Universidad de Oriente

Núcleo Monagas
Escuela de Ciencias Sociales y Administrativas
Cátedra: Auditoria I

Profesor: Bachilleres:

Emir Rodríguez C.I. 14.856.355 González Marianny

C.I. 16.711.847 Díaz Norkis
C.I. 18.273.817 Bolívar Maryelys
C.I. 16.940.887 Urbina María
C.I. 17.405.247 Dominguez Oswaldo
Sección 04

Maturín, junio 2.008

 Contenido.
Introducción
¿Cómo operan los Sistemas de Computación?
 Características de los diversos tipos de Sistemas de Computación.
 Análisis de los sistemas de computación.
 Objetivo del Análisis de los Sistemas de Computación.
El Control Interno en el Sistema de Computación.
 Fraude a través del computador.
 Actitud reactiva frente al fraude.
 Falta de conocimiento del negocio.
 Los controles no siempre sirven.
 Estrategias efectivas frente al fraude.
 ¿Quién paga las consecuencias del fraude?
Revisión Y Evaluación del Control Interno.
 Tipos de Revisión.
 Pruebas en la revisión y evaluación.
Debilidades del Control Interno en el procesamiento Electrónico de
Datos.
Auditoria Computarizada.
 Auditor en informática.
 Objetivos de la Auditoria Computarizada.
 Auditoria de la Seguridad Informática.
 Auditoria Informática para aplicaciones en Internet.
 Metodología de trabajo de Auditoria Informática.
 Reglas básicas de la Auditoria Computarizada.
Técnicas y herramientas utilizadas en la Auditoria Computarizada.
 Ventajas de las Tecnicas de Auditoria.
Conclusión.
Bibliografía.
 Introducción.

En el mundo de los negocios de hoy es inconcebible clasificar

manualmente la información. El tiempo es demasiado valioso para
desperdiciarlo en tareas tediosas y consumidoras de tiempo, por eso es
necesario utilizar Programas electrónicos orientados a dar soluciones a las
Empresas, debido a que estos programas facilitan la organización de
registros administrativos y contables, se acceda con facilidad a la información
que se requiere, es decir, se dispondrá rápidamente de información vital para
la Empresa, lo que ayudará a hacerla crecer y prosperar.

La utilización de equipos de computación en las instituciones, ha tenido

una repercusión importante en el trabajo del Contador Publico, no solo en lo
que se refiere a los sistemas de información, sino también al uso de las
computadoras en la Auditoria. Al llevar a cabo auditorias donde existen
sistemas computarizados, el profesional de la auditoria se enfrenta a
problemas de muy diversa índole; un de ellos, es la revisión de los
procedimientos administrativos (control interno) establecidos en la empresa
que audita. Aunque los procedimientos que determinan el control de las
transacciones son los mismos en un sistema manual que en un sistema
computarizado, el auditor debe estar capacitado para comprender los
mecanismos que se desarrollan en un procesamiento electrónico.

El procesamiento electrónico de datos ha producido un impacto muy

significativo en el procesamiento de datos. Muchos de los atributos de un
sistema afectan al auditor y al trabajo que este desempeña. La comprensión
cabal del procesamiento electrónico de datos y de los tipos de control
factibles en los sistemas electrónicos, es de gran importancia para la
evaluación que el auditor pueda hacer de los controles internos, así como
para utilizar las computadoras en la auditoria.
¿Cómo operan los Sistemas de Computación?

Antes de considerar el impacto de los sistemas de computación en el

trabajo del contador público colegiado, es necesario conocer algo de la
naturaleza de un computador y sus capacidades. Generalmente, un sistema
de computador consiste en un computador digital y equipo periférico
conocido como hardware, y en software igualmente esencial, consiste en
diversos programas y rutinas para manejar el computador.

Hardware: Es la parte física de un computador, es decir que se puede tocar,

tales como: monitor, teclado, unidad central de procesos, etc.

Software: Comprende el conjunto de los componentes lógicos necesarios

para hacer posible la realización de una tarea especifica, tales como
procesador de textos de un computador.

Considerando lo anterior definiremos Sistema, el cual es un conjunto de

componentes que interaccionan entre si para lograr un objetivo común.

