M - 4 Auditoria en Ambientes Computarizados

AUDITORIA MÓDULO IV
UNIVERSIDAD NACIONAL DE EDUCACION

ENRIQUE GUZMAN Y VALLE
“Alma Mater Del Magisterio Nacional”
ESCUELA DE POSTGRADO
RESOLUCIÓ N N° 1810-2013-EPG-UNE
MODULO IV
EDITADO CON FINES DE CAPACITACIÓN

MATERIAL DIDÁCTICO AUTOINSTRUCTIVO
________________________________________________________________________________
L&G MAGISTER INTERNATIONAL FORJANDO LA CALIDAD EDUCATIVA
1
INDICE
Objetivos
1. AUDITORIA EN AMBIENTES COMPUTARIZADOS
1.1. Introducción
1.2. Características específicas de los sistemas computarizados
1.3. Proceso de auditoria
1.4. Auditoria de sistemas computadorizados. Planificación estratégica
1.5. Auditoria de sistemas computadorizados. Planificación detallada
1.6. Riesgos de aplicación
1.7. Riesgos del departamento de sistemas
1.8. Técnicas de auditoria asistido por el computador
1.9. Enfoques de la auditoria informática
1.10. Normas profesionales
1.11. Auditoria a distancia
AUTOEVALUACIÓN
________________________________________________________________________________
2
OBJETIVOS
Al concluir el estudio del presente módulo el participante deberá

ser capaz de:
Señalar las características específicas de los sistemas
computarizados.
Explicar la auditoria en ambiente computarizados como
sistema de información y de control.
Diferenciar sistemas de controles de las de funciones de
procesamiento
Describir la planificación estratégica y detallada del proceso de
auditoria
Comentar referente a los riesgos de aplicación y los riesgos del
departamento de sistemas.
Exponer las técnicas de auditoria asistido por el computador
Exponer los conceptos avanzados de los sistemas en línea.
Mencionar los enfoques de la auditoria informática
Referir normas profesionales de auditoria en ambientes
computarizados.
________________________________________________________________________________
3
1. AUDITORIA EN AMBIENTES COMPUTARIZADOS
1.1. INTRODUCCIÓN
La realidad que nos circunda nos muestra cada día con mayor intensidad que el
procesamiento electrónico de datos (EDP) ha cubierto un amplio espectro de
aplicaciones debido, fundamentalmente, a dos de sus características principales:
generación de información confiable y rapidez en su elaboración. Cualquier
razonamiento con respecto al futuro indica que los ambientes computadorizados
serán cada día más comunes.
Es evidente que la información utilizada por los entes en general ha variado en las
últimas décadas. Del mismo modo lo han hecho las necesidades de generación de
esa información y los medios para procesarla.
La incesante evolución de esta tecnología ha llegado a niveles de agilidad en el
procesamiento y capacidad de almacenamiento de información que hacen pensar en
un futuro en el cual el uso de la computación será generalizado, aún en
aplicaciones domésticas.
Paralelamente a la evolución de los sistemas computadorizados se fue observando

cada vez en forma más amplia la utilización del EDP en la generación de
información contable y de gestión. Dependerá, obviamente de la envergadura de la
organización y de la magnitud y complejidad de la información que maneje el ente,
el hecho de contar con sistemas computadorizados más o menos complejos. Lo que
no se puede dejar de lado es que el uso del procesamiento electrónico de datos es
hoy un medio de generación de información aplicado en la mayoría de las empresas,
independientemente de su tamaño.
Esto significa que los auditores deben acostumbrarse a realizar revisiones y emitir
su opinión profesional sobre datos e información que surgen de sistemas
computadorizados. Por tal motivo es importante que se conozca el tipo de
implicancias y efectos que sobre la tarea profesional causa el procesamiento
electrónico de datos.
J. Gómez Morfín en Introducción a la Auditoria de Estados Financieros, México,

1998 detalla con relación a las técnicas de auditoria cuando se utiliza un equipo de
computación, que el auditor en ocasiones podrá optar por procedimientos de
auditoria manuales, combinados con técnicas apoyadas en computadoras, de
manera que se logre la evidencia deseada; que es preciso utilizar técnicas de
auditoria apoyadas por la computadora con el fin de verificar, mediante pruebas de
cumplimiento, si los controles están funcionando satisfactoriamente. La utilización
de paquetes de programas generalizados de auditoria ayuda en gran medida a la
realización de pruebas sustitutivas y otros trabajos de la auditoria, entre ellos, a la
elaboración de evidencias plasmadas en los papeles de trabajo.
Entre las opciones de que disponen los paquetes de programas para los trabajos
que se llevan a cabo con más frecuencia según J.W. Cook y J.M. Winkle, se
encuentran los siguientes:
• Selección e impresión de muestras de auditorías sobre bases estadísticas o no
estadísticas.
• Realización de funciones de revisión analítica al establecer comparaciones,
calcular razones, identificar fluctuaciones y llevar a cabo cálculos de regresión
múltiples.
• Manipulación de la información al calcular subtotales, sumar y clasificar
información, volver a ordenar una serie de información, etc.
Examen de los registros de acuerdo con los criterios especificados.
________________________________________________________________________________
4
Según L. Zavaro y C. Martínez en su libro “Auditoria Informática”, las Técnicas de

Auditoria Asistidas por Computadora (TAAC) estándares son la utilización de
determinados paquetes de programas que actúan sobre los datos, llevando a cabo
con más frecuencia los trabajos siguientes:
 Selección e impresión de muestras de auditorías sobre bases estadísticas o no

estadísticas, a lo que agregamos, sobre la base de los conocimientos adquiridos
por los auditores.
 Verificación matemática de sumas, multiplicaciones y otros cálculos en los
archivos del sistema auditado.
 Realización de funciones de revisión analítica, al establecer comparaciones,
calcular razones, identificar fluctuaciones y llevar a cabo cálculos de regresión
múltiple.
 Manipulación de la información al calcular subtotales, sumar y clasificar la

información, volver a ordenar en serie la información, etc.
 Preparación de Balances de Comprobación y Estados Financieros, que a

nuestro criterio sirven para compararlos con los emitidos por la unidad, así
como de los papeles de trabajo de auditoria.
 Examen de registros de acuerdo con los criterios especificados.
 Varias funciones de comparación, aspecto este que es repetitivo en las
consultas que nos proponemos explicar, por ejemplo con relación a los ajustes
de entrada (positivos) y salida (negativos) que deben coincidir en el número de
unidades físicas.
 Búsqueda de alguna información en particular, la cual cumpla ciertos criterios,
que se encuentra dentro de las bases de datos del sistema que se audita.
 Tomar muestras aleatorias a través de algoritmos elaborados.
Teniendo en cuenta que las actividades auditadas en Comercio Minorista parten de

la gestión comercial que realicen estas unidades de servicio, se hace necesario
incluir en el equipo de auditoria especialistas en la actividad comercial con vistas a
realizar auditoria integrales que incluyan este tema.
Además, teniendo en cuenta que se hacía imprescindible auditar sistemas

informáticos; así como diseñar programas auditores se deben incorporar
especialistas informáticos, formando equipos multidisciplinarios capaces de
incursionar en las Auditorias Informáticas y Comerciales, independientemente de
las Contables, donde los auditores que cumplen la función de jefes de equipo, están
en la obligación de documentarse sobre todos los temas auditados.
De esta forma los auditores adquieren más conocimientos de los diferentes temas,
pudiendo incluso, sin especialistas de las restantes materias realizar análisis de
esos temas, aunque en ocasiones es necesario que el auditor se asesore con
expertos, tales como, ingenieros industriales, abogados, especialistas de recursos
humanos o de normalización del trabajo para obtener evidencia que le permita
reunir elementos de juicio suficientes.
La decisión anterior coincide con los criterios de L. F. Pérez Toraño, quien expresa
que la contaduría, la auditoria contemporánea, la administración y la consultoría
tienen su propia técnica, por lo tanto deben haber profesionales que conozcan y
apliquen esta técnica especializada, ya que su actividad no se circunscribe, como
antaño, al aspecto contable, pues cada día se va definiendo con más claridad el
alcance de los servicios profesionales que presta a las empresas, tales como
________________________________________________________________________________
5
planeación financiera, mercadotecnia, recursos humanos, sistemas y

procedimientos, producción, relaciones públicas, etc.
La generalizada informatización de los mecanismos económicos que hasta hace

apenas una década se procesaban manualmente, así como los propios cambios
ocurridos en el tratamiento informático han introducido transformaciones
substanciales sobre el concepto tradicional de Control Interno y la estructura del
registro condicionando la existencia y desarrollo de la Auditoria con la Informática.
Algunos de estos cambios son:
• La transformación de los registros y otros medios tradicionales en ficheros como

medios de control de documentos y soportes.
• Incremento de la dependencia de directivos, funcionarios y empleados de los
especialistas en informática, en relación directa con la dinámica del desarrollo de la
informatización.
• Transacciones generadas, correlacionadas, resumidas y registradas internamente
de forma automatizada.
• La continúa expansión de los sistemas de gestión de bases de datos, con la
consiguiente influencia en la elevación de la complejidad de los sistemas
informáticos que se emplean.
• Surgimiento y difusión del delito informático.
• Mayor conciencia por parte de las administraciones de las entidades, de la
necesidad de proteger sus informaciones y de optimizar sus sistemas informáticos.
Practicar auditorias en un ambiente computarizado, donde la informatización de los

sistemas contables y de gestión han alcanzado un desarrollo notable, conlleva la
introducción de una concepción diferente a la existente durante décadas; donde la
informática participa activamente como una valiosísima herramienta, que permite a
esta disciplina evolucionar al mismo ritmo de las transformaciones incorporadas a
la estructura del registro y del Control Interno.
Consecuentemente, se hace indispensable el empleo de las técnicas de auditoria
asistidas por computadora (TAAC) que permiten al auditor, evaluar las múltiples
aplicaciones específicas del sistema que emplea la unidad auditada, examinar un
diverso número de operaciones específicas del sistema en explotación, facilitar la
búsqueda de evidencias, reducir al mínimo el riesgo de la auditoria para que los
resultados expresen la realidad objetiva de las deficiencias, así como de las
violaciones detectadas y elevar notablemente la eficiencia en el trabajo. En tal
sentido, el auditor tendrá que enfrentar un importante reto al tener que adentrarse
en el conocimiento de una nueva forma de practicar esta disciplina.
Atendiendo a la importancia que reviste para la auditoria un ambiente informático,

al ser un elemento estratégico para la organización y por constituir una de las
áreas que mayores posibilidades aportan en la obtención de evidencias de forma
rápida y precisa, la incursión en este ámbito es decisiva ya que posibilita, obtener
evidencias y pistas viables que permitan establecer una valoración fiable con
relación a las deficiencias, violaciones, adulteraciones e incluso detectar prácticas
presuntamente delictivas.
1.2. CARACTERÍSTICAS ESPECÍFICAS DE LOS SISTEMAS COMPUTARIZADOS
En esta obra no se pretende efectuar un análisis detallado de los conceptos

específicos relacionados con el procesamiento electrónico de datos, pero sí efectuar
una enunciación de ciertas características de estos sistemas en comparación con
los sistemas convencionales (manuales), enfocado hacia la evidencia de auditoria
que proporcionan. Estas características son:
________________________________________________________________________________
6
•Normalmente, en los sistemas computadorizados, la información almacenada y

procesada está disponible de manera tal que sólo es analizable con ayuda del
computador.
•En los sistemas computadorizados no todos los procedimientos de control se
evidencian en forma expresa. En muchos casos la realización del control forma
parte de la lógica del programa utilizado, incluido en pasos específicos del mismo.
•Dada la automaticidad de los procesos computadorizados, normalmente cuando se
desliza un error, éste afecta a un mayor volumen de transacciones.
•Debido a la poca participación del elemento humano, ciertos tipos de errores que
se producen en los sistemas computadorizados son difícilmente detectables.
•El procesamiento computadorizado somete uniformemente todas las transacciones
similares a las mismas instrucciones de procesamiento: por esta causa, la
posibilidad de errores al azar, que es un problema de control que se presenta en
ambientes manuales, queda sustancial mente reducida. No obstante, cabe la
posibilidad de que los datos ingresados al computador para su procesamiento
puedan incluir errores o ser incompletos.
•La posibilidad de que ciertos individuos, incluyendo aquellos que realizan
procedimientos de control, accedan a los datos sin autorización, o los alteren sin
dejar evidencias visibles, puede ser mayor en los sistemas computadorizados que en
los sistemas manuales. Ello se debe a que la información es almacenada en forma
electrónica, con una menor participación del hombre en el procesamiento,
reduciéndose por consiguiente la oportunidad de detectar manualmente los accesos
no autorizados.
•Ciertos controles, ejecutados por diferentes individuos en los sistemas manuales,
pueden ser concentrados en los sistemas con procesamiento computadorizado. Esto
puede resultar en una falta de segregación de funciones incompatibles. Sin
embargo, los sistemas computadorizados pueden permitir que se implante una
segregación de funciones incompatibles más rigurosa ya que puede existir controles
basados en el software (tales como identificaciones del usuario y contraseñas).
•La iniciación de ciertas transacciones, o ciertas funciones de procesamiento
pueden ser efectuadas automáticamente por el computador, En estos casos,
pueden o no existir evidencias visibles de estos pasos de procesamiento.
Aunque se observan ciertas diferencias entre los sistemas computadorizados y los
convencionales, puede afirmarse que el procesamiento electrónico de datos no
afecta a los objetivos del control interno, la responsabilidad de la dirección y las
limitaciones inherentes al sistema de control interno: pero si afecta el enfoque para
la evaluación del mismo y el tipo de evidencia de auditoria que se obtiene.
1.2.1. DIFERENCIACIÓN ENTRE CONTROLES Y FUNCIONES DE

PROCESAMIENTO
Las funciones de procesamiento son determinados pasos de tos sistemas

administrativos del ente que se ocupan de las transacciones y hechos económicos
producidos. Incluyen tareas como cálculo, comparación y acumulación de datos.
Pueden ser manuales o computadorizadas.
Los controles pueden ser acciones realizadas por una persona del ente (gerente,
empleado, etc.) o un software, o pueden referirse a dispositivos establecidos para
salvaguardar activos, o cuyo objetivo sea evitar o detectar errores o irregularidades,
La distinción entre funciones y controles de procesamiento suele ser compleja.

