“Año de la Diversificación Productiva y del Fortalecimiento de la Educación”

SEDE-TINGO MARÍA
FACULTAD DE CIENCIAS EMPRESARIALES
E.A.P. ADMINISTRACIÓN DE EMPRESAS
2011

RIESGOS DE AUDITORIA
CURSO

:

DOCENTE

:

ALUMNA

:

CICLO

:

TINGO MARÍA
2015

DEDICATORIA

Esta trabajo se la dedico a Dios quién me guía por el buen camino, me da fuerzas
para seguir adelante.
A mi familia quienes por ellos soy lo que soy.

AGRADECIMIENTO
A mis docentes de la Universidad de Huánuco, quienes contribuyen en mi
aprendizaje.

RESUMEN
El Análisis de Riesgos constituye una herramienta muy importante para el trabajo del
auditor y la calidad del servicio, por cuanto implica el diagnóstico de los mismos para
velar por su posible manifestación o no. En el presente artículo presentamos
elementos que dan luz a la afirmación anterior y la vinculación imprescindible de los
estudios de Riesgo al servicio de Auditoria.

INTRODUCCIÓN
Los profundos cambios que ocurren hoy, su complejidad y la velocidad con los que
se dan, son las raíces de la incertidumbre y el riesgo que las organizaciones
confrontan. Las fusiones, la competencia global y los avances tecnológicos, las
desregulaciones, y las nuevas regulaciones, el incremento en la demanda de los
consumidores y de los habitantes, la responsabilidad social y ambiental de las
organizaciones así como, la transparencia generan un ambiente operativo, cada día
más riesgoso y complicado, surgiendo en adición nuevos retos con los cuales lidiar,
resultado de los problemas que se presentan en las organizaciones que operan al
margen de la ley o de conductas éticas.
La administración de riesgos en un marco amplio implica que las estrategias,
procesos, personas, tecnología y conocimiento están alineados para manejar toda la
incertidumbre que una organización enfrenta.
Por el otro lado los riesgos y oportunidades van siempre de la mano, y la clave es
determinar los beneficios potenciales de estas sobre los riesgos.

CONCEPTO DE AUDITORIA
Auditoria, en su acepción más amplia significa verificar la información financiera,
operacional y administrativa que se presenta es confiable, veraz y oportuna. Es
revisar que los hechos, fenómenos y operaciones se den en la forma como fueron
planeados; que las políticas y lineamientos establecidos han sido observados y
respetados; que se cumplen con obligaciones fiscales, jurídicas y reglamentarias en
general. Es evaluar la forma como se administra y opera teniendo al máximo el
aprovechamiento de los recursos.

RIESGOS DE AUDITORIA
Es importante en toda organización contar con una herramienta, que garantice la
correcta evaluación de los riesgos a los cuales están sometidos los procesos y
actividades de una entidad y por medio de procedimientos de control se pueda
evaluar el desempeño de la misma.
Si consideramos entonces, que la Auditoría es "un proceso sistemático, practicado
por los auditores de conformidad con normas y procedimientos técnicos establecidos,
consistente en obtener y evaluar objetivamente las evidencias sobre las afirmaciones
contenidas en los actos jurídicos o eventos de carácter técnico, económico,
administrativo y otros, con el fin de determinar el grado de correspondencia entre
esas afirmaciones, las disposiciones legales vigentes y los criterios establecidos." es
aquella encargada de la valoración independiente de sus actividades.
Por consiguiente, la Auditoría debe funcionar como una actividad concebida para
agregar valor y mejorar las operaciones de una organización, así como contribuir al
cumplimiento de sus objetivos y metas; aportando un enfoque sistemático y
disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos,
control y dirección.
Los servicios de Auditoría comprenden la evaluación objetiva de las evidencias,
efectuada por los auditores, para proporcionar una conclusión independiente que
permita calificar el cumplimiento de las políticas, reglamentaciones, normas,
disposiciones jurídicas u otros requerimientos legales; respecto a un sistema,
proceso, subproceso, actividad, tarea u otro asunto de la organización a la cual
pertenecen.
Es una actividad dedicada a brindar servicios que agrega valores consecuentemente
en dependencia de la eficiencia y eficacia en el desarrollo de diferentes tareas y
actividades las cuales deberán cumplirse sistemáticamente en una cadena de