Todo sistema operacional en mayor o en menor medida, de una entidad

abstracta denominada sistema de información, es el medio por el cual los
datos fluyen de una persona o departamento hacia otros. Los sistemas de
información proporcionan servicios a todos los demás sistemas de una
organización y enlazan todos sus componentes en forma total y que estos
trabajen con eficiencia para alcanzar el mismo objetivo.

Los sistemas de computación proporcionan los controles necesarios para

que la información sea confiable y con un buen nivel de seguridad. El desafío
de auditar actividades por computador ha dejado de estar limitado a los
grandes clientes solamente, con la llegada de los sistemas de computador, la
información en los distintos niveles es:

1) En el nivel gerencial: Emplea información más elaborada como

pueden ser las tendencias de la empresa, márgenes, rentabilidad por
productos o departamentos. En general, maneja modelos o funciones
de los datos y se caracteriza por trabajar con pequeños volúmenes de
información, realizar tratamientos de cálculos muy complejos y
procesos imprevisibles, llevar a cabo pocas consultas y el tiempo de
respuesta en muchos casos es tan solo de horas o minutos.
2) En el nivel ejecutivo: Traduce en tácticas los objetivos, políticas y
misiones que le ha sido fijado por el nivel gerencial, es decir, dispone
adecuadamente de los recursos para alcanzar los objetivos y cumple
las misiones que corresponden a las políticas fijadas.
3) En el nivel operacional: Ejecuta las órdenes que le ha entregado el
nivel ejecutivo. Se caracteriza, en general, por manejar un elevado
volumen de datos elementales, por realizar tratamientos de procesos
simples, previsibles y rutinarios.

El sistema de información de la empresa debe estar configurado de forma

tal que proporcione a cada nivel (gerencial, ejecutivo y operacional),
información oportuna y exacta, a tiempo fiable, necesaria y suficiente.

Características de los diversos tipos de Sistemas de Computación.

Los sistemas de computador difieren según sus características. Un

sistema, independientemente de su tamaño, puede poseer uno o más de los
siguientes elementos:

1. Procesamiento de lotes (batch).

2. Sistema de procesamiento en línea.
3. Almacenamiento de la base de datos.
4. redes de computador.
5. Sistema de cómputo del usuario final.

1. Procesamiento de lotes (batch). Cuando se utiliza el procesamiento de

lotes, se reúne información de entradas y se procesa periódicamente
en grupos discretos. Un ejemplo de procesamiento de lotes es la
acumulación de las transacciones de ventas de todo el día y su
procesamiento como un “lote” al final de ese día. Aunque los sistemas
de computador de lotes no proporcionan información actualizada al
instante, con frecuencia son más eficientes que otros tipos de
sistemas.
2. Sistema de procesamiento en línea. Los sistemas en línea permiten a
los usuarios tener acceso directo (en línea) a la información
almacenada en el sistema. Cuando hay un sistema en línea en
aplicación, las transacciones individuales pueden ser ingresadas en
forma directa desde los originadotes en ubicaciones remotas. Las
transacciones pueden mantenerse en un archivo de transacciones y
luego ser trasladadas a los registros como un lote, o puede utilizarse
un procesamiento en tiempo real. Los sistemas en línea en tiempo
real, permiten a un cajero en cualquier sucursal actualizar la cuenta de
un cliente inmediatamente registrando los depósitos o retiros en el
Terminal de un computador.
3. Almacenamiento de la base de datos. En un sistema de base de
datos, los archivos de aplicaciones separados son reemplazados por
bases de datos integradas que son compartidas por muchos usuarios
y programas de aplicaciones. Un sistema de base de datos elimina
gran parte de la redundancia de datos y, puesto que la base de datos
se almacena normalmente en un mecanismo de acceso directo, el
 sistema responde rápidamente a las solicitudes de información de los
usuarios.
4. Redes de computador. La llegada de las telecomunicaciones, la
transmisión electrónica de información por radio, cable, fibra óptica,
microondas, láser y demás sistemas electromagnéticos, ha hecho
posible transferir información entre computadores. Las redes de
computadoras unidas a través de los vínculos de las
telecomunicaciones permiten a las compañías comunicar información
en cualquier dirección, entre sedes de negocios geográficamente
dispersas.
5. Sistema de cómputo del usuario final. Los sistemas de cómputo del
usuario final son posibles debido al poder de procesamiento disponible
ahora con los microcomputadores. El sistema de cómputo del usuario
final es lo opuesto del entorno tradicional de procesamiento de datos,
en el cual toda la información requerida por los usuarios fue
proporcionada por programas comprados o escritos y aprobados por
el departamento de sistemas de información.