Ciertas funciones de procesamiento (por ejemplo: validación y comparación)
también representan controles pues son diseñados para detectar errores o
irregularidades. Otras funciones de procesamiento (por ejemplo: registración,
cálculo y acumulación) no constituyen controles pues no están relacionados con la
detección de errores o irregularidades, pero si constituyen funciones significativas
dentro del proceso contable pues están directamente referidas a las afirmaciones
incluidas en los estados financieros.
________________________________________________________________________________
7
En general, las funciones de procesamiento son importantes con respecto a la

exactitud e integridad de los datos generados por el sistema, por ello, son funciones
que el auditor debe analizar con detenimiento. Principalmente por lo siguiente:
• Estas funciones de procesamiento pueden ser una fuente significativa de

satisfacción de auditoria y por lo tanto, el auditor deberá depositar confianza en esa
función de procesamiento, que representa un enfoque más eficiente y eficaz que
otros procedimientos de auditoria; o
 Si el auditor no puede depositar confianza en alguna función de procesamiento,
deberá obtener evidencia sustantiva de que los aspectos esenciales de la función
de procesamiento se realizaron satisfactoriamente para las transacciones
procesadas (o sea que las afirmaciones de los estados contables relacionadas con
esta función de procesamiento son válidas).
Generalmente, en un ambiente manual existe una relación directa entre las
funciones y los controles de procesamiento. Por cada función de procesamiento (por
ejemplo: cálculo o acumulación de cifras) realizada por un empleado, existe un
control (en forma selectiva o global) por otro individuo. En estos ambientes, el
auditor concentra su enfoque en los controles.
En un ambiente computadorizado, por el contrario, es probable que esta relación

directa no exista. Por ejemplo, las funciones de cálculo procesadas por el
computador no son reprocesadas manualmente. Esto se debe a que el software ya
fue probado en cuanto a su capacidad para realizar este tipo de funciones de
procesamiento sin errores. Por tal motivo, si existen adecuados controles sobre ese
software en el sentido de que esté adecuadamente protegido contra cambios o
accesos no autorizados, el auditor podrá confiar en este tipo de funciones de
procesamiento de la misma manera que confió en los controles directos en un
ambiente de procesamiento manual.
1.2.2. TIPOS DE SISTEMAS
Además de los programas generalizados de auditorías disponibles, muchos

auditores crean su propia aplicación informática para llevar a cabo trabajos de
auditoria especializados. De esta manera se pueden diseñar procedimientos que se
adapten a las peculiaridades del sistema de la empresa y aumenten la eficiencia de
la auditoria.
Señalan L. Zavaro y C., que las TAAC se pueden llevar a cabo con la utilización de
un sistema informático de auditoria, ya sea de propósito general o específico. El
sistema de auditoria de propósito general, puede trabajar con diferentes estructuras
de bases de datos como es el caso del IDEA y el ACL; en cambio los sistemas
específicos que adoptan el clasificador de "hechos a la medida" sólo pueden ser
empleados sobre una estructura de bases de datos determinada.
En el presente trabajo se expondrán un grupo de opciones de análisis y consultas

que se diseñaron manualmente y que luego formaron parte de un sistema de
propósito específico, por lo que es necesario mencionar las ventajas y desventajas
de este tipo de aplicación:
Ventajas
• Diseño de procedimientos específicos al Sistema Informático empleado para el
registro de operaciones.
• No presenta limitaciones relacionadas con el lenguaje de consulta que emplea.
• Permite la verificación de controles de aplicación, tales como: Secuencia,
Integridad, Rango. Validez, Fecha, etc.
• Se pueden confeccionar varios reportes para ser empleados en procedimientos
posteriores.
________________________________________________________________________________
8
• Permite organizar datos, consolidarlos y totalizarlos en función de los objetivos

perseguidos por el auditor.
• Se puede simular en paralelo los procedimientos a partir de los mismos datos de
entrada, para comparar los resultados obtenidos con los ficheros de salida de la
aplicación auditada.
Desventajas
• Elevado costo de desarrollo.
• Limitado número de reportes y consultas.
• Son dependientes del sistema en uso en la entidad auditada.
• Necesidad de mantenimiento del sistema debido a las modificaciones que habrá
tenido la aplicación en los exámenes subsiguientes o por cambio de aplicación.
El análisis anterior difiere al realizado por L. Zavaro y C. Martínez donde sólo

señalan al sistema de propósito específico una ventaja, que coincide con la primera
señalada anteriormente y lo colocan en un lugar secundario. Sin embargo, como se
aprecia la existencia de cinco ventajas más de gran importancia, este tipo de
aplicación ocuparía un lugar semejante a los de propósito general.
A los efectos de este trabajo se considera que los programas de propósito específico
tienen seis ventajas y cuatro desventajas, como se señaló anteriormente, por lo que
resulta más provechoso a los fines del auditor interno, no siendo de igual forma con
los auditores externos los que utilizan generalmente los de propósito general, a los
cuales L. Zavaro y C. Martínez le encuentran las ventajas y desventajas siguientes:
Ventajas:
• Los costos que debe enfrentar ante las modificaciones de las aplicaciones son
menores.
• Poseen características individuales y únicas, tendiendo a ser similares en cuanto a
concepto y propósitos.
• Poseen una amplia gama de funciones dirigidas a la verificación del procesamiento
y los controles. Desventajas:
• Limitaciones relacionadas con el lenguaje de consulta que emplea.
Con el incremento de las tecnologías de punta y la necesaria generalización de las

aplicaciones informáticas de auditoria, el auditor tradicional debe enfrentarse al
cambio, por lo que tendrá que vencer los retos que este cambio representa; entre
ellos pueden señalarse los siguientes:
• Nueva Técnica Informática, su auditabilidad e impacto en los procedimientos y

controles.
• Adaptar conceptos clásicos de control a la nueva tecnología.
• Desarrollo de nuevas técnicas y herramientas para obtener evidencias.
• Aprovechar en su trabajo las ventajas de las Técnicas Informáticas.
• Necesidad de pistas de auditorías más sofisticadas.
• Desarrollar nuevas habilidades para coordinar con otros especialistas.
1.3. PROCESO DE AUDITORIA
Una primera pregunta que debe plantearse el auditor es en qué etapa del proceso
de auditoria se deben considerar las características del sistema de procesamiento
de datos del ente a ser auditado. Si se tratase de una auditoria no recurrente, el
análisis de la caracterización del sistema de procesamiento de datos, debe
considerarse al efectuar el primer contacto con el ente.
________________________________________________________________________________
9
Ya en ese primer contacto el auditor debe tener en cuenta las características de los
sistemas de información debido a que todo el proceso de auditoria estará
influenciado por la configuración de los sistemas de información del ente.
Si se tratase de una auditoria recurrente, el proceso de análisis de las

características específicas de los sistemas de información del ente será realizado, en
forma global, en la etapa de planificación estratégica, y con un grado de análisis
mayor en la etapa de planificación detallada. En la medida en que estos sistemas de
información representen controles clave serán probados durante la etapa de
ejecución, y formarán parte a través de la evaluación global final, de la etapa de
conclusión.
Los enfoques de auditoria que se utilizan en ambientes en los que una parte
significativa de los procesos administrativos son procesados electrónicamente han
evolucionado con el tiempo. Estos enfoques pueden clasificarse, básicamente, en:
a) Enfoque externo o tradicional. Este enfoque consiste en realizar los

procedimientos de verificación utilizando los datos de entrada al sistema y someter
estos datos al proceso lógico que se realiza en esa etapa específica del
procesamiento. Con estos elementos se obtienen datos de salida procesados
manualmente. Esta información manual se compara con los datos de salida que
genera el sistema computadorizaao y se concluye si el procesamiento electrónico
arriba a resultados razonables o no. Obviamente este procedimiento externo se
realiza a modo de prueba sobre una cantidad de operaciones (muestra) establecida
por el auditor. Dependerá del alcance que se le otorgue a esta prueba el grado de
confianza que se obtiene sobre el sistema computadorizado. Este enfoque puede ser
denominado enfoque tradicional, dado que los procedimientos de control utilizados
para su prueba son idénticos a los que se utilizan para probar un circuito
administrativo con procesamiento de información manual.
b) Enfoque moderno. Este enfoque consiste en realizar los procedimientos de
verificación del correcto funcionamiento de los procesos computadorizados
"utilizando el computador”. Esto significa que cuando se planifica la revisión de
circuitos administrativos donde las aplicaciones contables significativas son
procesadas electrónicamente, se seleccionan técnicas de auditoria que controlan la
forma en que esa aplicación computadorizada funciona. Esas técnicas son variadas
pero tienen en común que no consideran el procesamiento como una "caja negra".
Consisten en revisar pasos de los programas, revisar la lógica del lenguaje utilizado,
procesar nuevamente una determinada cantidad de operaciones a través del propio
sistema computadorizado, etc.
Alentado principalmente por el concepto de eficiencia, concepto fundamental de la

práctica profesional actual, se observa que la tendencia de estos días es que el
profesional directamente opte por un enfoque de auditoria "utilizando el
computador". Si este fuera el caso, el auditor deberá analizar si cuenta con la
capacidad técnica necesaria para llevar adelante su trabajo exitosamente. Caso
contrario, podrá solicitar la colaboración de un especialista en sistemas
computadorizados.
La función de este especialista será la de asesorar y participar en la planificación,
ejecución y conclusión de la auditoria.
Pero será el auditor quien en base a su evaluación de riesgos y criterio profesional,
deberá definir al especialista en auditoria de sistemas computadorizados los
objetivos del trabajo, participar en la identificación de los procedimientos de
auditoria que serán aplicados y evaluar los resultados de esos procedimientos una
vez aplicados.
________________________________________________________________________________
10
El tema de la comunicación correcta al especialista con respecto a la tarea a ser

realizada, con detalle de objetivos del trabajo y características generales del Informe
que el auditor espera recibir, es de vital importancia, dado que estos especialistas
en auditoria de sistemas computadorizados pueden no estar familiarizados con el
enfoque de auditoria previsto por el auditor. Por esta causa se menciona
precedentemente que el especialista deberá participar en el proceso de
planificación, para familiarizarse con la estrategia de auditoria seleccionada y
también para aportar sus propias experiencias.
1.3.1. VENTAJAS DEL USO DE LAS TÉCNICAS DE AUDITORIA ASISTIDA POR

COMPUTADORA (TAAC)
La utilización de las TAAC ofrece las ventajas siguientes:
La utilización de las TAAC ofrece las ventajas siguientes:
 Incrementan o amplían el alcance de la investigación y permiten realizar

pruebas que no pueden efectuarse manualmente;
 Incrementan el alcance y calidad de los muestreos, verificando un gran número
de elementos;
 Elevan la calidad y fiabilidad de las verificaciones a realizar;
 Reducen el período de las pruebas y procedimientos de muestreos a un menor
costo;
 Garantizan el menor número de interrupciones posibles a la entidad auditada;
 Brindan al auditor autonomía e independencia de trabajo, al no depender sólo
de las verificaciones que se detallan en las guías de auditoria;
 Permiten efectuar simulaciones sobre los procesos sujetos a examen y
monitorear el trabajo de las unidades;
 Realizar un planeamiento a priori sobre los puntos con potencial violación del
Control Interno;
 Disminución considerable del riesgo de no-detección de los problemas;
 Posibilidad de que los auditores actuantes puedan centrar su atención en
aquellos indicadores que muestren saldos inusuales o variaciones significativas,
que precisan de ser revisados como parte de la auditoria;
 Elevación de la productividad y de la profundidad de los análisis realizados en
la auditoria;
 Posibilidad de rescatar valor en el resultado de cada auditoria;
 Elevación de la autoestima profesional del auditor, al dominar técnicas de
punta que lo igualan al desarrollo de la disciplina en el ámbito internacional.
1.4. AUDITORIA DE SISTEMAS COMPUTADORIZADOS. PLANIFICACIÓN

ESTRATÉGICA
Al respecto y en lo relativo a los sistemas de información del ente, en la etapa de

planificación estratégica existen específicamente dos aspectos que deben ser
tenidos en consideración por parte del auditor. Ellos son:
• Ambiente del sistema de información; y

• Ambiente de control.
A través de estos dos conceptos se pretende establecer el conocimiento básico que el

auditor debe tener con respecto a los sistemas de información que utiliza el ente
para planificar adecuadamente su enfoque de auditoria.
1.4.1. AMBIENTE DEL SISTEMA DE INFORMACIÓN
________________________________________________________________________________
11
En términos generales, el conocimiento que el auditor debe reunir con respecto al

ambiente del sistema de información está relacionado con el grado de utilización del
procesamiento electrónico de datos en aquellas aplicaciones financieras
significativas. Esta información deberá ser suficiente para que el auditor pueda
evaluar hasta qué punto se han computadorizado los sistemas administrativos y el
grado en que las operaciones del ente dependen de sistemas de procesamiento
electrónico de datos. Esta información va a afectar significativamente las
evaluaciones de los riesgos inherente y de control que el auditor debe hacer en esta
etapa de planificación estratégica.
Los principales temas a considerar para adquirir conocimiento sobre el ambiente de

los sistemas de información, son los siguientes:
a) Conocimiento de la estructura organizativa de los sistemas: para esto el

auditor debe comenzar por un análisis global de la estructura organizativa y
administrativa del Departamento de Sistemas. Esto en líneas generales, podría
lograrse con el conocimiento del organigrama del departamento, la
identificación de su responsable y de su ubicación y dependencia jerárquica
dentro del ente. Además es necesario identificar si se encuentra organizado en
forma centralizada o descentralizada.
b) Conocimiento de la naturaleza de la configuración de sistemas: en esta
etapa de planificación estratégica el auditor deberá adquirir un conocimiento
global de las características de los sistemas: un conocimiento más profundo lo
deberá desarrollar durante el proceso de planificación detallada. Así es como
debería conocer en forma global las características de las principales unidades
de procesamiento, si están interconectadas, si es un procesamiento
centralizado o descentralizado, si hay ingreso de datos en forma remota, las
características del software de sistemas que utilizan las principales unidades
de procesamiento, la periodicidad del ingreso de datos, etc.
c) Alcance del procesamiento computadorizado de la información para las

principales áreas de los estados financieros o tipos de transacciones. El
auditor debería, como parte de la comprensión de los sistemas
computadorizados del ente a auditar, considerar en qué grado las principales
áreas de los estados financieros son procesadas a través de sistemas
computadorizados.
Esta información será útil para evaluar el riesgo inherente y de control e
identificar la naturaleza de las pruebas de auditoria a realizar. El tipo de
información a obtener debería incluir, por lo menos, lo siguiente: cuáles son los
objetivos de cada sistema, las modificaciones significativas que hubieran
ocurrido desde la última revisión, las relaciones significativas que existieran
entre los diferentes sistemas de información (interconexiones), el volumen de
operaciones aproximado que se procesa por cada sistema, el método de ingreso
de los datos y el tipo de procesamiento a que son sometidos esos datos
1.4.2. AMBIENTE DE CONTROL
El ambiente de control está referido al conjunto de condiciones dentro de las cuales

operan los sistemas de control. Básicamente, está referido al enfoque que tiene la
gerencia superior y el directorio con respecto al objetivo de control y el marco en
que se ejerce ese control. Este ambiente de control tiene una gran influencia sobre
la decisión del auditor de confiar en los controles para obtener satisfacción de
auditoria.
Una función importante de la gerencia del Departamento de Sistemas es crear y

mantener un adecuado ambiente de control. La calidad de la gerencia puede influir
________________________________________________________________________________
12
directamente sobre el ambiente de control y la confiabilidad de la información que

ha sido generada por ese sistema. El direccionamiento que esa gerencia haga hacia
un ambiente de control fuerte permitirá que los empleados se sientan identificados
con el concepto de control. Debe recordarse una vez más la importancia
significativa que tiene el concepto de segregación de funciones dentro del enfoque
general de auditoria. Esa importancia debe ser primordialmente valorizada en un
sistema de información altamente computadorizado. Un fuerte ambiente de control
permite al auditor depositar mayor confianza en los controles del ente a ser
auditado, seleccionar controles y funciones de procesamiento computadorizadas
como fuentes de satisfacción de auditoria y posiblemente reducir la cantidad de
evidencia necesaria para lograr el objetivo de auditoria. Los principales aspectos
que deben ser considerados para evaluar la efectividad del ambiente de control, se
detallan a continuación:
• El enfoque del control por parte del directorio y la gerencia superior: en qué
medida el estilo gerencial del Departamento de Sistemas se caracteriza por la
planificación: la importancia que la gerencia del departamento le asigna a los
controles; la celeridad y efectividad de la gerencia ante situaciones urgentes.
• Organización gerencial: el posicionamiento del Gerente de Sistemas en la
estructura administrativa del ente: el nivel de rotación del Departamento de
Sistemas; si la delegación de responsabilidades y autoridad dentro del
Departamento de Sistemas es adecuada.
1.5. AUDITORIA DE SISTEMAS COMPUTADORIZADOS. PLANIFICACIÓN

