Métodos de auditoria.

La auditoría utiliza el método deductivo- inductivo, ya que realiza el examen y

evaluación de los hechos empresariales objetos de estudio partiendo de un
conocimiento general de los mismos, para luego dividirlos en unidades menores

que permitan una mejor aproximación a la realidad que los originó para luego
mediante un proceso de síntesis emitir una opinión profesional. Todo este
proceso requiere que el auditor utilice una serie de pasos realizados en forma
sistemática, ordenada y lógica que permita luego realizar una crítica objetiva del
hecho o área examinada.

Método deductivo:

El método deductivo consiste en derivar aspectos particulares de lo general, leyes

axiomas, teorías, normas etc. en otras palabras es ir de lo universal a lo específico
o particular.

Para aplicar el método deductivo a la auditoría se necesita:

Formulación de objetivos generales o específicos del examen a realizar.

Una declaración de las normas de auditoria generalmente aceptadas y principios

de contabilidad de general aceptación.

Un conjunto de procedimientos para guiar el proceso del examen.

Aplicación
Aplicación de nor
normas
mas gene
generales
rales a situacione
situaciones
s específicas.
específicas.

Formulación de un juicio sobre el sistema examinado tomado en conjunto.

Método inductivo:

El método inductivo al contrario del deductivo se parte de fenómenos particulares

con incidencia tal que constituyen un axioma, ley, norma, teoría, es decir parte de
lo particular y va hacia lo universal.

Desde el punto de vista de la auditoría, se descompone el sistema a estudiar en

las mínimas unidades de estudio, efectuándose el examen de estas partes
mínimas (particulares) para luego mediante un proceso de síntesis se recompone
el todo descompuesto y se emite una opinión sobre el sistema tomado en
conjunto.

Estos dos métodos se combinan en forma armónica no excluyente. De esta

manera, en forma esquemática se pueden plantear así las fases generales a
seguir en una auditoría:

Conocimiento general de la organización

Establecimiento de los objetivos generales del examen

Evaluación del Control Interno

Determinación de las áreas sujetas a examen

Conocimiento específico de cada área a examinar

Determinación de los objetivos específicos del examen de cada área

Determinación de los procedimientos de auditoría

Elaboración de papeles de trabajo

Obtención y análisis de evidencias

Informe de auditoría y recomendaciones

2.1

Metodología de una auditoria de apoyo.

Existen algunas metodologías de auditorías de sistemas y todas dependen de lo

que se pretenda revisar o analizar, o de acuerdo con la filosofía y técnica de cada
organización y departamento de auditoría en particular. Sin embargo, existen
ciertas técnicas o procedimientos para una auditoria de apoyo pero como estándar
podemos nombrar algunas fases básicas:

Estudio preliminar efectuando observaciones a la unidad informática para conocer

datos de la misma, solicitando el plan de actividades, manuales de políticas,
reglamentos, entrevistas con los principales funcionarios. Si están operando
sistemas avanzados de computación, como procedimientos en línea, base de
datos, se podría evaluar el sistema empleando técnicas avanzadas de auditoría,

revisión y evaluación de controles y seguridades revisando procesos de

documentación y archivos, realizando y examen detallado de áreas críticas
estableciendo los motivos, objetivos, alcance de recursos la duración de la
auditoria, y seguidamente comunicación de resultados elaborando un borrador del
informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe
definitivo, destacando los problemas encontrados, los efectos y las
recomendaciones de la auditoría.

Metodología de aplicación.

2.2

Actividades de aplicación (entradas, procesos, salidas).

Tienen por objeto probar la integridad y la exactitud de las transacciones

procesadas mediante la tecnología de la información, así como garantizar la
confiabilidad de la salida de esta tecnología, la conciliación de los totales de
control generados por el sistema con los obtenidos en la fase de entrada

constituye un aspecto importante. En algunos sistemas, con un repaso y prueba

exhaustivas el departamento de usuario mide la confiabilidad de la salida
proveniente del departamento de los sistemas de información.