Análisis de los Sistemas de Computación.

El análisis de los sistemas de computación se lleva a cabo teniendo en

cuenta ciertos principios:

 Debe presentarse y entenderse el dominio de la información de un

problema.
 Defina las funciones que debe realizar el software.
 Represente el comportamiento del software a consecuencias de
acontecimientos externos.
 Divida en forma jerárquica los modelos que representan la
información, funciones y comportamiento.
 La función del análisis puede ser dar soporte a las actividades de un
negocio, o desarrollar un producto que pueda venderse para generar
beneficios. Para conseguir este objetivo, su sistema basado en
computadoras hace uso de seis (6) elementos fundamentales:

1. Software, que son programas de computadora, con estructuras

de datos y su documentación que hacen efectiva la logística,
metodología o controles de requerimientos del programa.
2. hardware, dispositivos electrónicos y electromecánicos, que
proporcionan capacidad de cálculo y funciones rápidas, exactas
y efectivas (computadoras, censores, maquinarias, bombas,
lectores, etc.) que proporcionan una función externa dentro de
los sistemas.
3. Personal, son los operadores o usuarios directos de las
herramientas del sistema.
4. Base de datos, es una gran colección de informaciones
Organizadas y enlazadas al sistema a las que se accede por
medio del software.
5. Documentación, Manuales, Formularios y otra información
descriptiva que detalla o da instrucciones sobre el empleo y
operación del programa.
6. Procedimientos o pasos que definen el uso especifico de cada
uno de los elementos o componentes del Sistema y las reglas
de su manejo y mantenimiento.

Objetivos del Análisis de los Sistemas de Computación.

Un Análisis de Sistema se lleva a cabo teniendo en cuenta los siguientes

objetivos:
  Identificar las necesidades del cliente.
 Evaluar que conceptos tiene el cliente del sistema para establecer su
viabilidad.
 Realizar un análisis técnico y económico.
 Asignar funciones al hardware, software, personal, base de datos y
otros elementos del sistema.
 Establecer las restricciones de presupuesto y planificación temporal.
 Crear una definición del sistema que forme el fundamento de todo el
trabajo de ingeniería.

Para lograr estos objetivos se requiere tener un gran conocimiento y

dominio del hardware y el software, así como de la ingenieria humana
(Manejo y Administración de personal) y administración de base de datos.

El Control Interno en el Sistema de Computación.

Antes de hablar de función del control interno en el sistema de

computación, daremos una breve definición de control interno:

Es un proceso, efectuado por la junta directiva de la entidad, la gerencia y

demás personal, diseñado para proporcionar seguridad razonable
relacionada con el logro de objetivos en las siguientes categorías:

 Confiabilidad en la presentación de informes financieros.

 Efectividad y eficiencia de las operaciones.
 Cumplimiento de las leyes y regulaciones aplicables.

En un sistema de información computarizado, el trabajo que normalmente

se divide entre muchos empleados puede ser realizado por el computador.
La consolidación de actividades y la integración de funciones son un hecho,
puesto que el computador puede manejar convenientemente muchos de los
aspectos relacionados con una transacción. Por ejemplo, un sistema de
nómina computarizado podría mantener archivos del personal, con
información sobre antigüedad, seguro, etc.; calcular el pago de los
empleados; distribuir los costos laborales; y preparar cheques y registros de
nómina.

A pesar de la integración de las diversas funciones en un sistema de

computador, la importancia del control interno no se ha reducido, la
separación de funciones y las responsabilidades claramente definidas
continúan siendo los factores claves. Los conceptos tradicionales de control
interno pueden aumentarse o mejorarse mediante controles escritos en los
programas y mediante controles incorporados en el hardware del
computador. Los análisis de controles en un entorno de computador incluirán
una descripción de la función de la estructura organizacional del sistema de
información, de la auditoria interna de un sistema de información de
computador y de las actividades de control.