valores que paulatinamente deberán tenerse en cuenta a través de subprocesos que
identifiquen la continuidad lógica del proceso, para proporcionar finalmente la calidad
del servicio esperado.
Viendo la necesidad en el entorno empresarial de este tipo de herramientas y
teniendo en cuenta que, una de las principales causas de los problemas dentro de
los subprocesos es la inadecuada previsión de riesgos, se hace necesario entonces
estudiar los Riesgos que pudieran aparecer en cada subproceso de Auditoría, esto
servirá de apoyo para prevenir una adecuada realización de los mismos.
Es necesario en este sentido tener en cuenta lo siguiente:
 La evaluación de los riesgos inherentes a los diferentes subprocesos de la
Auditoría.
 La evaluación de las amenazas o causas de los riesgos.
 Los controles utilizados para minimizar las amenazas o riesgos.
 La evaluación de los elementos del análisis de riesgos.
Generalmente se habla de Riesgo y conceptos de Riesgo en la evolución de los
Sistemas de Control Interno, en los cuales se asumen tres tipos de Riesgo:
Riesgo de Control: Que es aquel que existe y que se propicia por falta de control de
las actividades de la empresa y puede generar deficiencias del Sistema de Control
Interno.
Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su
revisión no detecten deficiencias en el Sistema de Control Interno.
Riesgo Inherente: Son aquellos que se presentan inherentes a las características
del Sistema de Control Interno.
Sin embargo, los Riesgos están presentes en cualquier sistema o proceso que se
ejecute, ya sea en procesos de producción como de servicios, en operaciones

financieras y de mercado, por tal razón podemos afirmar que la Auditoría no está
exenta de este concepto.
En cada Subproceso, como suele llamársele igualmente a las etapas de la misma, el
auditor tiene que realizar tareas o verificaciones, en las cuales se asumen riesgos de
que esas no se realicen de la forma adecuada, claro que estos Riesgos no pueden
definirse del mismo modo que los riesgos que se definen para el control Interno.
El criterio del auditor en relación con la extensión e intensidad de las pruebas, tanto
de cumplimiento como sustantivas, se encuentra asociado al riesgo de que queden
sin detectar errores o desviaciones de importancia, en la contabilidad de la empresa
y no los llegue a detectar el auditor en sus pruebas de muestreo. El riesgo tiende a
minimizarse cuando aumenta la efectividad de los procedimientos de auditoría
aplicados.
El propósito de una auditoría a los Estados Financieros no es descubrir fraudes, sin
embargo, siempre existe la posibilidad de obtener cifras erróneas como resultado de
una acción de mala fe, ya que puede haber operaciones planeadas para ocultar
algún hecho delictivo. Entre una gran diversidad de situaciones, es posible
mencionar las siguientes:
 Omisión deliberada de registros de transacciones.
 Falsificación de registros y documentos.
 Proporcionar al auditor información falsa.
A continuación se exponen algunas situaciones que pueden indicar la existencia de
errores o irregularidades.

Cuando el auditor tiene dudas sobre la integridad de los funcionarios de la empresa;
si la desconfianza solamente es con relación a la competencia y no con la honradez
de los ejecutivos de la compañía, el auditor deberá tener presente que pudiera

encontrarse con situaciones de riesgo por errores o irregularidades en la
administración.
Cuando el auditor detecte que los puestos clave como cajero, contador,
administrador o gerente, tienen un alto porcentaje de rotación, existe la posibilidad de
que los procedimientos administrativos, incluidos los contables, presenten fallas que
pueden dar lugar a errores o irregularidades.
El desorden del departamento de contabilidad de una entidad implica informes con
retraso, registros de operaciones inadecuados, archivos incompletos, cuentas no
conciliadas, etc. Esta situación como es fácil comprender, provoca errores, tal vez
realizados de buena fe, o inclusive con actos fraudulentos. La gerencia tiene la
obligación de establecer y mantener procedimientos administrativos que permitan un
control adecuado de las operaciones.

TIPOS DE AUDITORIA

 Auditoría Financiera: Consiste en una revisión exploratoria y critica de los
controles subyacentes y los registros de contabilidad de una empresa
realizada por un contador público, cuya conclusión es un dictamen a cerca de
la corrección de los estados financieros de la empresa.
 Auditoria interna: Proviene de la auditoría financiera y consiste en: una
actividad de evaluación que se desarrolla en forma independiente dentro de
una organización, a fin de revisar la contabilidad, las finanzas y otras
operaciones como base de un servicio protector y constructivo para la
administración. En un instrumento de control que funciona por medio de la
medición y evaluación de la eficiencia de otras clases de control, tales como:
procedimientos; contabilidad y demás registros; informes financieros; normas
de ejecución etc.
 Auditoria de operaciones: Se define como una técnica para evaluar
sistemáticamente de una función o una unidad con referencia a normas de la
empresa, utilizando personal no especializado en el área de estudio, con el
objeto de asegurar a la administración, que sus objetivos se cumplan, y
determinar qué condiciones pueden mejorarse. A continuación se dan algunos
ejemplos de la autoridad de operaciones:
* Evaluación del cumplimiento de políticas y procedimientos.
* Revisión de prácticas de compras.
 Auditoria administrativa: Es un examen detallado de la administración de un
organismo social realizado por un profesional de la administración con el fin de
evaluar la eficiencia de sus resultados, sus metas fijadas con base en la
organización, sus recursos humanos, financieros, materiales, sus métodos y
controles, y su forma de operar.
 Auditoría fiscal: Consiste en verificar el correcto y oportuno pago de los
diferentes impuestos y obligaciones fiscales de los contribuyentes desde el
punto de vista físico (SHCP), direcciones o tesorerías de hacienda estatales o
tesorerías municipales.

