Escuela de Ingeniera

Auditora Computacional
Mdulo 2

Tipos de Auditora y Controles

Definiciones de Auditora:
Auditora: El Instituto Norteamericano de Contadores Pblicos (AICPA), lo define como
un examen que pretende servir de base para expresar una opinin sobre la
razonabilidad, consistencia y apego a los principios de contabilidad generalmente
aceptados, de estados financieros preparados por una empresa o por otra entidad para
su presentacin al Pblico o a otras partes interesadas. [AICPA, 1983]
Auditora Interna: La Auditora Interna, segn el IIA, es una actividad independiente y
objetiva de aseguramiento y consulta, concebida para ayudar a una organizacin a
cumplir con sus objetivos, aportando un enfoque sistemtico y disciplinado para evaluar
y mejorar la eficacia de los procesos de gestin de riesgos, control y gobierno
(direccin).

Tipos de Auditoras:
El auditor computacional debe entender los diversos tipos de auditoras que se
pueden efectuar interna o externamente. Observmoslas a continuacin:

Auditoras Financieras:

El propsito es determinar la exactitud de los estados financieros de una

organizacin.

Pruebas sustantivas detallada.

Enfoque basado en riesgos.

Integridad y confidencialidad de la informacin financiera.

Auditoras Operativas:

Est diseada para evaluar la estructura de control interno en un proceso o rea

determinada.

Auditoras de Sistemas de Informacin (SI) sobre controles de las aplicaciones.

Auditoras de sistemas de seguridad lgica.

Auditoras Integradas:

Combina pasos de auditora financiera y operativa. Tambin se utiliza para evaluar

los objetivos generales de una organizacin.

Ejecutada por auditores externos o internos.

Puede incluir pruebas de cumplimiento.

Auditoras Administrativas:

Evaluar aspectos relacionados con la eficiencia de la productividad operativa de una

organizacin.

Auditoras de Sistemas de Informacin:

Tambin se conoce con el nombre de Auditora Computacional, Auditora de

Sistemas, Auditora Informtica y Auditora Tecnolgica.

Auditoras Especializadas:

Dentro de las
especializadas:

SSAE-16 (ex SAS 70 - Statement on Auditing Standards), desarrollada por el AICPA

(Instituto Norteamericano de Contadores Pblicos).

Auditoras

de

Sistema

de

Informacin

existen

auditorias

Auditoras Forenses:

Auditora especializada en descubrir, revelar y hacer seguimiento de fraudes y

crmenes.

Definiciones de Control:
Cmo definimos al Control?

Funcin del proceso administrativo, que tiene por objetivo asegurar que las cosas se
hacen de acuerdo a lo planeado.

Tiene como objetivo cerciorarse de que los hechos vayan de acuerdo con los planes
establecidos.

Implica la medicin de lo logrado en relacin con lo estndar y la correccin de las

desviaciones, para asegurar la obtencin de los objetivos de acuerdo con el plan.

Tipo de Control:
Existen 2 aspectos claves que los controles debe atender: qu debera lograrse y qu
debera evitarse.

Tipos de Control segn su funcin: Controles Preventivos; Controles

Detectivos; Controles Correctivos.

Tipos de Control segn su naturaleza: Automtico y Manual.

Tipos de Control segn su funcin:

Controles
Preventivos

Controles
Detectivos

Controles
Correctivos

Tipos de Control segn su naturaleza:

Automtico: Los controles sobre aplicaciones, conocidos como controles

automatizados o programados, son controles ejecutados por un sistema
computacional, orientados a administrar los riesgos de integridad de informacin y
de acceso.

Manual: Los controles manuales son realizadas por la personas y requieren del
conocimiento y experiencia de stas. La administracin del riesgo requiere del
juicio profesional, el medio ambiente del riesgo no es estable y no es posible
asegurar su aplicacin consistente en el tiempo y con un criterio uniforme.