El propósito de revisar la adecuación del sistema de control interno es el

de cerciorarse si el sistema establecido proporciona una razonable seguridad
de que los objetivos y metas de la organización se cumplirán eficiente y
económicamente.

Fraude a través del Computador.

El delito más temido por las empresas en países desarrollado es el fraude,

aún frente a otros crímenes como el terrorismo, el secuestro, el sabotaje y el
hurto.  Lejos de estar bajo control, este flagelo al parecer está adquiriendo
fuerza, ayudado en gran parte por una mayor complejidad en los negocios, la
creciente globalización de los movimientos de fondos, las dificultades
implícitas en el trato con diferentes culturas y un mayor uso de tecnologías
como el Internet.  Todo ello ha llevado a una sensación de mayor riesgo
entre los empresarios de los más diversos sectores y países.
 
Las compañías no se están protegiendo lo suficiente contra el fraude o los
defraudadores se le están adelantando a los controles, especialmente en las
áreas de sistemas y de compras.
 
  De hecho, los fraudes más temidos son los que se hacen a través de
computadores y tarjetas de crédito.  Después se anotan otras áreas, como el
robo de efectivo,  fraudes en tesorería, fraudes en impuestos, fraudes en
seguros y fraudes por negociación directa. Sin embargo, en todos los casos
puede prevenirse y puede volver a ocurrir bajo las circunstancias actuales de
control.
 
Un alto porcentaje de fraude cuenta con la participación de empleados de las
empresas en donde ocurre el hecho.

Ejemplo:

Un programador en un gran banco escribió un programa para identificar y

enumerar todas las cuentas sobregiradas. Más tarde, pudo insertar un ajuste
en el programa para hacer que el computador ignorara los sobregiros en su
propia cuenta. Este programador pudo entonces sobregirarse en su cuenta
bancaria a su propia voluntad, sin que el sobregiro llamara la atención de la
gerencia. El fraude sólo fue descubierto cuando hubo problemas con el
computador y el listado de cuentas de sobregiro tuvo que ser preparado
manualmente.
 
Actitud reactiva frente al fraude.
 
La actitud de la gerencia frente al fraude suele ser reactiva.  Más de la
mitad de los fraudes en las empresas son descubiertos por coincidencia, ya
sea por información obtenida por medios externos, accidentes o cambios en
la administración, entre otros factores.
               
Falta de conocimiento del negocio.
 
Por lo general, las directivas tienen un conocimiento <menos que bueno>
de las operaciones en los negocios principales y, en menor grado, de sus
operaciones en otros países.  Así mismo, se observa cierta falta de
coordinación en lo que se refiere al manejo de la información entre las
subsidiarias y la Casa Matriz.
 
Los directivos tienden a delegar la responsabilidad de implementar
controles para prevenir grandes fraudes.  La mayoría piensa que los
auditores deben poder detectar los fraudes substanciales  como parte de sus
auditorias normales, a la vez que no están dispuestos a pagar más por
pasarles la responsabilidad a sus auditores.
 
Lo anterior sugiere que la gerencia debe asumir plenamente la
responsabilidad o admitir que en el momento se le está delegando a la gente
equivocada.
 
 Los controles no siempre sirven.
 
 Se piensa que los altos directivos pueden sobrepasar los controles.  Un
alto directivo o gerente que busque realizar un gran fraude puede sobrepasar
los controles internos establecidos.
  Mínima parte de las empresas que han tenido casos de fraude los han
denunciado.  En lo que respecta a las empresas que no denunciaron los
fraudes, los costos, el temor a que el caso afectara su imagen y la
incertidumbre con respecto a los resultados son las principales razones para
no hacerlo.
 
 La acción de las autoridades frente al fraude.

La gran mayoría, considera que las cortes (el sistema judicial) no

entienden la complejidad de los principales casos de fraude y, por lo tanto,
no fallan de manera satisfactoria.
 
 Estrategias efectivas contra el fraude.
 
A continuación se presentan estrategias que, por su efectividad, han
venido ganando importancia en la lucha contra el fraude, según la
experiencia de los encuestados.
 