 Auditoria de resultados de programas: La eficacia y congruencia
alcanzadas en el logro de los objetivos y las metas establecidas, en relación
con el avance del ejercicio presupuestal.
 Auditoria de legalidad: Este tipo de auditoria tiene como finalidad revisar si la
dependencia o entidad, en el desarrollo de sus actividades, ha observado el
cumplimiento

de

disposiciones

legales

que

sean

aplicables

(leyes,

reglamentos, decretos, circulares, etc.)
 Auditoría integral: Es un examen que proporciona una evaluación objetiva y
constructiva acerca del grado en que los recursos humanos, financieros y
materiales son manejados con debidas economías, eficacia y eficiencia.

TRANSACCIONES BÁSICAS EN UNA EMPRESA
 Activos.
- Caja: En esta cuenta se registran todas las entradas que tenga la empresa, ya sea
en efectivo o en cheque.
Se debita por:

1.

Ventas al contado.

2.

Inversión adicional del dueño del negocio en efectivo.

3.

Abonos de clientes.

4.

Cancelaciones de las facturas por parte de los clientes.

Se acredita por:
1.

Depósitos al banco de los fondos que se tiene en caja.

2.

Pagos en efectivo.

3.

Retiro de efectivo por parte del dueño.

Si una cuenta resultó que se acredita entonces tendrás que ponerla por lado
crédito; si por el contrario se debita, la pondrás por el débito.

 Pasivos.
-Cuentas por Pagar: Son las obligaciones de las empresas con los proveedores por
compras al crédito.
Se debita por:
1.

Pago de abonos a deudas.

2.

Cancelación de deudas.

Se acredita por:
1.

Compras de mercancías al crédito.

2.

Compra de activos al crédito.
 Capital.

-Capital de…:
Se debita por:
1.

Ajuste y cierre.

Se acredita por:
1.

Aporte inicial del dueño del negocio.

2.

Inversión adicional del dueño del negocio.
 Ingresos.

-Ventas:
Se debita por:

1.

Cierre de la cuenta (estos cierres se realizan al final del periodo contable).

Se acredita por:
1.

Ventas de mercancías al crédito o al contado.
 Costos.

-Compras:
Se debita por:
1.

Compras de mercancías al crédito o al contado.

Se acredita por:
1.

Cierre de la cuenta.

2.

Retiro de mercancías por parte del dueño del negocio.
 Gastos.

-Todos los gastos llevan el siguiente patrón:
Se debitan por:
1.

Pagos o desembolsos en general (luz, agua, teléfono, salarios, publicidad,

misceláneos...)
Se acreditan por:
1.

Ajuste y cierre.

Estos son los diversos movimientos que tienen las cuentas más utilizadas.

RIESGOS POTENCIALES EN LAS EMPRESAS
Toda organización o empresa,

independientemente del tipo de negocio que

desarrolle está expuesto a muchos tipos de riesgos los cuales pueden ser inciertos.
En algunos casos los riesgos están presentes en todo momento o circunstancia y
son amenazas externas e internas que no precisamente son originadas por una

inadecuada estructura organizacional sino que son inertes a cualquier tipo de
organización.
Existen

muchas clases de riesgos

los cuales son originados desde el ámbito

externo de las compañías los cuales en su momento se debe estar en capacidad de
enfrentar y dar la mejor solución para que las empresas no se lleguen a ver tan
afectadas por dichas amenazas.
Entre algunos riesgos estratégicos e inherentes del negocio tenemos:
Riesgos competitivos normales: A diario como lo son el precio, el servicio, la
calidad, productos sustitutos etc., los cuales deben ser una razón para fortalecer los
procesos, productos y servicios que se están ofreciendo; no dejando de ser un
riesgo permanente.
Riesgo de iliquidez: Se pueden llegar a tener activos improductivos, exceso de
financiaciones, inversiones inoficiosas, inventarios exagerados en bodega etc., los
cuales en un momento dado pueden afectar de manera muy significativa la liquidez
de la empresa.
Riesgo de crédito: En los cuales se puede