Procedimientos de control entrada:

Controles de acceso: asegura que los datos inscritos al sistema son los
autorizados y están las responsabilidades para el cambio de datos, la
responsabilidad de los datos es conjuntamente compartida por alguna
organización y la dirección de informática.

Control de secuencia: Los registros de las transacciones llevaran un número

para identificarlos que sean consecutivos, por lo que no pueden haber duplicados

principalmente en el caso de redes y de bancos de datos, no puede haber

intervalos vacíos de secuencia.

Control de límite: Se verifican los límites de valores que puede asumir una
variable de entrada y que se rechazara o advertirá en caso no cumpla con los
límites establecidos.

Control de Rango: Es similar al anterior, pero se trata de un par de límites.

Control de paridad: Se utiliza para verificar una transmisión de datos (que puede
ser la fuente para el ingreso de datos a otro sistema).

Control de validez: Consiste en suponer como válidos aquellos campos

codificados con valores establecidos.
Control de razonabilidad: Los datos inscritos se contrastan con límites de
razonabilidad.

Control de existencia: Es un control que sirve para validar un dato que ingresa al
sistema y además asegura que el proceso sea con un orden establecido.

Control de integridad: consiste en que un campo siempre debe contener datos,

no puede estar vacío, etc.

Procedimientos de Control de procesos:

Re-cálculos manuales: Consiste en recalcular manualmente una muestra de las

transacciones a fin de asegurar que el procesamiento está realizando la tarea
esperada.

Edición: Consiste en comprobar que el input de datos es correcto, aquí se

interpreta el paso de input como parte del proceso.

Verificación de razonabilidad de cifras calculadas: Consiste en probar la

razonabilidad de los resultados de las transacciones para asegurarse de la
adecuación a criterios predeterminados.

Verificación de la cantidad de registros procesados probando los resultados

producidos en la aplicación con datos de prueba contra los resultados que fueron
obtenidos inicialmente.
Manejo de archivo de errores para su posterior investigación.

Verificación por rangos de fechas o períodos.

Aprobación electrónica: Para que un determinado registro pase de un estado a

otro por la autorización de un usuario diferente al que genero el registro.

Archivos de seguimiento: que permiten identificar el status de una determinada

operación en un momento determinado.

Procedimientos de salida:

Resguardo de formularios negociables, sensibles o críticos: deben ser

debidamente controlados en un listado de formularios recibidos, utilizados y dando
razón de las excepciones, rechazos y para protegerlos de robo o daño.

Autorización de distribución: Las opciones de reporte del sistema deben estar

de acuerdo con las funciones que tiene el usuario en el sistema y ser controlado
por los accesos definidos en el sistema.

Estructura estándar de los formatos de los reportes: como son el número de

páginas, la hora, fecha, nombre del programa que lo produce, cabeceras, etc.
Cuando la información es necesaria, puede localizarse y recobrarse manualmente
del área de almacenamiento físico. En las aplicaciones computarizadas la mayoría
de los archivos están en medios magnéticos deben utilizarse programas
extractivos para recobrar la información de tales medios, los cuales son
normalmente muy rápidos y exactos, por ejemplo, en el caso de base de datos.

Actividades sujetas a control (captura, registro, codificación, transcripción,

etc).

Estas actividades se usan al procesar una aplicación. Se relacionan con la

utilización de la tecnología de la información para iniciar, registrar, procesar y
comunicar las transacciones u otros datos financieros. Inician con los requisitos de
la autorización apropiada de las transacciones a procesar. Cuando los datos

correspondiente se registrar originalmente en documentos fuentes de hojas

impresas ventas por ejemplo, quien lo inicialice pueden indicar la autorización. En
sistema en línea, los datos referentes a las transacciones pueden introducirse
directamente al usuario de las terminales una identificación que se introduce antes
que el sistema acepte datos. El sistema operativo a de conservar un registro de
actividades en cada terminal que será revisada después por el grupo de control en
busca de evidencia de uso no autorizado.

Captura: Es el entrada de datos originales al sistema. Puede ser un nuevo registro

de un archivo computarizado, o tomando datos de documentos. Puede tener
errores humanos, que afectaran la producción de información.