DETALLADA
Una vez completado el proceso de planificación estratégica se documentan las

decisiones preliminares para cada uno de los componentes, con un enfoque
tentativo de auditoria.
Luego se obtiene toda la información adicional por cada componente, que sea
necesaria para concluir que las afirmaciones correspondientes a cada componente
son válidas. Es en esta etapa de obtención de información adicional cuando se
documenta o actualiza la comprensión de los aspectos relevantes de los sistemas de
información del ente y los controles generales relacionados.
El paso siguiente será la selección de los procedimientos de auditoria, que
comúnmente se traducen en la preparación de los programas de trabajo. Las
afirmaciones de los estados financieros constituyen el objetivo primario de la
evaluación de riesgos y de los sistemas de información, contables y de control, para
identificar fuentes de satisfacción de auditoria.
El análisis de riesgos inherentes globales y del ambiente de control que se efectuara

durante el proceso de planificación estratégica es ahora reemplazado por un
análisis de riesgos en mayor detalle, para cada componente, en relación con cada
una de las afirmaciones específicas y los factores específicos de riesgo.
Existen riesgos inherentes en el procesamiento de transacciones e información que
son comunes a la mayoría de los sistemas y aplicables al procesamiento de
transacciones en todos los grupos de componentes. Estos riesgos cobran mayor
importancia en la medida de existir una mayor dependencia de los sistemas de
información con respecto al procesamiento electrónico de datos.
Los riesgos inherentes relacionados con las transacciones en un medio EDP pueden
ser clasificados de la siguiente forma:
a) Riesgos de aplicación: donde el nivel de riesgo y los controles establecidos

para reducirlo a un nivel aceptable cambian de una aplicación a otra.
________________________________________________________________________________
13
b) Riesgos generales del Departamento de Sistemas: donde el nivel de riesgo

y los controles establecidos para reducido a un nivel aceptable normalmente son
similares o iguales para todas las aplicaciones que se procesan en ese mismo
ambiente (Centro de Cómputos).
Siguiendo el esquema ya definido sobre Evaluación de los controles, en lo referente

a ambientes con EDP, deben recordarse las siguientes definiciones:
a) Controles directos: incluyen a aquellos controles diseñados para evitar o

detectar errores o irregularidades, y a las funciones de procesamiento. Estos
controles y funciones de procesamiento respaldan directamente las afirmaciones
correspondientes a los componentes individuales y, por lo tanto, constituyen
fuentes de satisfacción de auditoria. Los controles directos abarcan controles
gerenciales e independientes, controles o funciones de procesamiento y controles
para salvaguardar activos.
b) Controles generales: son aquellos que contribuyen significativamente a la
efectividad de los controles directos. Abarcan la segregación de fiinciones
incompatibles, incluyendo los controles del Departamento de Sistemas. Los
controles generales no proporcionan satisfacción directa con respecto a las
afirmaciones correspondientes a los componentes.
Al considerar la confianza en los controles directos como una fuente de satisfacción
de auditoria, se debe considerar si las deficiencias de los controles generales
pueden afectar la efectividad del control directo.
En la planificación detallada el auditor se concentra en obtener y documentar una

comprensión sobre los controles directos y generales para los componentes
significativos de los estados financieros. La efectividad de los controles directos
depende a menudo de los controles generales relacionados. Esta definición es válida
para el enfoque general de auditoria, tanto en ambientes sin aplicaciones
significativas que se procesen por EDP como en aquéllas altamente dependientes
del procesamiento electrónico de datos.
Por esta razón, no se confiará en controles directos cuando se considera que los
controles generales son débiles. Se obtiene evidencia sobre la operación de los
controles generales solamente como una extensión de la obtención de evidencia
respecto de la efectividad de los controles directos, incluyendo las funciones de
procesamiento.
1.6. RIESGOS DE APLICACIÓN
A continuación se detallan las cuatro categorías en que se han clasificado los

riesgos de aplicación, sus características y algunos medios de control disponibles
para reducidos a niveles aceptables:
A. Acceso no autorizado al procesamiento y registro de datos.

B. Datos no correctamente Ingresados al sistema.
C. Datos rechazados y en suspenso no aclara dos.
D. Procesamiento y registraciones de transacciones incompletas y/o
inoportunas.
A. Acceso no autorizado al procesamiento y registro de datos

A.l. Riesgo
Personas no autorizadas pueden tener acceso a las funciones de procesamiento de
transacciones de los programas de aplicación o registros de datos resultantes,
permitiéndoles leer, modificar, agregar o eliminar información de los archivos de
datos o ingresar sin autorización transacciones para su procesamiento.
________________________________________________________________________________
14
A.2. Medios de control

El riesgo descrito se refiere a la posibilidad de acceso no autorizado a las funciones
de procesamiento de los programas de aplicación o a los registros de datos
resultantes, a través de los procedimientos normales de iniciación, autorización y
registración de transacciones.' También existe el riesgo de que personas no
autorizadas puedan tener acceso directo a la información almacenada o a los
programas de aplicación utilizados para procesar la información a través del
software de sistemas u otras vías de acceso.
Hay dos aspectos de importancia relativos al control del acceso a las funciones de
procesamiento de los programas de aplicación o registros de datos, resultantes:
• Si el acceso sólo es otorgado a quienes no desempeñan funciones incompatibles.
• Si se prohíben los accesos no autorizados.
La posibilidad de que una persona no autorizada lea la información almacenada en

los archivos de datos, particularmente aquellos que contienen información
confidencial, como por ejemplo, nóminas de remuneraciones, listados de clientes,
fórmulas de productos y secretos comerciales, generalmente resulta un tema de alto
nesgo. Si no existen controles que lo impidan, el auditor podrá hacer una
recomendación al respecto a la gerencia. No obstante, cuando no se pueden
agregar, eliminar ni modificar datos, es muy improbable que esta posibilidad de
solamente lectura, afecte significativamente el enfoque de auditoria, a menos que se
trate de un tema donde la confidencialidad tenga vital importancia (fórmulas de
productos, o la generación de contingencias contractuales en los casos de
conocimiento por terceros de cierta información societaria, etc.).
A.2.1. Segregación de funciones

El principio de asignar tareas a quienes no tengan funciones de procesamiento
incompatibles es el mismo tanto si el procesamiento es manual o computadorizado.
Las responsabilidades deben ser distribuidas de forma tal que el acceso de los
empleados a las funciones de procesamiento computadorizadas no los habilite para
llevar a cabo funciones incompatibles.
La segregación de funciones es un control general.
A. 2.2. Controles de acceso

En aquellos sistemas computarizados en los que el ingreso de datos no es
interactivo, la restricción del acceso a las funciones de procesamiento del software
de aplicación es relativamente sencilla. Por lo general, ello se logra mediante
controles de procesamiento por lotes.
Los recientes avances en la tecnología de EDP han ampliado el acceso a los

sistemas computadorizados y, por consiguiente, a la información almacenada en los
archivos del computador. Con mayor frecuencia se permite el acceso, lectura y uso
de datos computarizados a los departamentos usuarios. Pero una vez que se otorga
el acceso a los sistemas computadorizados aumenta el riesgo de acceso no
autorizado. Por ejemplo, existe el riesgo de que empleados que solamente tengan
autorización de lectura puedan:
• Ingresar transacciones.
• Modificar transacciones.
• Eliminar datos.
• Recuperar datos.
• Modificar archivos maestros (datos permanentes).
________________________________________________________________________________
15
En esta situación, y dependiendo de la naturaleza de las funciones de

procesamiento que puedan realizarse con el software al que se accede, un solo
individuo podría llegar a realizar tareas incompatibles.
En ambientes en los que los datos son ingresados o están a disposición de los
usuarios en forma interactiva, el control del acceso resulta más complicado.
La efectividad del control dependerá, por lo general, del uso de software que permita
el acceso del usuario a ciertas funciones de procesamiento computadorizadas, pero
no a otras. Por ejemplo, se puede autorizar a un usuario a leer datos pero no a
modificados.
A. 3. Evidencia de control
A. 3.1. Segregación de funciones
La prueba de segregación de funciones puede incluir:
a) Análisis de las responsabilidades de aquellos empleados a quienes se les asignan
partes significativas del procesamiento de información. Para ello debe determinarse
si las responsabilidades de iniciación de las transacciones están separadas de las
responsabilidades de aprobación, procesamiento y registración de las mismas. El
auditor debe asegurarse de que todos los procedimientos por los cuales las
transacciones son iniciadas o ingresadas para su procesamiento hayan sido
evaluados, incluyendo los reingresos de transacciones rechazadas.
b) Observar a los empleados mientras desempeñan sus tareas para determinar si
cumplen con las responsabilidades asignadas.
A. 3.2. Controles de acceso

La verificación de la evidencia de adecuados procedimientos de controles de acceso
pueden consistir en:
a) Obtener, revisar y analizar los perfiles o tablas de seguridad del sistema de
control de acceso. El propósito de esta prueba es determinar si el acceso a las
funciones de procesamiento del software de aplicación o a los datos relacionados
está apropiadamente restringido para que los usuarios no autorizados y aquellos a
quienes se les hayan asignado funciones potencialmente incompatibles no puedan
acceder a los mismos.
b) Intentar desplazarse de un menú de aplicación a otro para determinar si existe la
posibilidad de realizar funciones incompatibles. Esta prueba permitirá determinar
la efectividad de las restricciones de acceso funcionales ya la vez mejora el
conocimiento de la estructura del menú autorizado para el sistema.
c) Determinar si el paquete de software de seguridad en el cual se deposita
confianza ha sido adecuadamente implantado desde el punto de vista técnico. El
propósito de este paso es determinar sí su uso proporciona el nivel de control
deseado y verificar que no puede ser eludido con facilidad.
d) Determinar la distribución de funciones. Es razonable suponer que el acceso a
las funciones más sensitivas sólo a) será permitido a un reducido grupo de
individuos y el acceso a las funciones menos sensitivas podrá ser otorgado a una
mayor cantidad de individuos.
B. Datos no correctamente ingresados al sistema

B.l. Riesgo
Los datos permanentes y de transacciones ingresados para su procesamiento
pueden ser imprecisos, incompletos o ser ingresados más de una vez.
Para que las transacciones sean registradas en forma precisa, los datos
permanentes y de transacciones deben tener el formato correcto e incluir los
elementos correctos, y las transacciones no deben ser duplicadas. Los datos
permanentes y de transacciones normalmente abarcan diversas partidas de
información.
Los datos de transacciones constituyen información específica sobre una
transacción en particular (por ejemplo, cantidades y numeración de las facturas).
________________________________________________________________________________
16
Los datos permanentes consisten en información utilizada en el procesamiento de

transacciones que no es exclusiva de las transacciones individuales. Pueden incluir:
• Datos de referencia general (por ejemplo, nombres y direcciones, códigos de

referencia, categorías y códigos de situación).
• Valores contables (por ejemplo, porcentajes de pago, costos unitarios de
existencias, tasas de interés, porcentajes de depreciación, etc.).
• Indicadores en los registros del computador que instruirán a los programas de
aplicación a fin de que asignen valores provenientes de tablas de consulta (por
ejemplo, porcentajes de depreciación) o a instrucciones de programas específicas
para ciertos registros de archivos (por ejemplo, precios especiales a determinados
deudores, emisión de informes de excepción).
La significación de auditoria de los datos permanentes, especialmente de los

montos e indicadores contables, consiste en que son utilizados por el software de
aplicación para generar transacciones y/o montos dentro del sistema sin ninguna
otra intervención o ingreso manual. Como estos datos serán obtenidos a través de
software en cada ciclo de procesamiento, ya sea para calcular montos para
transacciones ingresadas o para generar transacciones, asientos y montos
adicionales, es esencial que sean autorizados, completos y precisos al ser
ingresados. Los cambios posteriores deberán ser adecuadamente controlados por
los usuarios autorizados. Cuando se modifica un dato permanente, dicha
modificación afectará a todos los procesamientos posteriores hasta que sea
modificado nuevamente.
B.2. Medios de control

• Controles sobre la precisión e Integridad de los datos ingresados para el
procesamiento
La mayoría de los sistemas de información computadorizados utilizan software para

validar los datos ingresados. Los controles de validación han sido diseñados para
permitir la identificación de inexactitudes en los datos ingresados, ingresos de datos
duplicados o datos que no cumplan con el criterio de aceptación preestablecido. Los
controles de validación se aplican normalmente cuando los datos son ingresados
por el usuario en una terminal; el usuario recibe inmediatamente el mensaje que le
indica que debe corregir los datos que contienen error o que no fueron ingresados
correctamente. Los controles de razonabilidad de los datos ingresados limitan la
cantidad de errores en el procesamiento que de otra manera pasarían inadvertidos.
Por ejemplo, en una aplicación de pago de haberes un control de validación no
permite el procesamiento de transacciones que incluyen más horas trabajadas que
un máximo preestablecido.
Otros controles de validación aseguran que:
• Cada campo de datos tenga el formato (alfabético, numérico o alfanumérico) y la

cantidad de caracteres preestablecidos.
• Todos los campos de datos importantes estén completos.
• Los datos sean compatibles con los datos permanentes (por ejemplo, el número de
un cliente ingresado será comparado con un registro maestro de números de
clientes de un archivo de datos permanentes a fin de determinar su validez).
• Se identifiquen los números de documentos o lotes que han sido previamente
procesados.
• Los saldos de las transacciones balancean (por ejemplo, los totales de los débitos y
créditos de los asientos de diario son iguales).
B.3. Evidencia de control
________________________________________________________________________________
17
Algunas de las evidencias de control a aplicar sobre los controles de edición y

validación de datos ingresados para su procesamiento son:
a) verificar visualmente que durante el proceso de ingreso de datos se generen

listados de excepciones por partidas no aceptadas (proceso de ingreso de datos por
lotes) o rechazos en los procesos interactivos.
b) verificar que los empleados autorizados han tomado las medidas necesarias con
respecto a las excepciones o errores incluidos en los listados de excepciones de
ingreso de datos.
C. Datos rechazados y en suspenso no aclarados

C.l. Riesgo
Los datos rechazados y las partidas en suspenso pueden no ser identificadas,
analizadas y corregidas en forma oportuna.
Ciertas transacciones pueden ser identificadas y rechazadas por los sistemas
computadorizados como incorrectas o inaceptables, de acuerdo con criterios
prefijados. Por ejemplo, un control de validación puede indicar que un número de
cuenta es incorrecto o que la cantidad de horas trabajadas de un empleado no es
razonable. En estos casos las transacciones pueden ser:
• Aceptadas por el sistema y señaladas en un informe de excepción.