encontrar tasas altas de interés,

desconfianza en el mercado, corrupción en general.
Respecto a los riesgos internos o de la organización; los cuales suceden por
carencia de buenas administraciones, ausencia de planificación de los procesos, mal
clima laboral entre otros.
Riesgo de Auditoria: Inherente, detección y control; un equipo de auditor deben ser
constructivo, útil, firme, transparente y razonable en las discusiones de los hallazgos
de la auditoria, debe ser muy profesional en la ejecución de su labor.

Riesgo de Recurso Humano: Riesgos en la contratación del personal sin
investigación suficiente, en la capacitación, promoción y comunicación, fraude.
Riesgos

de

procedimientos:

Manuales

de

instrucciones

desactualizados,

incompletos, demasiados engorrosos, obsoletos con los cuales no se permite una
buena ejecución de las labores.
Riesgo de Información: Tecnológico, disponibilidad de la información, actualización
A estos y muchos más riesgos están expuestas las empresas a diario por lo que se
recomienda tenerlos presente para evitar que se vean gravemente afectadas por las
diferentes circunstancias. En ocasiones son debilidades que pueden no estar
cuantificadas pero que a la larga traen consecuencias económicas negativas.

El propósito de esta Norma Internacional de Auditoría (NIA) es establecer normas y
proporcionar una guía sobre los procedimientos a ser seguidos cuando una auditoria
es realizada en un ambiente de sistemas computarizados de información (CIS). Para
propósitos de las NIAs, un ambiente CIS existe cuando un computador de cualquier
tipo o tamaño está involucrado en el proceso de formulación de información
financiera significativa para la auditoría ya sea que es operada por la entidad o por
un tercero.

Breve introducción
Debido a la creciente instalación de computadoras de diversos tipos y marcas en
nuestro medio, como herramienta de trabajo para ayudar en la administración de
negocios de las empresas, se ha hecho necesario e imprescindible elaborar normas
y procedimientos de Auditoría de Sistemas.
El rápido avance tecnológico en el desarrollo de nuevas técnicas o modalidades de
procesamiento de datos (Software) como en los equipos de máquinas (Hardware),
implica una preocupación por controlar y asegurar debidamente el área de sistemas
de información soportados una computadora, tan importante para la modernización
como para incentivar el crecimiento de las empresa sobre todo en los sectores
comercio e industrias.
2.

Auditoria de sistemas computarizados

2.1.

Concepto

Es el diagnóstico de estado ordenado y minucioso de los sistemas de información
soportados por un equipo electrónico de procesamiento de datos.
2.2.

Importancia

Es necesario supervisar constantemente el buen funcionamiento de un sistema de
información computarizado dada su complejidad, concentración y veracidad de datos
pues de estos depende en gran parte el buen funcionamiento y evolución de una
empresa.

3.

Controles de sistemas en un centro de cómputo

El control interno es posible conceptuarlo como: conjunto de plan de organización,
métodos coordinados y medidas adecuadas, que se adaptan dentro de una empresa
a fin de salvaguardar sus activos, verificar la exactitud, contabilidad y oportunidad de
sus datos contables para mejorar la eficiencia de sus operaciones y vigilar el
cumplimiento de las políticas y estrategias directivas.
Los controles dentro de un sistema de información automatizado es necesario
enfocarlos bajo tres aspectos esenciales que a continuación detallo:
3.1.

Incidencia de Computadora en la Organización

Aún cuando una empresa está estructura organizativamente acorde con la variedad
de influencias modernas, las líneas de responsabilidad y autoridad deben estar
definidas claramente.
La división de responsabilidades funcionales debe definirse por:
a.

Funciones de iniciar y autorizar la transacción.

b.

Registro de la transacción por escrito.

c.

Resguardo de activos resultantes.

Tal división implica especialización brindando mayor eficiencia evita duplicación y
malgasto de esfuerzos y aumenta la efectividad del control directivo.

El resultado de centralizar las actividades de procesamiento de datos y la
concentración de funciones de proceso, produce en efecto notable sobre las
estructuras de la organización desde punto de vista de control.
3.2.

Controles Generales

3.2.1 Controles Generales
a.

El departamento de procesamiento de datos debe funcionar independiente

organizacionalmente de otros departamentos.
b.