Transcripción: radica en copiar manualmente los datos antes capturados, pero

este tiene posibilidades de contener errores y si es automáticamente mediante
programas de computación, es más fácil que no contenga error y si lo hubiere no
es por transcripción, es que los datos fueron capturados así.

Codificación: simbolizamos datos mediante números, letras, caracteres especiales

o una mezcla de ellos, llamados códigos.

Registro: pruebas de los registros de los archivos para verificar la consistencia

lógica, la validación de condiciones y la razonabilidad de los montos de las
operaciones.

Concepto de control.

Los datos son uno de los recursos más valiosos de las organizaciones, y aunque
son intangibles, necesitan ser controlados y auditados con el mismo cuidado que
las demás inventarios de la organización.

El conjunto de acciones, procedimientos, normas o técnicas que aseguran la

regulación de un sistema es lo que se denomina Control.

La responsabilidad de los datos es compartida conjuntamente por alguna función

determinada de la organización y la dirección de informática.

Los datos deberán tener una clasificación estándar y un mecanismo de

identificación que permita detectar duplicidad y redundancia dentro de una
aplicación y de todas las aplicaciones en general.
Si consideramos un sistema como un conjunto de elementos estrechamente
relacionados que persiguen un fin común, es posible establecer que todo aquello
que tienda a asegurar el cumplimiento de la finalidad del sistema es Control.

Es necesario que exista un control y se establezcan primero unas normas o

estándares para cumplir con los objetivos, se debe medir el desempeño del
sistema y compararlo con los estándares y se deben ejecutar las acciones
necesarias para corregir las desviaciones de la operación del sistema.

Control interno y externo.

Control interno:

Desempeña una importante función al participar en los planes a largo plazo y en el

diseño detallado de los sistemas y su implantación, detecta las irregularidades y
errores, contribuyendo a la seguridad del sistema contable que se utiliza en la
empresa, fijando y evaluando los procedimientos administrativos, contables y
financieros que ayudan a que la empresa realice su objeto, propugna por la
solución factible de tal manera que se asegure que los procedimientos de auditoría
y de seguridad sean incorporados a todas y cada una de las fases del sistema.

Control externo:

Es realizada por una persona u organismo externo a la empresa que realiza

exámenes de los estados financieros realizado de acuerdo con ciertas normas,
independiente con el fin de expresar su opinión sobre ellos.

Control en las aplicaciones.

Un punto muy importante a considerar dentro de la auditoria son los controles, los
cuales se dividen en generales, operativos (dependiendo del sistema) y técnicos
(equipos y sistemas).
Los controles generales normalmente se aplican a todos los procesamientos de la
información y son independientes de las aplicaciones, estos controles incluyen:

Planeación

Organización

Política y procedimiento

Estándares

Aplicaciones
Aplicaciones de rrecursos
ecursos

Seguridad

Confidencialidad

Control

Validación de entrada:

Verificación de secuencia

Campo omitidos

Totales de control

Transacciones validad

Caracteres validos

Campos validos

Códigos

Prueba de razonabilidad
Digito verificador

Etiquetado de archivo

Controles de entrada:

Acceso a terminales
terminales

Acceso a programas,
programas, archi
archivos,
vos, datos y a la c
computadora
omputadora

Comunicaciones

Información confidencial

Examen de documentación de la aplicación.

Elaboración de un modelo de evaluación de riesgos para analizar los controles de

la aplicación.

Observación y prueba de los usuarios que realizan procesos.

Examen y prueba de autorizaciones y capacidades de acceso.

Selección del tipo de técnica de auditoría asistida por computador y pruebas de

auditoría con ayuda del computador.

Con la ayuda de este software o técnica asistida por computador, se realizan

pruebas de auditoría, como muestreo estadístico, pruebas de rangos, pruebas de
excepciones.

Objetividades de los controles responsables del control.