• Destinadas a una cuenta en suspenso del sistema en lugar de ser procesadas.
• Completamente rechazadas.
Existe el riesgo de que todas estas transacciones no sean adecuadamente resueltas

y procesadas.
Normalmente cuando los datos son rechazados, el sistema no retiene un registro de
la partida y consecuentemente, el dato rechazado deberá ser controlado
manualmente. El usuario es el que debe asegurarse de que todas estas
transacciones sean posteriormente corregidas.
La resolución de ¡as partidas en suspenso puede realizarse en forma automática por

el sistema de computación, realizando las modificaciones necesarias de los datos
permanentes, o a través de ajustes ingresados por el usuario: en ambos casos el
usuario deberá seguir siendo el responsable final del correcto procesamiento de los
datos.
C.2. Medios de control
 Controles sobre las transacciones rechazadas y partidas en suspenso.

Cuando los datos son rechazados, se deberá crear un registro que los incluya (por
ejemplo, un lote de datos rechazados) para que su posterior corrección y
procesamiento puedan ser controlados. Cuando los datos son traspasados a una
cuenta en suspenso, el registro referido forma pane del sistema contable.
Cualquiera sea el tipo de sistema utilizado, es esencial que los registros de datos
rechazados y en suspenso pendientes sean revisados periódicamente para asegurar
que se adoptan las medidas correctivas necesarias y que las transacciones son
contabilizadas durante el periodo contable apropiado. Cuando sean ingresados
nuevamente, todos los datos rechazados deberán ser sometidos a los mismos
controles de validación que los datos originales.
C.3. Evidencia de control

La prueba de los controles sobre partidas en suspenso puede consistir en:
a) examinar las conciliaciones entre ingresos y egresos de registros efectuados por
los responsables de la aclaración de partidas en suspenso.
________________________________________________________________________________
18
b) ventilar que estos responsables cumplan con los procedimientos de revisión y

aclaración de partidas en suspenso, en forma periódica:
c) obtener el listado de partidas en suspenso a una fecha dada, seleccionar una
muestra y verificar que hayan sido correctamente procesadas son posterioridad.
D. Procesamiento y registración de transacciones incompleta y/o inoportuna

D.l. Riesgo
Las transacciones reales que han sido ingresadas para su procesamiento o
generadas por el sistema pueden perderse o ser procesadas o registradas en forma
incompleta o inexacta o en el periodo contable incorrecto.
Si el formato de los datos es incorrecto o no se ha verificado su consistencia con los
archivos de datos existentes, es posible que los registros contables pertinentes sean
actualizados en forma incorrecta o incompleta durante el procesamiento. Los
controles iniciales utilizados para verificar la correcta actualización de los registros
contables pueden ser aplicados durante el procesamiento o en la sección de control
de datos del Departamento de Sistemas, inmediatamente después del
procesamiento.
D.2. Medios de control

Entre los controles que se utilizan más frecuentemente para asegurar que las
transacciones y la información conexa sean íntegra y correctamente procesada en el
período adecuado se incluyen:
• Controles de procesamiento por lotes y de sesión: basados en la preparación de

"totales de control" de campos de ingreso críticos antes del procesamiento. Estos
totales de control son comparados posteriormente con los totales generados por el
sistema computadorizado. La comparación puede ser realizada por el usuario o por
el grupo de control de datos para asegurarse de que todos los documentos
presentados han sido procesados y de que no se hayan ingresado transacciones
desde fuentes no autorizadas.
• Controles de balanceo programados: incorporados al software de aplicación para
asegurar la exactitud e integridad de la actualización de archivos y del
procesamiento de informes. Estos controles permiten asegurar, por ejemplo, que el
saldo inicial sea igual al de cierre del ciclo anterior y que el saldo inicial más las
transacciones procesadas sea igual al saldo de cierre del presente ciclo.
• Controles de transmisión de datos: producen un cálculo de "prueba” (utilizando
un algoritmo preestablecido) para ser aplicado a la información incluida en la
transmisión. El resultado del total de la "prueba" puede ser registrado en un
mensaje de encabezamiento previo a la transmisión. Cuando el- mensaje es recibido
se realiza el mismo cálculo y ios resultados son comparados con la información
registrada en el encabezamiento. Si se detectan diferencias en el proceso anterior,
se le solicitará al remitente que vuelva a transmitir la información.
 Controles de reenganche y recuperación: ayudan a evitar la pérdida de
transacciones durante el procesamiento si este fuera interrumpido. Por ejemplo,
los registros de transacciones pueden ser impresos periódicamente a fin de
identificar los pasos de procesamiento completados para las partidas individuales.
La pérdida de transacciones antes de que el procesamiento sea completado puede
ser especialmente crítica cuando los datos son ingresados en forma interactiva y
en los sistemas que utilizan un procesamiento de actualización inmediata. En
estas situaciones, no se dispondrá de documentos impresos de respaldo ("back
up") y la posibilidad de determinar si una transacción fue completamente
procesada antes de la interrupción quedará anulada.
 Controles de corte programados: evitan un corte incorrecto y generalmente son
comparables a controles similares de un ambiente de procesamiento manual.
Estos controles pueden incluir, por ejemplo, una tabla calendario incorporada
para comparar con ¡as fechas de las transacciones o informes de excepción de
discrepancias de corte.
________________________________________________________________________________
19
 Controles sobre los datos generados por el sistema: incorporados a los sistemas
que generan transacciones o realizan cálculos automáticamente sin una revisión
por parte de una persona. Estos controles validan la veracidad y razonabilidad de
las transacciones generadas automáticamente y evitan o detectan transacciones
erróneas. Por ejemplo, se pueden producir informes de las transacciones u otros
datos procesados para su autorización, revisión o conciliación posterior al
procesamiento.
D.3. Evidencia de control

Las evidencias de control relacionadas con el procesamiento y registración de
transacciones variarán según el medio de control implementado en el sistema de
EDP. Si se trata de controles por lotes sobre el ingreso de datos y ello es
considerado como un control clave, puede probarse su efectividad de las siguientes
maneras:
a) recalculando los totales de control por lotes a partir de los documentos fuente;
b) probando los procedimientos de cancelación de documentos en vigencia;
c) verificando, para un periodo seleccionado, que el área de control de datos haya
comprobado la secuencia numérica de los lotes hasta su procesamiento final.
En el caso de controles de sesión o controles de balanceo programados, dado que

los controles son realizados por el software de aplicación, sólo podrán ser probados
utilizando técnicas de lotes de prueba.
Riesgos por diversidad de situaciones
El criterio del auditor en relación con la extensión e intensidad de las pruebas,

tanto de cumplimiento como sustantivas, se encuentra asociado al riesgo de que
queden sin detectar errores o desviaciones de importancia, en la contabilidad de la
empresa y no los llegue a detectar si auditor en sus pruebas de muestreo. El riesgo
tiende a minimizarse cuando aumenta la efectividad de los procedimientos de
auditoria aplicados.
El propósito de una auditoria a los Estados Financieros no es descubrir fraudes, sin

embargo, siempre existe la posibilidad de obtener cifras erróneas como resultado de
una acción de mala fe, ya que puede haber operaciones planeadas para ocultar
algún hecho delictivo, Entre una gran diversidad de situaciones, es posible
mencionar las siguientes:
• Omisión deliberada de registros de transacciones.

• Falsificación de registros y documentos.
• Proporcionar al auditor información falsa.
A continuación se exponen algunas situaciones que pueden indicar la existencia de

errores o irregularidades.
• Cuando el auditor tiene dudas sobre la integridad de los funcionarios de la

empresa; si la desconfianza solamente es con relación a la competencia y no con la
honradez de los ejecutivos de la compañía, el auditor deberá tener presente que
pudiera encontrarse con situaciones de riesgo por errores o irregularidades en la
administración.
• Cuando el auditor detecte que los puestos clave como cajero, contador,
administrador o gerente, tienen un alto porcentaje de rotación, existe la posibilidad
de que los procedimientos administrativos, incluidos los contables, presenten fallas
que pueden dar lugar a errores o irregularidades.
________________________________________________________________________________
20
• El desorden del departamento de contabilidad de una empresa implica informes

con retraso, registros de operaciones inadecuados, archivos incompletos, cuentas
no conciliadas, etc. Esta situación como es fácil comprender, provoca errores, tal
vez realizados de buena fe, o inclusive con actos fraudulentos. La gerencia tiene la
obligación de establecer y mantener procedimientos administrativos que permitan
un control adecuado de las operaciones.
Dentro de las auditorias se debe verificar la función de elaboración o proceso de

datos, donde según el Alexander Hamilton Institute Incorporated, se deben
chequear entre otros los siguientes aspectos: existencia de un método para
cerciorarse que los datos recibidos para su valoración sean completos, exactos y
autorizados; emplear procedimientos normalizados para todas las operaciones y
examinarlos para asegurarse que tales procedimientos son acatados; existencia de
un método para asegurar una pronta detección de errores y mal funcionamiento del
Sistema de Cómputo; deben existir procedimientos normalizados para impedir o
advertir errores accidentales, provocados por fallas de operadores o mal
funcionamiento de máquinas y programas.
1.7. RIESGOS DEL DEPARTAMENTO DE SISTEMAS
Generalmente, los controles del Departamento de Sistemas involucran a más de

una aplicación. En estas circunstancias, los controles se refieren a los distintos
sistemas de aplicación procesados en un determinado ambiente EDP.
En las situaciones en que se desea confiar en los controles de procesamiento o en
las funciones de procesamiento, o en los controles gerenciales y controles
independientes basados en la información producida por un sistema
computadorizado, el auditor debe evaluar los principales controles del
Departamento de Sistemas. Esta evaluación es necesaria para asegurarse de que
los controles o las funciones en las que intenta confiar no hayan sufrido
alteraciones que reduzcan o eliminen su capacidad de evitar o detectar errores o
irregularidades, o respaldar las afirmaciones correspondientes. Aunque es
necesario establecer qué controles se refieren a cada sistema de aplicación, ellos
pueden ser evaluados en conjunto para todos los sistemas de aplicación que operan
en el mismo ambiente.
A continuación se detallan las tres categorías en que se han clasificado los riesgos
del Departamento de Sistemas, y sus características:
A. Estructura organizativa y procedimientos operativos no confiables.

B. Procedimientos no autorizados para cambios en los programas.
C. Acceso general no autorizado a ¡os datos o programas de aplicación.
A. Estructura organizativa y procedimientos operativos no confiables

A.l. Riesgo
La estructura de organización y los procedimientos operativos del Departamento de
Sistemas no garantizan" un ambiente de procesamiento de datos que conduzca a la
preparación de información confiable.
Si las funciones incompatibles del departamento de EDP no están segregadas existe
el riesgo de que ocurran errores o irregularidades que no sean detectadas durante
el transcurso normal de las operaciones.
Los cambios no autorizados en los programas de aplicación o en los archivos de

datos pueden ser difíciles de detectar en un medio computadorizado y por
consiguiente, las medidas de prevención, particularmente con respecto a la
________________________________________________________________________________
21
segregación de actividades operativas y de programación primordiales, se toman

críticas para asegurar la confiabilidad de la información.
El hecho de que las funciones incompatibles estén adecuadamente segregadas es
sólo un aspecto de los riesgos asociados con la estructura del Departamento de
Sistemas y sus procedimientos operativos, ya que pueden existir otros riesgos de
aplicación y del Departamento, de Sistemas. Por ejemplo:
• Programadores y analistas de sistemas pueden realizar cambios no autorizados en

los programas de aplicación o en los archivos de datos si se les permite el acceso a
las operaciones del computador o a las bibliotecas de programas. Si dicho acceso es
posible porque el Departamento de Sistemas no está adecuadamente organizado
existe un impacto sobre los riesgos del departamento relacionado con la posibilidad
de cambios en los programas y con el acceso general.
• Los datos pueden ser perdidos o ser procesados incompleta o erróneamente si el
procesamiento es interrumpido o si se utilizan programas de aplicación o archivos
de datos equivocados. La ausencia de procedimientos operativos efectivos puede
entonces afectar el riesgo de aplicación tratado previamente en lo relacionado con
un procesamiento íntegro y correcto.