El personal de procesamiento de datos no debe ejercer ningún control directo

ni indirecto sobre los activos ni hacer cambios en archivos principales sin la debida
autorización.
c.

Deberá haber una clara segregación de funciones entre:

Diseño y Análisis de Sistemas

Programación

Procesamiento

d.

En lo que compete a Procesamiento deberán segregarse las funciones en:

Operación de Equipo

Bibliotecario

Entrada de Datos

Salida de Datos

e.

Los seguros de la Empresa sobre interrupción de operaciones deben cubrir

interrupciones en procesamiento automático de datos.
f.

La razonabilidad del seguro sobre los registros (archivos) del equipo de

cómputo.
g.

Nivel de gerencia que controla la función efectiva de procesamiento

electrónico de datos a través de:

Establecimiento de políticas

Determinación de objetivos

Establecimiento de prioridades

Revisión periódica de avance en el desarrollo interno y/o estadísticas de

operaciones
h.

Nivel y la independencia de revisión y aprobación de gerencia requeridas para

sistemas contables propuestos y para revisiones.
i.

Personal técnicamente calificado para revisar nuevos sistemas propuestos o

los cambios para dar consideración a:

Conformidad con las políticas de la empresa

Inclusión de factores de control adecuados

j.

En caso de que el equipo de procesamiento fuera alquilado o usado por

extraños se deberá considerar:

Suficientes controles con los ingresos por honorarios de servicio que sean

registrados.

Operadores de afuera no tengan acceso a programas y/o archivos nuestros.

k.

Razonabilidad de las preocupaciones para proceso alternativo en caso de

fallas del equipo y:

Frecuencia con que estos procesamientos son probados en condiciones

reales.

Facilidades alternativas localizadas de manera tal que el riesgo de un desastre

común sea reducido al mínimo.
3.2.2. Controles Específicos
3.2.2.1.
a.

Ambiente Físico

El equipo de procesamiento de datos deberá estar instalado en un solo lugar y

situado de tal manera que proporcione segregación física entre la función operativa y
la función de control.
b.

Restricción de acceso de personal no autorizado a la instalación.

c.

Protección adecuada de archivos proveída por la instalación ante fuego, robo

u otra catástrofe.
3.2.2.2.

Protección de la Lógica de Programas

1.

Deberán haber estándares de documentación de programas, procedimientos y

rutinas lo cual incluye lo siguiente:
a.

Descripción total del sistema y sus objetivos así como también el flujo básico a

información a través del sistema.
b.

Flujograma del sistema general para ilustrar la descripción descrita.

c.

Descripción de las funciones ejecutadas y una descripción general de cómo

cada programa las lleva a cabo.
d.

Diagrama de bloque que muestre la secuencia de operaciones ejecutadas por

el programa.
e.

Descripción de registros mostrando la forma, el contenido y tipo de entradas y

salidas de archivos intermedios.
f.

Listado del programa fuente en lenguaje simbólico.

g.

Instrucciones de operación del programa, procedimientos de parada, fuentes

de entradas y disposición de salidas.
2.

Segregación adecuada de las funciones de:

Diseño y análisis de Sistemas

Programación

3.

Restringir a los programadores y analistas el acceso a la operación del

computador, salvo acceso contado para pruebas y expurgación de programas.

4.

Restringir a los operadores en lo que compete a programación no

supervisada, previa evaluación dar el acceso medido, en medida en que haya
disponibilidad de tiempo.
5.

Los programadores y analistas de sistemas tendrán acceso controlado a:

Archivos maestros o transacciones

Programas operativos: Fuente u objeto

Documentación fuente

Documentación de salida

6.

Deberá haber un nivel de aprobación supervisora adecuada para que el

personal de programación tenga acceso a programas fuente que se encuentran
operativos.
7.

Autorización de nivel adecuado para modificar programas operativos y esta

debe ser por escrito.
8.

Las autorizaciones para cambios de programas deben ser controladas por

ejemplo numéricamente.
9.

Los cambios a programas deben hacerse a nivel de programa fuente,

recopilación obteniendo nuevo programa objeto y nuevo post list.
10.

Al efectuar un cambio en los programas estos deberán ser fechados,

documentos por el programador indicando razón del cambio en forma su cinta,
nombre del mismo, a fin de proporcionar una historia cronológica del sistema.

11.

La extensión de procedimientos de prueba que están siendo efectivamente

aplicadas para programas nuevos y revisados deberán proceder:
a.

Los procedimientos de prueba incluirán corridas en paralelo de datos actuales

y/o fecha anterior por más de un ciclo de procesamiento.
b.