Controles Generales:
Una vez adquirido un conocimiento general de la entidad, y antes de iniciar la
revisin de los procesos y aplicaciones de gestin significativas a los efectos de la
auditora financiera y de sus controles, se debe revisar la situacin de los
controles generales, ya que el grado de confianza en los mismos determinar
la posterior estrategia de auditora.

Controles Generales

En
un
entorno
informatizado
de
complejidad media o alta, la revisin de los
controles generales (CGTI) requerir,
normalmente, la colaboracin de un
experto en auditora de sistemas de
informacin y la aplicacin de una
metodologa especfica.

Normativa:
Las normativas que se refieren a la revisin de los Controles Generales son las
siguientes:
Seccin 319
NAGA 44

Consideracin del control interno en

una auditoria de estados financieros.

(Norma Internacional de Auditora)

NIA 315
Entendimiento de la entidad y su
entorno y evaluacin de los riesgos
de representacin errnea de
importancia relativa.

NAGA 44:
Procesamiento de informacin:
Se realizan una variedad de controles para revisar la exactitud, integridad y autorizacin
de las transacciones. Los dos agrupamientos amplios de actividades de control de
sistemas de informacin son los controles generales y los controles de aplicacin.

Controles Generales

Controles de Aplicacin

Normalmente incluyen controles sobre operaciones de

centros de datos, adquisicin y mantencin de software
de sistemas, seguridad de acceso, y desarrollo y
mantencin de sistemas de aplicacin. Estos controles
se aplican a los computadores mainframe, a los
minicomputadores, y a los ambientes de usuario final.

Se aplican al procesamiento de aplicaciones

individuales. Estos controles contribuyen a garantizar
que las transacciones sean vlidas, estn debidamente
autorizadas, y sean procesadas total y exactamente.

NIA 315:
El auditor considera si la entidad ha respondido de manera adecuada a los riesgos que
se originan de TI estableciendo controles generales de TI efectivos y controles de
aplicacin.

Los controles generales de TI son polticas y procedimientos que se relacionan con

muchas aplicaciones y soportan el funcionamiento efectivo de los controles de
aplicacin al ayudar a asegurar la operacin continua apropiada de los sistemas de
informacin. Los controles generales de TI que mantienen la integridad de la
informacin y seguridad de los datos comnmente incluyen controles sobre lo
siguiente:
Operaciones de centros de datos y redes.
Adquisicin, cambio y mantenimiento de software del sistema.
Seguridad de acceso.
Adquisicin, desarrollo y mantenimiento de sistemas de aplicacin.

Definicin de Controles Generales (CGTI):

Qu entendemos por Controles Generales?

Los controles incluyen polticas, procedimientos y prcticas (tareas y actividades)

que son establecidos por la gerencia para proveer una certeza razonable de que se
alcanzarn los objetivos especficos
Los Controles Generales son aplicables a todas las reas de la organizacin, incluyendo
infraestructura y servicios de soporte de TI.

Controles Generales (CGTI):

Los controles generales incluyen:

Controles
internos
de
contabilidad: dirigidos a las
operaciones
contables.
Salvaguardar los activos y la
confiabilidad de los registros
financieros.

Polticas
de
seguridad
fsica y lgica para todos
los centros de datos y
recursos
TI
(ejemplo:
servidores e infraestructura
de telecomunicaciones).

Controles
Operativos:
relacionados
con
las
operaciones, funciones y
actividades
cotidianas,
y
aseguran que la operacin
est cumpliendo con el
objetivo del negocio.

Polticas y procedimientos
organizacionales
de
seguridad: para asegurar el
uso apropiado de activos de
informacin y tecnologa

Procedimientos y prcticas
para asegurar la proteccin
adecuada en el acceso y el
uso
de
activos
e
instalaciones.

Polticas generales para el

diseo
y
uso
de
documentos y registros
(manuales/ automatizados):
adecuados para ayudar a
asegurar el registro apropiado
de las transacciones (pista de
auditora de transacciones).