En todo centro de informática se debe contar con una serie de políticas que
permitan la mejor operación de los sistemas. Estas políticas son evaluadas
durante el transcurso de la auditoria, su objetividad es analizar y evaluar la eficacia
de los controles de los sistemas o aplicaciones ya existentes, se deben asegurar
que solo se ingresan y actualizan datos completos, exactos y válidos en un
sistema, que el procesamiento de estos datos es correcto, que los resultados del
procesamiento cumplen las expectativas; y que los datos se mantienen seguros.

Herramientas y técnicas de control.

Cuestionarios:

El diseño de un cuestionario debe tener una adecuada preparación, pre

evaluación y evaluación. Algunas guías generales son:

1. Identificar el grupo que va a ser evaluado.

2. Escribir una introducción clara para que el investigado conozca los objetivos del
estudio y el uso que se dará a la información.

3. Determine qué datos deben ser recopilados.

4. Elabore las preguntas con toda la precisión (no hagas preguntas en negativo),
de tal forma que la persona que la responda lo pueda ser con toda claridad.
Estructure las preguntas en forma lógica y secuencial de tal forma que el tiempo
de respuesta y de escritura sea breve (aunque se debe dejar abiertas las
observaciones). Elimine todas aquellas preguntas que no tengan un objetivo claro,
o que sea improcedentes.

5. Limite el número de preguntas para evitar que sea demasiado el tiempo de

contestación y que se pierda el interés de la persona.
6. Implemente un cuestionario piloto, para evaluar que todas las preguntas sean
claras y que las respuestas sean las esperadas.

7. Diseñe e implemente un plan de recolección de datos.

8. Determine el método de análisis que será usado.

Entrevistas:

Aunque la entrevis
entrevista
ta es una de las fuentes de información
información más importante
importante para
saber cómo opera un sistema, no siempre tiene la efectividad que se desea, ya
que en ocasiones las personas entrevistadas pueden ser presionadas por los
analistas de sistemas, o piensan que si se hacen unos cambios, estos podrían
afectar su trabajo. El gerente debe de hacer del conocimiento de los entrevistados

en propósito del estudio.

Una guía para la entrevista puede ser la siguiente:

1. Prepárense para la entrevista estudiando los puestos de las personas que va a

hacer entrevistada y sus funciones.

2. Preséntese y de un panorama del motivo de la entrevista.

3. Comience con preguntas generales sobre las funciones, la organización y los

métodos de trabajo.

4. Haga preguntas específicas sobre los procedimientos que puedan dar como
resultado el señalamiento de mejoras.

5. Siga los temas tratados en la entrevista.

6. Limite el tomar nota a la más relevante para evitar distractores.

7. Al final de la entrevista ofrezca un resumen de la información obtenida y

pregunte como se le podrá dar seguimiento.
Trazas y/o Huellas:

Con frecuencia, el auditor informático debe verificar que los programas, tanto de
los Sistemas como de usuario, apoyándose en productos Software muy potentes.

Se utilizan para comprobar la ejecución de las validaciones de datos previstas, no

deben modificar en absoluto el Sistema. Si la herramienta auditora produce
incrementos apreciables de carga, se convendrá de antemano las fechas y horas
más adecuadas para su empleo.

Por lo que se refiere al análisis del sistema, los auditores informáticos emplean
productos que comprueban los valores asignados por técnica de sistemas a cada
uno de los parámetros variables de las librerías más importantes del mismo.

Software de Interrogación:

Se utiliza productos software llamados genéricamente paquetes de auditoría,

capaces de generar programas.

En la actualidad, los productos Software especiales para la auditoría informática

se orientan principalmente hacia lenguajes que permiten la interrogación de
ficheros y bases de datos de la empresa auditada

Se ha desarrollado interfaces de transporte de datos entre computadoras

personales y mainframe, de modo que el auditor informático copia en su propia PC
la información más relevante para su trabajo.
El auditor se ve obligado (naturalmente, dependiendo del alcance de la auditoría)
a recabar información de los mencionados usuarios finales, lo cual puede realizar
con suma facilidad con los polivalentes productos descritos.

Finalmente, el auditor confecciona personalmente determinadas partes del

Informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo de
procesadores de texto, paquetes de gráficos, hojas de cálculo, etc.