Los procedimientos deberán asegurarán la compatibilidad de todos los

programas que forman un solo sistemas.
c.

Los resultados y procedimientos de prueba deberán ser revisados por:

- Departamento de auditoría interna técnicamente calificado
- Un supervisor técnicamente apto
- La gerencia del departamento usuario
d.

Los procedimientos de prueba para modificaciones de programas deben ser

los mismos que para programas nuevos.
12.

Se deberá prevenir o detectar la entrada sin autorización de cambios de

programas y los datos implementados un sistema de seguridad.
3.2.2.3.
a.

Operación del Equipo

Control de Supervisión adecuado y suficiente para que los operadores

cumplan con los procedimientos de supervisión establecidos.
b.

Mantener registro de control de uso de consolas y sub-consolas indicando tipo

de trabajo del mismo y fecha.

c.

El registro de control de consola deberá detallar separadamente además:

Tiempo de corrida

Tiempo de preparación de equipo

Tiempo down (pendiente o espera imprevista)

Tiempo de mantenimiento

d.

Se deberá mantener reporte escrito de tiempos de parada que puedan ocurrir

durante el procesamiento y estos deben contener:

Descripción completa de la situación y acción tomada.

Vo.Bo. o calificación de la persona supervisora responsable.

e.

Se deberán rotar los operadores entre turnos y trabajos a fin de evitar

asignación permanente a trabajos específicos.
f.

Exigir al personal de operación a tomar sus vacaciones periódicas.

g.

Proporcionar a los operadores las instrucciones operativas del sistema para

procedimientos adecuados a las medidas a tomar en caso de situaciones de error y/o
paradas en proceso.
h.

Tener manuales de operación ordenados y adecuados a fin de servir de guía

de procesos, asimismo deberán haber copias adicionales en poder del bibliotecario.

i.

Uso de etiquetas internas y externas de archivos a procesar y estas ser

reconocidas por los procedimientos de proceso de aplicaciones.
j.

Establecer sistema de seguridad mediante contraseñas (user y password) a fin

de evitar procedimientos no autorizados.
k.

Control supervisor sobre rendimiento de máquinas mediante registros

adecuados por escrito.
l.

Mantener registro de control del sistema operativo del computador tipificando:

Control de alteraciones

Actualización del sistema

Creación de archivos de sistemas

Performance

ll)

Verificación de supervisión de control de operaciones en los diferentes turnos.

m)

Elaboración de cronograma de tiempo de proceso con las áreas usuarias y

vigilar que estos se cumplan estrictamente.
3.2.2.4.
1.

Bibliotecas

El bibliotecario dentro de un departamento de procesamiento electrónico de

datos deberá ser responsable por:
a.

Control de documentos delicados (cheques, planillas, etc.) y todos los archivos

y programas tanto de usuario como del sistema.

b.

Entregar a operación lo necesario para cada trabajo específico de

procesamiento.
c.

Control de archivos, bibliotecas, fuente y objeto que son producidas por cada

trabajo de proceso (archivos originales y archivos copias de respaldo).
d.

Conservación adecuada de diskettes y packs.

e.

Revisión periódica de estado físico de archivos.

f.

Mantenimiento de un programa adecuado de retención de archivos, que exijan

conservación de archivos hasta de tercera generación.
g.

Mantener stocks adecuados y suficientes de cintas de impresión y formularios

continuos.
2.

Mantener archivos maestros y de transacciones en prevención de tener que

efectuar reconstrucción (Recovery).
3.

Los archivos mencionados en el párrafo anterior deberán ser guardados en un

ambiente adecuado a prueba de fuego, robo, terremoto u otro desastre.
4.

Usar etiquetas externas en todos los archivos a fin de identificar:

Fecha

Aplicación

Volumen

5.

Asignar mediante procedimiento adecuado y supervisado que esté disponible

una copia al día del último programa fuente u objeto operativo y su documentación
correspondiente.
6.

Mantener una biblioteca técnica de manuales del sistema a fin de hacer las

consultas del caso si hubieren problemas.
7.

Mantener un inventario adecuado de archivos bibliotecas, manuales, etc.

3.2.2.5.
a.

Flujo de Datos

Procedimiento de control de entrada de datos para asegurar que estos estén

completo y correctos (cantidad de documentos, totales de control) de la fuente de
datos, asimismo que estos sean verificados por programas de consistencia, vale
decir que estos procedimientos estén por escrito.
b.

Emisión de reportes de validación de datos (Consistencias) a fin de devolver

los documentos fuentes errados a su lugar de origen a fin de efectuar las
correcciones del caso.
c.