Dentro de la organización del Departamento de Sistemas es conveniente separar las
principales responsabilidades de las actividades de operación y programación.
Algunas de ¡as consideraciones importantes que se deberán realizar para segregar
las funciones incompatibles son:
• Diferentes personas deben desempeñarse en ¡as funciones de:

- gerencia del departamento,
- análisis de sistemas, diseño y programación de aplicaciones,
- mantenimiento de software de sistemas (apoyo técnico),
- operaciones (incluyendo biblioteca de archivos),
- control de datos,
- seguridad de datos.
• A los analistas y programadores de sistemas se les debe prohibir preparar y operar
el computador.
• Los programadores no deben tener acceso a las bibliotecas de programas o
archivos de datos que se utilizan para el procesamiento.
• A los operadores se les debe prohibir hacer modificaciones a los programas y
datos.
En Departamentos de Sistemas más pequeños, en donde la segregación de

funciones incompatibles no resulta práctica, la posibilidad de evitar actividades no
autorizadas se ve disminuida. En estas circunstancias, controles compensatorios,
como por ejemplo, fuertes controles ejercidos por los departamentos usuarios sobre
el ingreso de datos y sobre la razonabilidad e integridad del procesamiento y una
estrecha supervisión de las operaciones de computación en curso son de
importancia crítica.
Entre otros posibles controles con respecto a las operaciones de EDP se incluyen:
• Controles sobre el acceso físico al equipo, a los programas de aplicación y a la
documentación relacionada.
• Controles sobre el desarrollo de programas.
A.3. Evidencia de control

La verificación de la segregación de funciones puede efectuarse a través de los
siguientes procedimientos:
________________________________________________________________________________
22
a) indagación con los empleados del Departamento de Sistemas, para verificar las
funciones de cada uno y sus limitaciones;
b) observación y prueba de los medios existentes para la limitación del acceso físico
a las instalaciones y recursos que deben estar protegidos.
B. Procedimientos no autorizados para cambios en los programas

B.l. Riesgo
Los programadores pueden realizar cambios incorrectos no autorizados en el
software de aplicación, lo cual reducirá la confiabilidad de la información procesada
en el sistema.
La evaluación de los controles sobre cambios en los programas es una extensión de
la evaluación de la segregación de funciones. Las aptitudes de los programadores
son tales que un control inadecuado de sus actividades puede poner en peligro la
capacidad de la organización para salvaguardar sus activos y procesar información
confiable.
El aspecto más importante del riesgo inherente relacionado con el Departamento de

Sistemas es usualmente la efectividad de los controles sobre cambios en los
programas. Ante la ausencia de controles adecuados sobre los cambios en los
programas, no existe seguridad de que los programas de aplicación continúen
siendo confiables e íntegros. Es probable que, a menos que el auditor realice
extensas pruebas sustantivas, la única forma de asegurarse de que el riesgo de
cambios no autorizados a una aplicación sea reducido, se logre obteniendo la
satisfacción de que los controles sobre los cambios a los programas son efectivos y
que funcionaron durante todo el ejercicio.

Desde un punto de vista de control, es esencial que los resultados de las
modificaciones de programas sean revisados por el usuario y el supervisor del
programador antes de ponerlo en funcionamiento. Una vez que el programa
modificado ha sido ingresado a la biblioteca de producción (está en funciones),
cualquier modificación realizada afectará los procesamientos. A continuación se
enuncian posibles controles sobre las modificaciones de programas:
• Todos los cambios de programas deben ser iniciados y aprobados por los
usuarios.
• Las modificaciones de programas deben ser íntegramente documentadas.
• Las modificaciones de programas deben ser revisadas y aprobadas por los
supervisores de programación.
• Deben existir bibliotecas de programas de prueba separadas.
• El acceso de los programadores a las bibliotecas de programas de producción
debe controlarse con un software de seguridad.
• Los resultados de las pruebas deben ser revisados por los usuarios y
supervisores de programación.
• El software de administración de la biblioteca debe ser utilizado para:
- registrar e informar cambios realizados en los programas,
- aumentar automáticamente los números de versión de los programas.
• Fuera de línea se debe mantener una versión autorizada de cada programa, la
cual debe ser restaurada a intervalos regulares.
 Los agregados de emergencia deben ser aprobados por el usuario después del
hecho.
B.3. Evidencia de control

Una forma de probar la existencia de adecuados controles sobre el cambio a los
programas es seleccionando cambios representativos y determinando si los
procedimientos de revisión y aprobación fueron cumplidos.
________________________________________________________________________________
23
C. Acceso general no autorizado, a los datos o programas de aplicación

C.1. Riesgo
Personas no autorizadas pueden tener acceso directo a los archivos de datos o
programas de aplicación utilizados para procesar transacciones, permitiéndoles
realizar cambios no autorizados a los datos o programas.
En un ambiente computadorizado sofisticado existen diversas formas de limitar el
acceso al sistema. Una simple restricción del acceso del Departamento de Sistemas
a los usuarios no es suficiente para limitar los riesgos de que se realicen cambios
no autorizados. Cualquier persona que obtenga acceso al sistema puede estar en
condiciones de burlar las rutinas normales de procesamiento de transacciones y
provocar errores o irregularidades.
C.2. Medios de control

Los controles de acceso general han sido diseñados para evitar el acceso al sistema
de usuarios no autorizados y para restringir y controlar el acceso de los usuarios
autorizados. Existen diversas formas de control efectivas para actuar sobre este
riesgo, algunas de las cuales se detallan a continuación:
a) Software de seguridad: Además de restringir el acceso a nivel de aplicaciones,

los paquetes de software de seguridad, pueden ser utilizados para controlar los
riesgos de acceso general a través de funciones como por ejemplo, control de los
sistemas de contraseña y supervisión y registro de actividades definidas
(incluyendo preparación automática de informes de seguridad especiales).
Aunque es necesario que determine si el ente utiliza un software de seguridad,
el auditor no se debe conformar con la simple existencia de ese software de
seguridad. El software de seguridad es flexible y puede ser implantado con
diversos grados de efectividad. Sí se confía en el software de seguridad como un
control clave, es probable que el auditor deba requerir la asistencia técnica de
un especialista en EDP que esté familiarizado con su uso, a fin de establecer si
ha sido adecuadamente implantado y para que colabore con el auditor en las
pruebas de auditoria.
b) Registro de operaciones (consola): Los registros de operaciones son creados
por software del sistema operativo que es ofrecido por casi todos los fabricantes
de equipos. Es un registro completo de cada actividad de procesamiento
realizada en el computador. Este registro puede ser revisado por el personal de
operaciones para identificar las actividades inusuales de procesamiento.
c) Informes gerenciales especiales: Utilizando las características flexibles del
software de seguridad, software de administración de operaciones u otros
paquetes de software de sistemas, se puede desarrollar una amplia variedad de
informes gerenciales por excepción, para alertar a la gerencia sobre la
existencia de actividades inusuales o no autorizadas. Estos informes gerencia
les pueden incluir un listado de suspensiones no explicadas de las actividades
de procesamiento programadas, un listado que identifique las oportunidades en
que ¡os usuarios autorizados accedieron al sistema o informes de actividades
para los auditores.
C.3. Evidencia de control
Algunos de los procedimientos que el auditor puede aplicar para verificar la

existencia de adecuados controles de acceso a los datos o programas de aplicación
son:
a) obtener copia de las tablas de contraseñas y verificar si los usuarios con

acceso a determinadas aplicaciones guardan una lógica con sus funciones
específicas;
b) intentar llevar a cabo violaciones a la seguridad para probar si el software de
________________________________________________________________________________
24
seguridad restringe el acceso de manera efectiva.
1.8. TÉCNICAS DE AUDITORIA ASISTIDO POR EL COMPUTADOR
1. Operaciones en paralelo: Confrontación de resultados, mediante el proceso de

los mismos datos reales, entre un sistema nuevo que sustituye a uno ya
auditado. Los programas y procedimientos actuales no se abandonarán hasta
cuando los nuevos arrojen los resultados esperados.
2. Evaluación de un sistema con datos de prueba: Comúnmente llamada lotes de
prueba. Se ensaya la aplicación con datos de prueba contra resultados obtenidos
inicialmente en las pruebas del programa para detectar resultados no válidos.
Los Gatos de prueba deben representar la aplicación que se examina con todas
¡as posibles combinaciones de transacciones que se lleven a cabo en situaciones
reales. Esta técnica se utiliza en ¡a fase de prueba del programa, antes de ser
enviada a producción y cuando se llevan a cabo modificaciones a un programa,
por tanto, los programas utilizados para digitar los datos de prueba deben ser los
mismos que se encuentran en producción y que se utilizan para procesar los
movimientos diarios. Cuando esta técnica se mantiene en el tiempo para ser,
consistente y cotidianamente, aplicada al sistema en producción, toma el nombre
de EVALUACION DEL SISTEMA DEL CASO BASE ESCB, en tal caso, la prueba
es más completa y requiere de un alto grado de cooperación entre usuarios,
auditores y personal de sistemas.
3. Pruebas integrales: Permite examinar el proceso de la aplicación en su ambiente
normal de producción, pues se procesan datos de prueba en la misma aplicación
en producción junto con los datos reales, para lo cual se crea una compañía de
prueba con fines de auditoria dentro de la aplicación, lo cual permite disponer de
ios mismos archivos maestros. Los resultados de ¡a prueba se comparan contra
resultados precalculados o predeterminados para examinar la lógica y precisión
de los procesos. Se presenta un proceso de información simultáneo para
comparar contra resultados predeterminados.
4. Simulación: Se desarrolla un programa de aplicación para determinada prueba y
se compara el resultado con los arrojados por la aplicación real.
5. Revisiones de acceso: Consiste en conservar un registro computarizado de
todos los accesos a determinados archivos (información del usuario y terminal)
Software de Auditoria.
6. Registros extendidos: Agregar un campo de control a un registro - Software de
Auditoria.
7. Totales aleatorios de ciertos programas: Consiste en obtener totales de datos
en alguna parte del sistema, para verificar su exactitud en forma parcial -
8. Selección de determinado tipo de transacciones como auxiliar en el análisis
de un archivo histórico: Con el fin de analizar en forma parcial el archivo
histórico de un sistema, el cual sería casi imposible verificar en forma total -
9. Resultados de ciertos cálculos para comparaciones posteriores: Con el fin de
comparar en el futuro los totales en diferentes fechas - Software de Auditoria.
La TAAC anteriormente descritas, ayudan al AUDITOR a establecer una

metodología para la revisión de los sistemas de aplicación de una institución,
empleando como herramienta EL MISMO EQUIPO DE COMPUTO.
El COMPUTADOR le facilita al AUDITOR realizar tareas como:

• Trasladar los datos del sistema a un ambiente de control del auditor.
• Llevar a cabo la selección de datos.
• Verificar la exactitud de los datos.
• Hacer muestreo estadístico.
• Visualización de datos.
________________________________________________________________________________
25
• Ordenamiento de la información.
• Producción de reportes e histogramas,
Lo anterior implica una metodología que garantiza una revisión más extensa e
independiente, que podría consistir en los siguientes pasos:
• Selección del sistema de información a revisar.

• Obtención de la documentación de los archivos que incluye: Nombre del archivo
y descripción, nombre de los campos y descripción (longitud, tipo), codificación
empleada, etc.
• Trasladar el archivo de datos a un PC con gran capacidad de almacenamiento.
• Llevar a cabo con un software de auditoria las verificaciones que se mencionan
anteriormente.
• Participación del Auditor en el desarrollo de sistemas.
En resumen: El Auditor debe tener la habilidad para revisar y probar la integridad

de los sistemas y sus ACTIVIDADES PRINCIPALES SERÁN:
• Verificar los controles y procedimientos de autorización de la utilización y

captura de los datos, su proceso y salida de información, así como los programas
que las generan. Es importante revisar los procedimientos para el mantenimiento
de los programas y las modificaciones a los sistemas.
• Revisar las transacciones realizadas para asegurarse de que los archivos reflejan
la situación actual.
• Revisar las transacciones y los archivos para detectar posibles desviaciones de
las normas establecidas.
• Asegurarse de que las aplicaciones cumplan con los objetivos definidos en la
planeación.
• Revisar todos los cambios hechos a los programas y sistemas para verificar la
integridad de las aplicaciones.
A continuación se detallan las principales técnicas de auditoria asistidas por

computador.
1.8.1. PROGRAMAS DE AUDITORIA ASISTIDOS POR EL COMPUTADOR
Esta técnica consiste en programas de computación preparados de acuerdo con

especificaciones dadas por el auditor, con el objetivo de procesar información del
ente con relevancia de auditoria.
Pueden tratarse de:
a) Programas "en paquete": generalmente son programas de computación
desarrollados para realizar funciones de procesamiento de datos, que pueden
incluir la lectura de archivos de datos, la selección de información, la realización
de cálculos, la creación de archivos e informes de acuerdo con un formato
establecido por el auditor;
b) Programas escritos a medida: son programas de computación desarrollados
para realizar una tarea de auditoria específica. Las funciones que desarrollan son
similares a las detalladas precedentemente.
c) Programas utilitarios', son programas usados por el ente para la realización de
funciones de procesamiento comunes tales como clasificación de datos, creación
e impresión de archivos. Estos programas generalmente no son desarrollados con
propósitos de auditoria, pero en ciertas circunstancias pueden servir para la
realización de un procedimiento específico de auditoria. Por ejemplo: clasificación
de los clientes por significatividad del saldo a una fecha dada, con propósitos de
circularización o para aplicar un procedimiento sustantivo o. con un criterio
________________________________________________________________________________
26
similar, clasificar los pagos de un periodo dado, o los sueldos y jornales pagados
en un mes determinado.
Los usos más comunes de estos programas para auditoria están referidos a la
obtención de evidencia sustantiva de auditoria.
Estos programas, en general, representan ventajas en cuanto a practicidad y
eficiencia, en comparación con los procedimientos de auditoria manuales. En
muchos casos consisten en la primera parte de un procedimiento de auditoria
mayor, que luego se completa, a partir de datos generados por el computador, con
tareas de control manuales.
Algunas de las ventajas de estos programas de auditoria con respecto a procesos

manuales son:
• La información contable y financiera puede ser reorganizada dentro de formatos

que faciliten el uso por parte del auditor,
• La información puede ser seleccionada y clasificada con mayor rapidez y
exactitud,
• Partidas significativas de auditoria pueden ser identificadas rápidamente, con
propósitos de análisis adicional.
Como se mencionó precedentemente, el propósito general del uso de programas de

auditoria es para mejorar la eficacia y eficiencia en el enfoque de auditoria. En
algunos casos donde en los sistemas administrativos del ente existe una pérdida
importante de la evidencia visible de auditores debido al procesamiento electrónico
de datos, el uso de estos programas de auditoria asistidos por computador
representan la única alternativa viable para un enfoque de auditoria eficaz y
eficiente.
Estos programas pueden ser particularmente útiles en las siguientes aplicaciones:

• Para seleccionar muestras de auditoria que serán luego utilizadas en el trabajo de
auditoria. Los criterios sobre los cuales el programa selecciona la muestra son
determinados por el auditor, y podrán ser al azar o en base a la significatividad de
las partidas, o a una combinación de ambos. Ejemplos de aplicaciones al respecto
son:
- Clasificación de cuentas a cobrar en función de los montos (lo que sería un ABC
de la cartera de clientes).
- Selección de cuentas a cobrar vencidas por más
de un determinado plazo en días (como paso previo para el análisis de la
suficiencia de la previsión para cuentas de dudoso cobro).
- Selección de cuentas a cobrar que exceden un determinado monto y están
vencidas,
- Selección de operaciones de pago significativas (por sobre determinado monto).
Procedimientos similares pueden aplicarse para seleccionar cualquier tipo de
operaciones del ente: facturas, notas de débito o crédito, informes de recepción
para un determinado producto por montos no significativos, etc.
- Selección de partidas de inventario con poco movimiento o con cantidades físicas
en existencias* muy significativas en relación al consumo normal. Esto ayudará
al auditor en su análisis de la previsión para inventarios.
- Selección de adquisiciones o bajas de activos fijos.
-Selección de muestras de empleados en función de salarios, horas trabajadas en
un periodo, beneficios- sociales percibidos, etc.
- Selección de productos en inventario con propósito de recuento físico.
________________________________________________________________________________
27
• Para realizar cálculos aritméticos de acuerdo con criterios establecidos por el

auditor. Por ejemplo:
- Recalculo del monto de depreciación de bienes de uso.
- Preparación de un listado de antigüedad de las cuentas a cobrar, o verificación
en forma de test del listado que prepara el ente.
- Cálculo del devengamiento de intereses, valuación de obligaciones contractuales
con cláusulas de ajuste especiales, etc.
• Para sumarizar y comparar información en diferentes archivos computadorizados.
Por ejemplo:
- Apareamiento de archivos de proveedores comerciales con cuentas de inventarios
y gastos.
- Apareamiento de cuentas de sueldos y jornales con las correspondientes cuentas
de absorción de costos y gastos.
- Apareamiento de registros de informes de recepción de bienes con registros
individuales de pasivos comerciales.
- Apareamientos de registros de remitos de clientes con facturas individuales a
clientes.
-Comparación de registros de pagos por proveedores con el archivo maestro de
proveedores, para verificar que los pagos se han efectuado sólo a proveedores
autorizados.
1.8.2. TECNICAS DE RECUPERO Y ANALISIS EN MICROCOMPUTADORES
Esta técnica consiste en el recupero de información almacenada en el sistema

computadorizado del ente a través de un microcomputador utilizado por el auditor.
Es conocida como "downloading" y permite el acceso a los sistemas de
procesamiento principal por parte del auditor para su análisis, estratificación,
selección de partidas, verificación de cálculos, etc.
Algunas aplicaciones de auditoria de estas técnicas de downloading se detallan a

continuación:}
 Preparación de planillas de control por componente para los papeles de

trabajo de auditoria, en base a información recuperada del sistema
computadorizado del ente.
• Obtención de información a los efectos de cumplir procedimientos de revisión
analítica:
- Comparación de saldos entre cuentas a diferentes fechas.
- Análisis de tendencias de saldos.
- Análisis de índices económico-financieros.
- Análisis de variaciones.
Las técnicas de "downloading" han evolucionado significativamente en estos últimos

años y representan una valiosísima ayuda para el auditor. Su utilización en el
futuro será cada vez más creciente.
1.8.3. TECNICAS DE DATOS DE PRUEBAS
Esta técnica consiste en el procesamiento de un lote de documentos ficticios en el

sistema de computación que se pretende probar, para obtener satisfacción con
respecto a que los controles de procesamiento y las funciones de procesamiento
computadorizadas estén operando efectivamente.
Las técnicas de datos de prueba son métodos para obtener satisfacción de auditoría
a través del ingreso al sistema computadorizado del ente de un grupo de
transacciones generada por el auditor y cuyos resultados son luego comparados
________________________________________________________________________________
28
con los resultados obtenidos previamente. Son desarrolladas principalmente para

asistir al auditor en la revisión de los controles de procesamiento y funciones de
procesamiento computadorizadas. Algunos casos comunes de técnica de datos de
prueba se detallan a continuación:
a) Verificación de procedimientos de aprobación automáticos. Si el sistema del

ente prevé una aprobación automática en las transacciones, como por ejemplo la
aprobación de facturas de venta en función de los límites de crédito del cliente, el
auditor podrá desarrollar en su lote de prueba transacciones significativas que
superen el límite de crédito asignado al cliente y controlar que el sistema rechace
dicha transacción. Otro ejemplo es el caso de aceptación de mercaderías sólo en
función de órdenes de compra colocadas y verificar que efectivamente el sistema
no permite la recepción de bienes por los cuales no exista la correspondiente
orden de compra, o que las unidades recibidas excedan a las solicitadas, etc,
b) Verificación de comparaciones cálculos y acumulaciones. Este tipo de
pruebas trata de verificar que la lógica del sistema funcione correctamente.
Varias son las aplicaciones donde el auditor verificará el correcto procesamiento,
como por ejemplo: procesamiento de notas de débito por intereses y que dadas
las características del ajuste, el sistema calcule el interés a ser facturado. Otros
ejemplos usuales son: altas de activos fijos y cálculo de depreciación, carga ’de
una serie de operaciones de venta a un cliente y verificar la posterior
acumulación de operaciones en la cuenta y la correcta clasificación por
antigüedad del saldo.
c) Verificación de la oportuna y correcta emisión de informes de excepción. A
través de los datos de prueba el auditor puede verificar que, Rara aquellas
operaciones extraordinarias, por su característica o monto significativo, en cuyos
casos está prevista la generación de informes por excepción a la gerencia, el
sistema los produzca efectivamente.
d) Verificación del funcionamiento de los controles de edición y validación de
datos. La mayoría de los sistemas computadorizados incluyen controles de
edición y validación de datos que detectan e informan o rechazan errores en la
información de entrada de datos al sistema. Si el auditor desea probar el correcto
funcionamiento de estos controles podrá, en su lote de prueba, incluir
información que deba ser detectada por el sistema:
• Números de clientes o proveedores inexistentes.
• Cantidades de compra de productos negativas,
• Cantidad de horas trabajadas mayores a las reales del periodo que se liquida.
• Montos diferentes de debe y haber de un asiento de diario.
1.8.4. CONCEPTOS AVANZADOS DE SISTEMAS EN LINEA
Las operaciones son procesadas al momento de registrarlas, en vez de acumularla

en lotes. Los datos pueden ser registrados en una terminal remota de entrada
conectada a la unidad central de proceso por líneas de comunicación. Se refiere a
un sistema operativo con terminales, sin implicar su modo de operación. Un
sistema en línea acepta y almacena datos desde varias terminales, pero no
necesariamente implica la actualización de archivo maestro.
Sistema en tiempo real

Se refiere al tiempo requerido para que una acción, actividad o decisión tenga lugar.
El término se usa para referirse a sistemas de respuestas rápidas en los cuales los
archivos son actualizados tan pronto como las operaciones son registradas y en los
cuales los datos de salida son proporcionados inmediatamente al ser solicitados.
Los sistemas en tiempo real, son siempre en línea.
________________________________________________________________________________
29
Un sistema de tiempo real es aquel en el que para que las operaciones

computacionales estén correctas no depende solo de que la lógica e implementación
de los programas computacionales sea correcto, sino también en el tiempo en el que
dicha operación entregó su resultado. Si las restricciones de tiempo no son
respetadas el sistema se dice que ha fallado; Por lo tanto, es esencial que las
restricciones de tiempo en los* sistemas sean cumplidas. El garantizar el
comportamiento en el tiempo requerido necesita que el sistema sea predecible.
Sistemas integrados
Diseñados para minimizar las operaciones y los registros duplicados. El sistema se
diseña de tal manera, que los registros para las funciones diferentes con
información similar, sean combinados en un solo registro que los incluya a todos.
Algunas características son:
1. Una vez iniciado el sistema, un solo documento fuente, con la descripción de la

operación o proporcionando otros datos inicia la actualización de todos los
registros asociados con la operación o con la partida de datos.
2. Las partes del sistema están interrelacionadas y se eliminan los registros
duplicados. Un Sistema Integrado, no necesita ser un sistema en Tiempo'Real.
Un sistema puede estar completo o parcialmente integrado.
Bases de datos
Es cualquier conjunto de datos organizados para su almacenamiento en la memoria

de un ordenador o computadora, diseñado para facilitar su mantenimiento y acceso
de una forma estándar. La información se organiza en campos y registros. Un
campo se refiere a un tipo o atributo de información, y un registro, a toda la
información sobre un individuo. Por ejemplo, en una base de datos que almacene
información de tipo agenda, un campo será el NOMBRE, otro el TEL, otro la
DIRECCIÓN..., mientras que un registro viene a ser como la ficha en la que se
recogen todos los valores de los distintos campos para un individuo, esto es, su
nombre, teléfono, dirección... Los datos pueden aparecer en forma de texto,
números, gráficos, sonido o vídeo, Normalmente las bases de datos presentan la
posibilidad de consultar datos, bien los de un registro o los de una serie de registros
que cumplan una condición.
Proceso de datos distribuidos
Hace mención a una red de ordenadores locales; es decir, que los datos están
distribuidos en los PC que conforman la red. A menudo se trata de mi ni-
ordenadores conectados en Línea a uno central. Los sistemas distribuidos pueden
consistir en diversos servidores que alojen datos, de forma que el cliente no tiene
por qué conocer exactamente dónde se encuentran, simplemente hace una petición
de servicio, y es el sistema servidor el encargado de localizarlos y proporcionar el
resultado de la consulta al usuario que hizo la petición
Sistemas expertos
Es un sistema informático que incorpora en forma operativa el conocimiento de una

persona experimentada, de forma que es capaz tanto de responder como esa
persona, como de explicar y justificar sus respuestas. Actúan como ayudantes
inteligentes de los expertos humanos y como consultores cuando no se tiene
ninguna otra posibilidad de acceder a la experiencia y al conocimiento. Este sistema
adopta decisiones o resuelve problemas de un determinado campo, como las
finanzas o la medicina, utilizando los conocimientos y las reglas analíticas definidas
por los expertos en dicho campo. Los expertos solucionan los problemas utilizando
________________________________________________________________________________
30
una combinación de conocimientos basados en hechos y en su capacidad de

razonamiento.
En los sistemas expertos, estos dos elementos básicos están contenidos en dos
componentes separados, aunque relacionados: una base de conocimientos y una
máquina de deducción, o de inferencia. La base de conocimientos proporciona
hechos objetivos y reglas sobre el tema, mientras que la máquina de deducción
proporciona la capacidad de razonamiento que permite al sistema experto extraer
conclusiones.
Los sistemas expertos facilitan también herramientas adicionales en forma de

ínterfaces de usuario y los mecanismos de explicación. Las interfaces de usuario, al
igual que en cualquier otra aplicación, permiten al usuario formular consultas,
proporcionar información e interactuar de otras formas con el sistema. Los
mecanismos de explicación, la parte más fascinante de los sistemas expertos,
permiten a los sistemas explicar o justificar sus conclusiones, y también posibilitan
a los programadores verificar el funcionamiento de los propios sistemas
1.9. ENFOQUES DE LA AUDITORIA INFORMÁTICA

1.9.1. AUDITORIA ALREDEDOR DEL COMPUTADOR
En este enfoque de auditoria, los programas y los archivos de datos no se auditan.

La auditoría alrededor del computador concentra sus esfuerzos en la entrada de
datos y en la salida de información. Es el más cómodo para los auditores de
sistemas, por cuanto únicamente se verifica la efectividad del sistema de control
interno en el ambiente externo de la máquina. Naturalmente que se examinan los
controles desde el origen de los datos para protegerlos de cualquier tipo de riesgo
que atente contra la integridad, completitud, exactitud y legalidad.
La auditoria alrededor del computador no es tan simple como aparentemente puede

presentarse, pues tiene objetivos muy importantes como:
1. Verificar la existencia de una adecuada segregación funcional.
2. Comprobar la eficiencia de los controles sobre seguridades físicas y lógicas de los
datos.
3. Asegurarse de la existencia de controles dirigidos a que todos los datos enviados
a proceso estén autorizados.
4. Comprobar la existencia de controles para asegurar que todos los datos enviados
sean procesados.
5. Cerciorarse que los procesos se hacen con exactitud.
6. Comprobar que los datos sean sometidos a validación antes de ordenar su
proceso.
7. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la
posterior realimentación de los datos corregidos al proceso.
8. Examinar los controles de salida de la información para asegurar que se eviten
los riesgos entre sistemas y el usuario.
9. Verificar la satisfacción del usuario. En materia de los informes recibidos.
10. Comprobar la existencia y efectividad de un plan de contingencias, para
asegurar la continuidad de los procesos y la recuperación de los datos en caso de
desastres.
Se puede apreciar la ambición de los objetivos planteados, pues solamente faltarían
objetivos relacionados con el examen de los archivos y los programas, lo cual es
parte de otro enfoque.
Informe de esta Auditoria: deberá redactarse en forma sencilla y ordenada,

haciendo énfasis en los riesgos más significativos e indicando el camino a seguir
mediante recomendaciones económicas y operativamente posibles.
________________________________________________________________________________
31
Pasos que se deben seguir en la auditoria:

• Metodología de la auditoria.
• Objetivos de la auditoria.
• Evaluación del sistema de control interno.
• Procedimientos de auditoria.
• Papeles de trabajo.
• Deficiencias de control interno.
• Informe de auditoría.
1.9.2. AUDITORIA A TRAVES DEL COMPUTADOR
Este enfoque está orientado a examinar y evaluar los recursos del software, y surge
como complemento del enfoque de auditoria alrededor del computador, en el
sentido de que su acción va dirigida a evaluar el sistema de controles diseñados
para minimizar los fraudes y los errores que normalmente tienen origen en los
programas.
Este enfoque es más exigente que el anterior, por cuanto es necesario saber con
cierto rigor, lenguajes de programación o desarrollo de sistemas en general, con el
objeto de facilitar el proceso de auditaje.
Objetivos de esta auditoria

• Asegurar que los programas procesan ¡os datos, de acuerdo con las necesidades
del usuario o dentro de los parámetros de precisión previstos.
• Cerciorarse de la no-existencia de ruanas fraudulentas al interior de los
programas.
• Verificar que los programadores modifiquen los programas solamente en los
aspectos autorizados.
• Comprobar que los programas utilizados en producción son los debidamente
autorizados por el administrador.
• Verificar la existencia de controles eficientes para evitar que los programas sean
modificados con fines ilícitos o que se utilicen programas no autorizados para ¡os
procesos comentes.
• Cerciorarse que todos los datos son sometidos a validación antes de ordenar su
proceso correspondiente.
Informe de Auditoria: deberá orientarse a opinar sobre la validez de los controles,

en este caso de software, para proteger los datos en su proceso de conversión en
información.
1.9.3. AUDITORIA CON EL COMPUTADOR
Este enfoque va dirigido especialmente, al examen y evaluación de los archivos de

datos en medios magnéticos, con el auxilio del computador y de software de
auditoria generalizado y /o a la medida.
Este enfoque es relativamente completo para verificar la existencia, la integridad y
la exactitud de los datos, en grandes volúmenes de transacciones.
La auditoría con el computador es relativamente fácil de desarrollar porque los
programas de auditoria vienen documentados de tal manera que se convierten en
instrumentos de sencilla aplicación. Normalmente son paquetes que se aprenden a
manejar en cursos cortos y sin avanzados conocimientos de informática.
Los paquetes de auditoria permiten desarrollar operaciones y prueba, tales como:

1) recálculos y verificación de información, como por ejemplo, relaciones sobre
nómina, montos de depreciación y acumulación de intereses, entre otros.
2) Demostración gráfica de datos seleccionados.
3) Selección de muestras estadísticas.
________________________________________________________________________________
32
4) Preparación de análisis de cartera por antigüedad.
Informe de Auditoria: Este informe deberá versar sobre la confiabilidad del sistema
de control interno para proteger los datos sometidos a proceso y la información
contenida en los archivos maestros.
Los tres (3) enfoque de auditoria vistos, son complementarios, pues ninguno de los
tres, es suficiente para auditar aplicaciones en funcionamiento.
1.9.4. SEGURIDAD LOGICA Y CONFIDENCIAL
La seguridad Lógica y Confidencial hace un gran énfasis en la conservación y

protección de la información y valora esa información como el activo más
importante de la empresa y por eso tiene en cuenta que:
• La computadora es un instrumento que almacena información y por tanto:

Es confidencial.
Puede ser mal utilizada se puede prestar para Fraudes.
Se pueden presentar sabotajes que provoquen destrucción de información.
• La información puede ser de gran importancia y el no tenerla puede provocar
atrasos sumamente costosos.
• El centro de cómputo puede ser el activo + valioso y al también el + vulnerable.
• El 95% de los delitos por computadora han sido descubiertos por casualidad y
no se divulgan para no dar ideas a personas mal intencionadas.
• Los fraudes, falsificaciones y venta de información hechos a la computadora o
por medio de ellas es una constante.
• El incremento de los fraudes por computadora crece más rápido que los
sistemas de seguridad.
• Los procedimientos de Auditoria y seguridad son responsabilidad del Usuario y
del Departamento de Auditoria Interna.
• AL AUDITAR los sistemas, se debe tener en cuenta que no se tengan copias
piratas y que al conectamos en RED no exista posibilidad de transmisión de
VIRUS.
Motivo de los delitos por computadora

• Beneficio Personal.
• Beneficios para la organización.
• Síndrome de Robin Hood (Para beneficiar a otras personas).
• Jugando a jugar.
• Fácil desfalcar.
• El Depto. Es deshonesto.
• Odio a la organización (Revancha),
• El individuo tiene problemas financieros.
• La computadora no tiene sentimientos ni delata.
• Equivocación de ego (Deseo de sobresalir en alguna forma).
• Mentalidad turbada.
Factores que permiten el incremento de delitos por PC

• Aumento del # de personas que estudia computación,
• Aumento del # de empleados con acceso a los equipos.
• Facilidad en el uso de los equipos de cómputo.
• Incremento en la concentración del # de aplicaciones, y de la
información.
Estos factores son el objetivo del centro de cómputo, pero también constituye un
incremento del riesgo del delito.
________________________________________________________________________________
33
El uso inadecuado del computador empieza con la utilización del tiempo de

máquina para usos ajenos al de la organización, la copia de programas para fines
comerciales, el acceso vía telefónica para copiar o modificar datos con fines
fraudulentos.
Los delitos pueden ser no intencionales Ejemplo.
IMAGINASE una compañía de publicidad por correo ¿Cuánto podría costarle que
la competencia adquiriera su lista de correo o que la información ‘sea cambiada o
dañada? Ej. Una compañía de venta puerta a puerta, le sustrajeron la lista de
clientes, la cual fue vendida a la competencia; la compañía estimo la perdida en
ventas en $ 7.062.000.000.
Actualmente las compañías tienen grandes dispositivos de seguridad física de las

computadoras; LO GRAVE, es que se tiene la idea que los sistemas no pueden se
violados si no se entra a la sala de computo, olvidándose del uso de terminales y
de sistemas remotos de teleproceso.
Se piensa como en el caso de incendio o robo, que eso no me puede suceder a mí o
es poco probable que suceda aquí.
Algunos gerentes creen que las computadoras y sus programas son tan complejos,
que nadie fuera de ia compañía los va a entender y no les van a servir: pero existe
gran # de personas que pueden captar la información de un sistema y hacer de
ella su segundo ingreso.
El incremento en los fraudes, ha ocasionado el incremento en la seguridad física y
lógica con la desventaja que la seguridad lógica requiere mucho recurso de
computador. Lo ideal es obtener la seguridad adecuada, de acuerdo a la seguridad
requerida con el menor costo posible.
Se debe tener en cuenta la posibilidad de fraude cometida por los empleados en el
desarrollo de sus funciones. A) el más común es en el desarrollo de programas, en
el cual se pueden insertar rutinas con fines dañinos (borrar información, beneficio
personal-nómina, robar información, venganza, etc.), de ahí la necesidad de tener
¡os programas fuente y/o debidamente documentados.
Peligroso no tener los programas documentados, porque se crea dependencia con
aquellos empleados que concentran en su memoria toda la información referente a
la construcción, mantenimiento y reformas de los programas.
La seguridad empieza con la simple clave de acceso (password), hasta sistemas

complicados, pero debe evaluarse que entre más complicados los dispositivos de
seguridad, resultan más costosos; por tanto, se debe mantener una adecuada
relación de seguridad-costo en los sistemas de información.
Un sistema integral de seguridad debe comprender:

• Elementos administrativos.
• Definición de una política de seguridad.
• Organización y definición de responsabilidades.
• Seguridad física y contra catástrofes (incendio, terremoto, etc.).
• Practicas de seguridad del personal.
• Pólizas de seguros.
• Elementos técnicos y procedimientos.
• Sistemas de seguridad de equipos y de sistemas, incluyendo redes y terminales.
• Aplicación de los sistemas de seguridad incluyendo datos y archivos.
• El papel de los Auditores tanto interno como externo.
• Planeación de programas de desastre y su prueba. Los accidentes pueden
surgir por mal manejo de la Admón., por negligencia o por ataques
intencionales hechos por ladrones, fraudes, sabotajes o por situaciones propias
de la Cia. Ej. Huelgas
________________________________________________________________________________
34
El poder trabajar con la posibilidad de un desastre debe ser algo común, debe
planearse como evitarlo y qué hacer cuando ocurra.
Se debe evaluar el riesgo que pueda tener el daño en las instalaciones y/o en las
aplicaciones, con gran impacto en la Cia. y/o en la comunidad si el servicio se
interrumpe por cierto período; otras pueden fácilmente continuar sin afectar
fuertemente la Cia. Ej. Por medio de métodos manuales. Para establecer la
RELACIÓN COSTO / BENEFICIO entre el costo por pérdida de información y el
costo de un sistema de seguridad debemos tener en cuenta algunos puntos como:
1. Clasificar la aplicación en términos de riesgo (alto, medio, bajo).

2. Identificar aplicaciones con alto riesgo.
3. Impacto en la suspensión de aplicaciones con alto riesgo.
4. Medidas de seguridad necesarias acorde a la seguridad requerida.
5. Justificar el costo de implantar las medidas de seguridad
1.10. NORMAS PROFESIONALES
A continuación se analiza en forma general el efecto que sobre las normas

profesionales de auditoria ha tenido el procesamiento electrónico de datos, y cuál es
el enfoque propuesto por estos organismos profesionales para la auditoria de entes
con alta participación de sistemas computadorizados en la generación de
información financiera clave.
1.10.1. ESTADOS UNIDOS DE NORTEAMERICA
El A.I.C.P.A. (American Institute of Certified Public Accountants - Instituto

Norteamericano de Contadores Públicos) es el organismo profesional que dicta las
normas de auditoria (denominadas SAS-Statement on Auditing Standards) de
aplicación obligatoria en los Estados Unidos de Norteamérica.
El SAS 1, que constituye un resumen y codificación de pronunciamientos
previamente emitidos por el Comité de Procedimientos de Auditoria, establece que:
Debido a que la definición de control contable y ¡os conceptos básicos concernientes

a éste se expresan en términos de objetivos, ellos son independientes del método de
procesamiento de datos empleado. Consecuentemente, se aplican a sistemas
manuales, mecanizados o electrónicos. Sin embargo, la organización y
procedimientos requeridos para estos objetivos pueden ser afectados por los
métodos utilizados por el procesamiento de datos.
Si bien el empleo de ciertos métodos de procesamiento no afectan los objetivos de
control interno, si pueden influir en el enfoque a utilizar para lograr esos objetivos.
Por esta causa también puede influir en los procedimientos empleados por el
auditor en el estudio y evaluación del control interno contable para determinar la
naturaleza, oportunidad y extensión de las pruebas de auditoria aplicables a su
examen de los estados financieros.
Este aspecto es resumido en el SAS 3 bajo la siguiente definición:
Los procedimientos de control contable ejecutados tanto dentro del área de

sistemas (Centro de cómputos) como por los departamentos usuarios influyen en la
efectividad del sistema y deberán ser considerados en forma conjunta por el
auditor.
Por último, con el SAS 48 se reafirma el concepto de que en aquellos casos donde
los sistemas computadorizados tengan una alta influencia sobre las cifras incluidas
en ¡os estados contables, el auditor deberá necesariamente probar la razonabilidad
de dicho medio de procesamiento:
________________________________________________________________________________
35
"Los objetivos específicos no cambian si la información contable es procesada

manualmente o por computador. Sin embargo, los procedimientos de auditoria a
través de los cuales se reúne la evidencia de auditoria necesaria pueden ser
influenciados por e¡ método de procesamiento de ¡a información. El auditor puede
usar procedimientos de auditoria manuales o técnicas de auditoria por computador
y/o una combinación de ambos, para obtener suficiente y adecuada evidencia de
auditoria.
Sin embargo, en ciertos sistemas contables, por el particular uso del computador en
el procesamiento de aplicaciones computadorizadas contables significativas podría
ser dificultoso o imposible para el auditor obtener información necesaria para su
enfoque sin la asistencia del computador”.
En resumen, los pronunciamientos de auditoria vigentes en ¡os Estados Unidos de

Norteamérica establecen claramente que:
* Los objetivos de control no difieren si el procesamiento de la información se lleva

a cabo por un sistema manual o computadorizado;
* Cuando los sistemas de información de significación se procesan por un medio
computadorizado el auditor deberá llevar a cabo las pruebas necesarias para
confirmar el razonable funcionamiento de esos sistemas computadorizados.
* Existirán sistemas de información computadorizados donde el auditor podrá
obtener evidencia, razonable de auditoria por medio de una prueba distinta de
una técnica de auditoria con asistencia del computador.
Evidentemente, en los casos de sistemas de información computadorizados de una

complejidad tal que el auditor no pueda cumplir por sí mismo todos los
procedimientos de revisión necesarios para satisfacerse de la razonabilidad del
procesamiento de ¡a información y los controles existentes, deberá contar con la
colaboración de un especialista en el área de sistemas.
1.10.2. REPUBLICA ARGENTINA
Las normas de auditoria obligatorias vigentes en este país no hacen referencia

directa al tema de entes con alta participación de sistemas de información
computarizados.
Sin embargo, ciertas definiciones incluidas en la Resolución Técnica N° 7 de la

Federación Argentina de Consejos Profesionales de Ciencias Económicas (FACPCE)
en lo referente a "Normas referentes al desarrollo de la auditoria", deberían ser
interpretadas en los casos de entes con utilización de EDP para aplicaciones
contables significativas, como una norma que obliga al auditor a la evaluación y
prueba de dichos sistemas.
Las mencionadas definiciones relativas a las tareas que debe cumplir el auditor a
efectos de obtener los elementos de juicio válidos para emitir su opinión son:
• lograr un conocimiento adecuado de la estructura del ente, sus operaciones y

sistemas;
• evaluar las actividades de control de los sistemas que son pertinentes a su
revisión, siempre que, con relación a su tarea, el auditor decida depositar
confianza en tales actividades;
• la evaluación debería incluir el relevamiento de las actividades de control, la
comprobación de que esas actividades formales se aplican en la práctica y el
análisis de si dichas actividades de control son razonables.
________________________________________________________________________________
36
Si se tiene en cuenta que en los casos de sistemas de información

computadorizados, una gran cantidad de controles de alta importancia relativa se
llevan a cabo directamente durante el procesamiento de la información, es evidente
que el auditor tendrá necesidad de definir controles clave (sobre los que piensa
depositar confianza de auditoria), en dicha etapa del sistema de información, ya que
hace a un enfoque de auditoria más eficiente y eficaz.
1.10.3. NORMAS INTERNACIONALES
La Federación Internacional de Contadores (IFAC) también se ha referido al tema

del efecto que sobre el trabajo del auditor tienen los ambientes de generación de
información altamente computadorizados. Lo ha hecho a través de los siguientes
pronunciamientos:
 Guías Internacionales de Auditoria (IAG)

N° 15 - Auditoria en im ambiente computadorizado.
N° 16 - Técnicas de auditoria asistidas por computador,
N° 20 - Efectos de un medio computadorizado sobre el estudio y evaluación del
sistema contable y de los controles internos.
 Declaraciones Internacionales de Auditoria (ISA)
N° 1 - Ambiente EDP microcomputadores
De forma similar a lo propuesto por las normas profesionales vigentes en los

Estados Unidos de Norteamérica, el IAG 15 expone que, si bien el objetivo global
y alcance de una auditoria no se modifica si la información financiera proviene
de un ambiente EDP, el uso de computadores en la generación de información
puede afectar la organización y procedimientos empleados por el ente para
asegurarse un adecuado sistema de control interno.
Por lo tanto, los procedimientos seguidos por el auditor en su estudio y
evaluación de los sistemas de información y control interno relacionado pueden
ser afectados por el ambiente de procesamiento electrónico de datos.
Específicamente, el IAG 15 menciona que, cuando se audita en un ambiente