Controles administrativos:
relacionados con la eficiencia
de gestin y la adhesin a las
polticas.

Definicin Controles de Sistemas de Informacin (SI):

Cada control general puede ser traducido a un control especfico. Un sistema de
informacin bien diseado debera contar con controles construidos en el mismo para
todas sus funciones sensitivas o crticas.
Por ejemplo, el procedimiento general para asegurar la adecuada custodia del

acceso a los activos e instalaciones puede traducirse en un conjunto de

procedimientos de control relacionados con el Sistema de Informacin, que abarque
controles de acceso a los programas de computacin.

Sistemas TI: Los controles generales afectan a todos los niveles de los sistemas
de informacin, si bien estn relacionados con mucha mayor intensidad con aquellos
niveles de carcter general que afectan a toda la organizacin y a los sistemas TI.

Nivel de la entidad

Nivel de los sistemas TI

Nivel de
procesos/aplicaciones
de gestin

Los controles generales existentes en el sistema de informacin de una

entidad, pueden establecerse en los niveles antes sealados.

10

Nivel de la Entidad: reflejan en la forma de funcionar de una organizacin, e incluyen

polticas, procedimientos y otras prcticas de alto nivel que marcan las pautas de la
organizacin.
Son un componente fundamental del modelo COSO y deben tener en cuenta las
operaciones TI que respaldan la informacin financiera.

Nivel de los sistemas TI:

Los servicios de tecnologa de la informacin constituyen la base de las operaciones y
son prestados a travs de toda la organizacin. Los servicios TI normalmente incluyen la
gestin de redes, la gestin de bases de datos, la gestin de sistemas operativos,
la gestin de almacenamiento, la gestin de las instalaciones y sus servicios y la
administracin de seguridad. Todo ello est gestionado generalmente por un
departamento TI centralizado.
Hay tres subniveles o capas tecnolgicas que el auditor debe evaluar
separadamente:
Sistemas TI de base.
Sistemas Operativos.
Infraestructura fsica.

Nivel de procesos/aplicaciones de Gestin:

En qu consiste el Nivel de procesos de Gestin?

Los procesos de gestin (o procesos de negocio) son los mecanismos que emplea una
entidad para desarrollar su misin y prestar un servicio a los destinatarios del mismo o
usuarios.

11

Categoras de Controles Generales:

La falta de normas tcnicas de auditora de general aceptacin para la revisin de
los CGTI en las auditoras financieras provoca que, dependiendo del marco
conceptual que se adopte como referencia, los CGTI se agrupan en categoras
diferentes, no existiendo unanimidad en cuanto a la clasificacin o categoras a
establecer de dichos controles.

INTOSAI aprob en 2004 la Gua para las normas de control interno del sector pblico, que forma parte de las
Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) con el cdigo INTOSAI GOV 9100
Government Accountability Office (GAO) aprob en febrero de 2009 la ltima versin del Federal Information System
Controls Manual (FISCAM) Norma Tcnica de Auditora del ICAC sobre la auditora de cuentas en entornos
informatizados.

Pruebas CAATs:
La sigla CAAT significa Tcnicas de Auditoras asistidas por Computador

Cuando los sistemas tienen diferentes ambientes de hardware y software, diferentes

estructuras de datos, formatos de registros y funciones es casi imposible para el auditor
recopilar evidencia sin una herramienta de software para recolectar y analizar los
registros.

12

 Las CAATs incluyen las siguientes herramientas

y tcnicas: software de uso generalizado de
auditora

(GAS);

software

de

depuracin

escaneo (scanning); datos de prueba, rastreo y

mapeo (mapping) de software de aplicaciones y
sistemas expertos.
Funciones CAATs:
Funciones ms comn:
Acceso a archivos.
Reorganizacin de archivos.
Seleccin de datos.
Funciones estadsticas.
Funciones aritmticas.

Software ms utilizados: ACL e Idea.

13