Procedimiento de corrección de datos defectuosos previamente chequeados

por la fuente de origen, validación secundaria o alternativa, asimismo rutinas para
obtener oportunamente las correcciones a fin de que el procedimiento de la
aplicación sea hecha en el tiempo previsto y con veracidad adecuada.
d.

Procedimiento adecuado para distribuir la información necesaria en las áreas

usuarias.
4.

Comentarios o pautas para evaluación de auditoria de sistemas de

información mediante un equipo electrónico de datos

a.

Nuestras pruebas de la función de procesamiento electrónico de datos estarán

influenciadas por la habilidad de la gerencia para hacer cumplir los controles y
procedimientos establecidos. Normalmente hay una relación directa entre el grado de
participación de la alta gerencia en la supervisión de la función y el grado de
cumplimiento de los procedimientos de control interno.
b.

La revisión y la aprobación deberían de ser preferiblemente un esfuerzo

común de la gerencia, los representantes de los departamentos que lo usan y los de
EDP y cada uno de los cuales debería conocer las funciones de los otros.
c.

Pruebas periódicas bajo circunstancias reales aseguran que no hay habido

mayores cambios en equipos o en programas en el sitio alternativo, los cuales
impedirían un procesamiento adecuado.
d.

Los programas de computadora gobiernan todo el procesamiento. Las

operaciones son ejecutadas y serán repetidas siempre que el programa no sea
alterado, pero pueden producirse cambios y pasar inadvertidos. Por lo tanto el
sistema de control interno debería proteger la integridad de los programas, es decir
éstos no deben ser susceptibles a alteraciones accidentales erróneas o no
autorizadas.
e.

La posibilidad de determinar, hacer el recorrido a través, evaluar y probar el

sistema es aumentada considerablemente por la presencia de documentación del
cliente que esté actualizada y detallada. La existencia de estándares estrictos de
documentación es una indicación de que el cliente emplee buenos procedimientos de
control interno.
Los flujogramas, descripciones narrativas y otra documentación del cliente pueden
utilizarse como documentación de la auditoría y se debe poner énfasis en obtener
copias.

f.

Los operadores debería tener acceso a los programas fuente solamente

cuando están compilando un programa; y a los programas objeto solamente cuando
están operando un programa.
g.

Como quiera que puede haber errores en la lógica de programa, en programas

nuevos o modificados, deben de ser probados para asegurarse de que funcionan
como se había planeado.
Las pruebas deberían de hacerse usando datos reales bajo condiciones reales de
operación en el mayor grado posible.
También deberían de incluirse datos erróneos de manera que todas las secciones y
todas las rutinas de revisión de los programas sean probadas adecuadamente. La
revisión y evaluación del cliente de los resultados de las pruebas deberían ser
hechas por representantes capaces de todos los departamentos interesados
(incluyendo los auditores internos) para asegurarse de que todas las implicaciones
de los resultados de las pruebas se han tomado en cuenta.
h.

El auditor debe de estar pendiente de la posibilidad de que los controles de

operaciones varíen entre turno y turno.
i.

Los listados de programas normalmente indicarán si se usan las etiquetas

internas de archivo.
j.

El uso de un programa supervisor provisto por el fabricante (sistema operativo)

evita la necesidad de mucha intervención humana durante el procesamiento.
k.

Un sistema adecuado de control interno debería de incluir procedimiento, para

proteger a compañía contra destrucción accidental o alteraciones erróneas o no
autorizadas de los archivos maestros o de datos. Estos archivos requieren controles
más estrictos que los registros preparados manualmente porque pueden ser

destruidos o dañados más fácilmente y la no visibilidad de sus contenidos hace que
un mal uso o abuso sean difíciles de detectar.
l.

El procesamiento normal de archivos de cinta provee una duplicación

automática. Sin embargo, los archivos de discos deben ser copiados (normalmente
en cinta) para hacer posible una eventual reconstrucción.
m.

Cierto respaldo del programa es proporcionado por los diagramas de bloque,

las hojas de codificación y otra documentación del programa, si están al día, pero las
copias duplicadas de los programas fuente y objeto permiten una reconstrucción
mucho más rápida.
5.

Desarrollo de programas de auditoria para computadora

La computadora ofrece una serie de recursos al auditor a fin de determinar la calidad
de la información generada por el sistema de procesamiento, a fin de evaluar y
analizarla.
Es necesario contemplar cuatro elementos básicos en el desarrollo de programas de
auditoría para computadora:
5.1.

Determinación de objetivos y procedimiento de Auditoría

El Auditor con el soporte de programación es quién define los objetivos y
procedimientos de acuerdo a las normas legales de auditoría generalmente
aceptadas, él es quien de determina los datos en los registros maestros o
transacciones que desee verificar.
5.2.