EDP. El profesional debería contar con un conocimiento suficiente del software,
hardware y de los sistemas de procesamiento, para poder planear e! trabajo y
comprender la forma en que el EDP afecta su enfoque de auditoria.
El IAG 16, que es una ampliación del IAG 15 se refiere a la posibilidad de

mejorar la eficacia y eficiencia del enfoque de auditoria a través del uso de
Técnicas de Auditoria Asistidas por Computador. Estas técnicas están referidas
a una serie de procedimientos de auditoria realizados utilizando el computador
como una herramienta de auditoria.
El IAG 20 fue emitido como un suplemento del IAG 15, En líneas generales
desarrolla los conceptos básicos referidos a los efectos que un medio
computarizado tiene sobre el estudio y evaluación de los sistemas de
información y los controles internos relacionados,
Por su parte, el ISA 1 persigue el propósito de ayudar al auditor a Implementar
el IAG 20 para aplicaciones en microcomputadores, presentando las
características distintivas de los ambientes con microcomputadores y el
impacto que esto tiene sobre los sistemas de información contable y los
controles internos relacionados.
1.10.4. NORMAS DE AUDITORIA I
________________________________________________________________________________
37
Las normas de Auditoria son las indicaciones que en forma obligatoria los auditores
tienen que cumplir en el desempeño de sus funciones de auditoria y presentan los
requisitos personales y profesionales del auditor, además de orientaciones para la
uniformidad en el trabajo con el propósito de lograr un buen nivel de calidad en el
examen. Así mismo indican lo concerniente a la elaboración del informe de
auditoría.
A. Normas Generales
Establecen el ámbito y competencia de la auditoria, son de naturaleza personal y

están relacionadas con las cualidades morales, de conocimiento y capacidad que
debe tener el auditor y con la calidad en el trabajo de auditoria.
Son Normas Generales:
1. Capacidad Profesional
El auditor debe tener suficiente capacidad profesional, experiencia técnica y el
entrenamiento adecuado para planear, organizar y ejecutar de la manera más
eficiente y económica el trabajo de auditoria y con calidad profesional.
Para mantenerse actualizado el auditor deberá estar capacitándose
constantemente en todas las áreas relacionadas con su carrera.
Además, los auditores deben reunir ciertos requisitos como:
a) Conocimiento de métodos y técnicas aplicables.

b) Conocimiento de los principios de contabilidad generalmente aceptados y de las
normas internacionales de auditoria.
c) Habilidad para comunicarse.
d) Experiencia en el ramo.
e) Título profesional correspondiente.
2. Objetividad e independencia
El auditor deberá estar libre de impedimentos e influencias, mantener una actitud

objetiva y absoluta independencia de criterios en la elaboración del informe de su
examen.
La independencia objetiva y mental del auditor es la exigencia y calidad más

importante. La pérdida de tales condiciones elimina por completo la validez de su
informe y su cuestionamiento disminuye considerablemente su credibilidad.
El auditor debe tener la suficiente autonomía de modo que pueda desarrollar la

auditoria con el máximo grado de imparcialidad, sin que haya posibilidades de
efectos negativos en su contra que impidan o limiten su independencia. En el caso
de los auditores internos, se debe responder ante un nivel jerárquico tal, que le
permita a la actividad de auditoria interna cumplir con sus responsabilidades sin
tropiezo alguno.
________________________________________________________________________________
38
Para el logro real de la independencia del auditor, éste no debe tener conflicto de
intereses en las áreas auditadas, que limiten su accionar en forma imparcial y
objetiva. Esto significa que se abstendrán de evaluar operaciones en las cuales
anteriormente tuvieron responsabilidades.
3. Confidencialidad del trabajo de Auditoria

El personal de auditoria mantendrá absoluta reserva en el desempeño de sus
funciones, aún después de haber concluido sus labores y sólo harán del
conocimiento de su trabajo a su superior inmediato.
En el caso de las auditorias que se desarrollan en el Estado, la Constitución de 1a

república obliga a la Contraloría a hacer públicos los resultados, so
4. Incompatibilidad de funciones.
El personal de Auditoria no ejercerá ninguna labor administrativa ni financiera en

las entidades u organismos sujetos a su examen. Ni practicara auditorias en
lugares donde tenga intereses, ya sean económicos o personales.
5. Responsabilidad y cuidado profesional
Los auditores son responsables de cumplir con todas las disposiciones legales y
normativas existentes para el desarrollo de una auditoria y emplear
cuidadosamente su criterio profesional. Debe aplicar adecuadamente su criterio
para determinar el alcance de la auditoria, las técnicas y procedimientos de
auditoria, el equipo de trabajo y de elaborar o preparar los informes pertinentes.
6. Designación del personal para la auditoria
Antes de iniciar una auditoria o examen especial, se designará por escrito,

mediante una credencial, el equipo responsable de su ejecución, el cual ejercerá su
trabajo de acuerdo a los programas de auditoria elaborados y preparados para ese
fin.
7. Control de calidad
Se debe garantizar un adecuado control de calidad del trabajo, a través de una

supervisión constante del trabajo, de la preparación continua de los auditores,
capacitándolos y dándoles las herramientas necesarias para que puedan
desarrollar su trabajo sin presiones ni limitaciones.
1.11. AUDITORIA A DISTANCIA
El empleo de las técnicas informáticas permite introducir un nuevo concepto:

Auditoria a distancia la que se crea como una forma superior de trabajo, en la cual
las comprobaciones asociadas al registro de la actividad, los resultados de la
gestión comercial de las ventas y/o servicios; y el registro de las operaciones diarias
o periódicas de los sistemas, se efectúan a partir de la información disponible en la
instancia superior a la cual se subordina la entidad auditada y con la característica
fundamental que el tiempo de permanencia del auditor en la entidad se reduce de
manera considerable.
No obstante las significativas ventajas que representa esta práctica, su desarrollo

está condicionado por varias premisas, entre las que pueden señalarse, por su
importancia las siguientes:
________________________________________________________________________________
39
• Se requiere de un conocimiento del impacto y sus posibilidades por parte de la

gerencia a todos los* niveles.
• Es necesario mantener una política sistemática de actualización de los medios
técnicos y el aseguramiento de los programas utilizados en las entidades.
• Se requiere de uniformidad en la información de los sistemas, para el registro de
la actividad.
• Se incorporan a la actividad los riesgos y vulnerabilidades de la actividad objeto
de examen asociados al empleo de esta técnica, lo que demanda del órgano de
auditoría la planificación de acciones que permita su reducción al mínimo.
• La capacitación de todo el personal, en particular los dedicados al análisis y
evaluación del estado del Control Interno, aspecto que se convierte en una tarea
de primer orden.
• El flujo sistemático de información en el ámbito de toda la entidad, para permitir
el acceso pleno de los auditores y de otras áreas que lo requieran.
• Adecuada retroalimentación con las distintas áreas que acceden a esta
información con relación a su uniformidad y fiabilidad.
• Disponibilidad de equipamiento y aseguramiento de programas que permitan la
realización de comprobaciones de todo tipo a la información disponible.
No es ocioso reiterar, que en su concepto más amplio, la auditoria a distancia no

elimina la presencia del auditor en la entidad, ya que la verificación documental
sobre operaciones previamente seleccionadas, el análisis de la documentación
contable primaria, la atención al público, la seguridad en el manejo del efectivo y la
seguridad en la salva de información, entre otros aspectos, requieren de su
presencia en la misma.
No obstante la posibilidad de disponer de un gran volumen de información sobre la

entidad, permite reducir a su mínima expresión el tiempo que deben permanecer
los auditores en ésta y la lógica interferencia que el proceso ocasiona. En cuanto a
las ventajas que se derivan de la realización de una Auditoria a Distancia, pueden
señalarse las siguientes:
a) Contribuye a la creación de un ambiente de control. Esta práctica
contribuye a incrementar sustancialmente el ambiente de control en las
entidades auditables. ya que además de provocar un fuerte impacto sobre el
auditado, se fortalece el ambiente de control, al desconocer la unidad en qué
momento está siendo auditada, pues al iniciarse la auditoria no es necesaria la
presencia física del auditor en la unidad. De igual forma las revisiones pueden
estarse realizando en todo momento sin que haya mediado una presentación
oficial.
b) Permite elaborar planes anuales más efectivos. A partir de los indicadores
obtenidos en el procesamiento realizado sobre toda la información disponible y
atendiendo a los principales riesgos asociados a las entidades, los planes de
ejecución de auditorías pueden ser elaborados o modificados de forma más
objetiva, lo cual incrementa la profundidad y fiabilidad en los resultados.
c) Es posible realizar planeamientos más efectivos. La Auditoria a Distancia
permite identificar las áreas y aspectos con potenciales deficiencias previas al
comienzo de la auditoria, lo que unido a los resultados de los análisis de riesgos
efectuados, permite elaborar planeamientos a priori, orientados a los puntos
afectados por la violación del Control Interno y con altos niveles de riesgos para
la entidad, con lo que se disminuye la posibilidad de no detectar un problema,
así como reducir el tiempo dedicado a revisar hechos u operaciones que no
merecen atención.
d) Pueden realizarse consultas a solicitud de las entidades. Otra vertiente de la
Auditoria a Distancia es la posibilidad de brindar apoyo al análisis de
problemas detectados en las unidades por la gerencia a solicitud de ésta, tales
como el lento movimiento, las ventas inadecuadas de productos y la realización
del inventario, entre otros.
________________________________________________________________________________
40
e) Incremento de la productividad. El empleo de la Auditoria a Distancia

permite a la gerencia alcanzar un incremento en la productividad, así como
realizar revisiones en la información de las entidades auditadas, como parte de
su actividad sistemática, con un elevado grado de periodicidad y bajo costo,
además de alcanzar anualmente al 100% de las entidades, ya sea mediante un
trabajo de auditoria o mediante un dictamen.
f) Determinar las deficiencias comunes. La Auditoria a Distancia permite la
detección de deficiencias generalizadas en el marco del órgano de auditoria, lo
que posibilita la adopción de medidas de alcance global que conduzcan a su
erradicación.
AUTOEVALUACIÓN
1. Determine las principales características de los sistemas computarizados y

establezca la diferencia, entre controles y funciones de procesamiento.
2. Los trabajos más frecuentes que realizan los estándares de la auditoria

computarizada son:
a. Verificación matemática de sumas.

b. Selección de muestras de auditorías.
c. Manipulación de la información.
d. Funciones de comparación.
e. Todas las anteriores.
3. Explique las características de los sistemas computarizados.
4. Indique los principales aspectos de una evaluación de efectividad del ambiente de

control.
5. Exponga las ventajas y desventajas de los tipos de sistemas de auditoria

mecanizada.
________________________________________________________________________________
41
6.¿Cómo se efectúa la planificación detallada de la auditoria de sistemas

computarizados?
7. Los temas a considerar para adquirir conocimiento sobre el ambiente de los

sistemas son:
a. Alcance del procesamiento computarizado de la información.

b. Conocimiento de la estructura organizativa de los sistemas.
c. Conocimiento de la naturaleza de la configuración.
d. Tipo de plataforma.
e. Ninguna de las anteriores.
8. ¿Qué comprende el acceso no autorizado al procesamiento y registro de datos?
9. Señale las consecuencias de datos ingresados incorrectamente al sistema.
10. Indique los medios de control y riegos del procesamiento y regístración de

transacciones incompletas y/o inoportunas.
________________________________________________________________________________
42

M - 4 Auditoria en Ambientes Computarizados

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

M - 4 Auditoria en Ambientes Computarizados

Cargado por

Copyright:

Formatos disponibles

AUDITORIA MÓDULO IV

UNIVERSIDAD NACIONAL DE EDUCACION

EDITADO CON FINES DE CAPACITACIÓN

1. AUDITORIA EN AMBIENTES COMPUTARIZADOS

1.2. Características específicas de los sistemas computarizados

1.3. Proceso de auditoria

1.4. Auditoria de sistemas computadorizados. Planificación estratégica

1.5. Auditoria de sistemas computadorizados. Planificación detallada

1.6. Riesgos de aplicación

1.7. Riesgos del departamento de sistemas

1.8. Técnicas de auditoria asistido por el computador

1.9. Enfoques de la auditoria informática

1.10. Normas profesionales

1.11. Auditoria a distancia

Al concluir el estudio del presente módulo el participante deberá

1. AUDITORIA EN AMBIENTES COMPUTARIZADOS

Paralelamente a la evolución de los sistemas computadorizados se fue observando

J. Gómez Morfín en Introducción a la Auditoria de Estados Financieros, México,

Examen de los registros de acuerdo con los criterios especificados.

Según L. Zavaro y C. Martínez en su libro “Auditoria Informática”, las Técnicas de

 Selección e impresión de muestras de auditorías sobre bases estadísticas o no

 Manipulación de la información al calcular subtotales, sumar y clasificar la

 Preparación de Balances de Comprobación y Estados Financieros, que a

 Tomar muestras aleatorias a través de algoritmos elaborados.

Teniendo en cuenta que las actividades auditadas en Comercio Minorista parten de

Además, teniendo en cuenta que se hacía imprescindible auditar sistemas

planeación financiera, mercadotecnia, recursos humanos, sistemas y

La generalizada informatización de los mecanismos económicos que hasta hace

• La transformación de los registros y otros medios tradicionales en ficheros como

Practicar auditorias en un ambiente computarizado, donde la informatización de los

Atendiendo a la importancia que reviste para la auditoria un ambiente informático,

1.2. CARACTERÍSTICAS ESPECÍFICAS DE LOS SISTEMAS COMPUTARIZADOS

En esta obra no se pretende efectuar un análisis detallado de los conceptos

•Normalmente, en los sistemas computadorizados, la información almacenada y

1.2.1. DIFERENCIACIÓN ENTRE CONTROLES Y FUNCIONES DE

Las funciones de procesamiento son determinados pasos de tos sistemas

La distinción entre funciones y controles de procesamiento suele ser compleja.

En general, las funciones de procesamiento son importantes con respecto a la

• Estas funciones de procesamiento pueden ser una fuente significativa de

En un ambiente computadorizado, por el contrario, es probable que esta relación

1.2.2. TIPOS DE SISTEMAS

Además de los programas generalizados de auditorías disponibles, muchos

En el presente trabajo se expondrán un grupo de opciones de análisis y consultas

• Permite organizar datos, consolidarlos y totalizarlos en función de los objetivos

El análisis anterior difiere al realizado por L. Zavaro y C. Martínez donde sólo

Con el incremento de las tecnologías de punta y la necesaria generalización de las

• Nueva Técnica Informática, su auditabilidad e impacto en los procedimientos y

1.3. PROCESO DE AUDITORIA

Si se tratase de una auditoria recurrente, el proceso de análisis de las

a) Enfoque externo o tradicional. Este enfoque consiste en realizar los

Alentado principalmente por el concepto de eficiencia, concepto fundamental de la

El tema de la comunicación correcta al especialista con respecto a la tarea a ser

1.3.1. VENTAJAS DEL USO DE LAS TÉCNICAS DE AUDITORIA ASISTIDA POR

La utilización de las TAAC ofrece las ventajas siguientes:

La utilización de las TAAC ofrece las ventajas siguientes:

 Incrementan o amplían el alcance de la investigación y permiten realizar

1.4. AUDITORIA DE SISTEMAS COMPUTADORIZADOS. PLANIFICACIÓN

Al respecto y en lo relativo a los sistemas de información del ente, en la etapa de

• Ambiente del sistema de información; y

A través de estos dos conceptos se pretende establecer el conocimiento básico que el

1.4.1. AMBIENTE DEL SISTEMA DE INFORMACIÓN

En términos generales, el conocimiento que el auditor debe reunir con respecto al

Los principales temas a considerar para adquirir conocimiento sobre el ambiente de