicas de muestreo al azar, muestrear según
otros criterios, selección de información que cumpla los determinados
requisitos, estudios estadísticos, edición de informes, etc. Estos paquetes
permiten un ahorro considerable de necesidad de formación computacional por
parte del auditor, así como una elevada velocidad de realización de los
programas precisos.
 Matrices de Riesgo:

Las matrices de riesgo, también llamadas de amenazas, son las

herramientas utilizadas para analizar riesgos y establecer medidas de
cobertura. Se define la exposición a un suceso como la probabilidad de que se
produzca ese suceso, mientras que el riesgo de un suceso viene determinado
como el producto de la exposición por el coste del suceso.
El riesgo da una medida en dinero del coste probable que supone para
una instalación o un sistema ante un suceso determinado, ya que del análisis
del conjunto de los riesgos se deriva la definición de prioridades y recursos que
deben dedicarse a cubrirlos.

Monitores:

Se trata de software, hardware, o combinación de ambos, que miden el

comportamiento De un sistema o componente del sistema, en una situación e
instante real. Se diferencian de los simuladores en que estos predicen o infieren
el comportamiento de un elemento, mientras que los monitores solo miden, no
provocan o simulan determinadas situaciones.
 CONCLUSIÓN

Las auditorias informáticas se conforman obteniendo información y

documentación de todo tipo. Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de debilidad o fortaleza de los
diferentes medios. El trabajo del auditor consiste en lograr obtener toda la
información necesaria para emitir un juicio global objetivo, siempre amparando
las evidencias comprobatorias.
El auditor debe estar capacitado para comprender los mecanismos que
se desarrollan en un procesamiento electrónico. También debe estar preparado
para enfrentar sistemas computarizados en los cuales se encuentra la
información necesaria para auditar.
Toda empresa, pública o privada, que posean sistemas de información
complejos, deben de someterse a un control estricto de evaluación eficacia y
eficiencia. Hoy en día, la mayoría de las empresas tienen toda su información
estructurada en Sistemas Informáticos, de aquí, la vital importancia que los
sistemas de información funcionen correctamente. El éxito de una empresa
depende de la eficiencia de sus sistemas de información. Una empresa puede
contar con personal altamente capacitado, pero si tiene un sistema informático
propenso a errores, lento, frágil e inestable; la empresa nunca saldrá a
adelante.
La auditoria de Sistemas debe hacerse por profesionales expertos, una
auditoria mal hecha puede acarrear consecuencias drásticas para la empresa
auditada, principalmente económicas.
En conclusión la auditoria informática es la indicada para evaluar de
manera profunda, una determinada organización a través de su sistema de
computación automatizado, de aquí su importancia y relevancia.
 RECOMENDACIONES

Después del análisis de los diferentes términos relacionados al

Procesamiento Electrónico de Datos y la auditoria, Podemos realizar las
siguientes recomendaciones

 El auditor debe ser una persona preparada y conocedora de la función

Informática
 Debe hacer un análisis de la eficiencia de los Sistemas Informáticos, la
verificación del cumplimiento de la Normativa general de la empresa en
este ámbito y la revisión de la eficaz gestión de los recursos materiales y
humanos
 El auditor debe conocer los equipos electrónicos que utilice su cliente
para aprovecharlos al practicar su auditoria. No es necesario que el
auditor sea experto en la programación, pero si que conozca los
programas de contabilidad que utiliza el cliente.
 Al evaluar la información automática, el auditor debe revisar varios
documentos, como diagramas de flujo y documentos de programación,
para lograr un mejor entendimiento del sistema y los controles que se
diseñaron en él
 BIBLIOGRAFÍA

ALVIN A. Arens/LOEGBECKE James. Auditoria un enfoque

integral. 6ta edición.

WHITTINTON Ray/KURT Pany. Auditoria un enfoque integral.

2da Edición

www.monografías.com/

www.auditoria/sistemas.com

www.gestiopolis.com

sisbib.unmsm.edu.pe/BibVirtual/Publicaciones/administracion/
v05_n10/auditores.htm - 21k

www.geocities.com