Elaboración de Diagramas de recorrido de sistema

Habiendo definido los procedimientos y objetivos se preparan los diagramas de
recorrido de sistema indicando archivos de entradas y salidas resultantes que se
desee obtener a través del programa de auditoría.
5.3.

Elaboración de Diagramas de recorrido de programas

A través de estos de indican cómo van a procesarse los datos indicando operaciones
y decisiones especificas y la secuencia que han de seguir dentro del programa.
Asimismo este diagrama mostrará la lógica y las funciones del programa. Este
diagrama proporcionará esencialmente:
5.3.1. Una imagen gráfica de la solución del problema
5.3.2. Guía para codificar y probar el programa determinando si se han considerado
todas las condiciones posibles
5.3.3. Documentación para su explicación y modificación del programa
El diagrama de recorrido de programa puede completarse mediante tablas de
decisión a fin de evaluar alternativas de acción que pueden tomarse dadas las
condiciones.
5.4.

Codificación, Compilado y Prueba de Programa

Ésta fase no requiere mayor comentario porque se procede al igual que un programa
común y corriente.
6.

Uso de programas de auditoria para computadora

Esencialmente existen tres maneras de usar programas de auditoría para
computadora:

6.1.

Análisis e Informes de Excepción

El auditor puede elaborar programas para:

Analizar detalles de archivos

Explorar aspectos o atributos que le interesen

Búsqueda de irregularidades en archivos

Las excepciones a las normas y criterios contemplados por el programa se
imprimirán como salida.
6.2.

Selección de Muestras

El auditor puede elaborar programas para seleccionar muestras, ya sea al azar o de
acuerdo a los criterios que consideren conveniente.
6.3.

Computaciones y Pruebas Detalladas

El auditor puede elaborar programas para efectuar pruebas o computaciones
(cálculos) que antes se realizaban manualmente.
7.

Análisis final

7.1.

Ventajas del uso de la Computadora por el Auditor

7.1.1. Mejor conocimiento del sistema de procedimiento y controles del cliente.
7.1.2. Área de actividad profesional mucho más extensa.

7.1.3. El más elemental logro de Auditoría continúa.
7.1.4. Mejor uso del principio de excepción.
7.2.

Problemas

7.2.1. Costos
El uso de datos de pruebas y programas de auditoría tienen que justificarse en base
a la reducción del tiempo en comparación la auditoría manual así como la obtención
con una auditoría más cualitativa. Deberán analizar: costo de elaboración de datos
de prueba y programa, costo de operación frente al valor de los beneficios obtenidos.
7.2.2. Requerimientos técnicos
La nueva tecnología que se necesita para valorar un sistema de información
soportado por computadora y elaborar un programa de auditoría requiere de una
planeación detallada, lógica y explícita en las etapas de procesamiento.
7.2.3. Necesidad de Planeación anticipada
El auditor debe estar consciente de la gran cantidad de tiempo que requiere
inicialmente para efectuar una auditoría en una instalación de computadora, lo cual
debe saber el cliente antes de efectuar el trabajo, asimismo deberá informarle al
cliente el tiempo que requiere para evaluar el sistema y desarrollar los programas de
auditoría.
7.2.4. Conversión

Por efecto de alguna conversión en el transcurso de su tiempo de auditoría este
puede enfrentarse a:

Falta de documentación significativa

Sobrecarga de trabajo de los programadores que dificultan su acceso a ellos.

Cambios frecuentes de programas que entorpecen la evaluación y revisión del

sistema.
7.3.

Conclusiones

a.

Las técnicas de auditoría se ven afectadas significativamente por el papel que

cumple la computadora dentro de los sistemas de información en la empresa.

CIBERGRAFIA
http://www.monografias.com/trabajos39/riesgos-en-auditoria/riesgos-enauditoria.shtml#ixzz3U6j3r3PQ
http://www.monografias.com/trabajos17/auditoria/auditoria.shtml#tipos#ixzz3U6pxeKr
Q

Leer

más:

http://www.monografias.com/trabajos17/auditoria/auditoria.shtml#tipos#ixzz3U6q6He
O7
https://sites.google.com/site/contabilidaddenivelbasico/transacciones-comerciales
http://www.gerencie.com/administracion-de-los-riesgos-financieros.html
http://www.unsa.edu.ar/sigeco/archivos/FACPCE_Informe_6_Ago_2006.pdf
http://www.gestiopolis.com/administracion-estrategia-2/auditoria-de-sistemascomputarizados.htm