 La capacitación de los empleados: Es imperativa, especialmente en lo
que se refiere al manejo de sistemas, ya que una deficiencia en esta
área puede ser desastrosa.
 La delación de los empleados de la misma compañía o la información
anónima: Ello ha llevado a la creación de líneas telefónicas (hot-lines)
u oficiales d la compañía, que operan fuera del negocio.
 El intercambio de información entre compañías, ya sea por sector o
por ubicación geográfica.  Se debe obrar con cautela, ya que si se
 discute  abiertamente puede implicar acciones contra la empresa por
difamación.
 El diseño e implementación de políticas claras de prevención,
detección e información de casos dentro de la misma compañía. 
Muchos fraudes se podrían evitar con la planeación y sistemas de
control adecuados.
 Establecimiento de leyes sencillas contra el fraude.  Los abogados
defensores tienden a complicar los casos en las cortes.
 Ayudarle a la gerencia a minimizar la ocurrencia del fraude mediante
el establecimiento y mantenimiento, por parte de la gerencia, de
controles internos efectivos.
 Trabajar con la gerencia para desarrollar y cumplir los procedimientos
de detección de fraude.
 Ayudarle a la gerencia para concientizar  a los empleados de la
compañía sobre las características del fraude y los pasos a seguir
para informar sobre un posible fraude.
 Investigar los indicios de un posible fraude o de actividades
potencialmente fraudulentas identificadas por medio de auditorias
interna, sin importar si dichos fraudes están dirigidos hacia la
compañía o hacia sus clientes.
 Instituir procedimientos previos de investigación  del fraude.
 Administrar el plan de prevención del fraude en la compañía de
conformidad con lo requisitos reglamentarios.

¿Quien paga las consecuencias de un fraude?

 
Cuando un fraude o una serie de fraudes suceden en un sector, todos
podemos:
 
  Los directivos en muchas formas, empezando por su reputación y por
la pérdida de confianza por parte de los accionistas y de sus mismos
colegas.
 Los empleados, quienes se ven afectados por la desmoralización que
un fraude genera en un grupo de trabajo.
 Los accionistas, por el efecto de un fraude en los resultados
financieros, en el valor de la empresa y en la imagen de la misma en
el mercado.
 Los auditores, quienes muchas veces no han podido o no han sabido
reconocer los indicios de fraude.
 Las compañías aseguradoras por las indemnizaciones que pagan.
 Por último, todos nosotros como miembros de la sociedad.
 
Revisión y evaluación del control interno.

Los auditores internos deberán obtener, analizar, interpretar y documentar

la información para apoyar los resultados de la auditoria.

Un programa de control de calidad deberá incluir los siguientes elementos:

 supervisión.
 Revisión interna.
 Revisión externa.

La supervisión del trabajo de los auditores en informática deberá llevarse a

cabo continuamente para asegurarse de que están trabajando de acuerdo
con las normas políticas, y programas de auditoria en informática.
 La revisión interna deberá realizarse periódicamente por el personal del
departamento de auditoria interna para evaluar la calidad del trabajo de
auditoria realizado, esta revisión deberá llevarse a cabo de la misma manera
que cualquier otra auditoria.

Tipos de Revisión

 Revisión Preliminar. El poner paso en el desarrollo de la auditoria,

después de la planeación, es la revisión preliminar del área de
informática, el objetivo es obtener la información necesaria para que el
auditor pueda tomar las decisiones de cómo proceder en la auditoria.
 Revisión detallada. Su objetivo es obtener la información necesaria
para que el auditor tenga un profundo entendimiento de los controles
usados dentro del área de informática.

Al terminar la revisión el auditor puede proceder en uno de los tres (3)

caminos siguientes:

 Diseño de la auditoria. Puede haber problemas debido a la falta de

competencia técnica para realizar la auditoria.
 Realizar una revisión detallada de los controles internos de los
sistemas con la esperanza de que se deposite la confianza en los
controles de los sistemas y de que una serie de pruebas sustantivas
puedan reducir las consecuencias.
 Decidir el no confiar en los controles internos del sistema. Existen dos
razones posibles para esta decisión. Primero, puede ser más eficiente
desde el punto de vista de costo-beneficio el realizar pruebas
sustantivas directamente. Segundo, los controles del área de
 informática pueden duplicar los controles existentes en el área de
usuario. El auditor puede decidir que se obtendrá un mayor costo-
beneficio al dar una mayor confianza a los controles de compensación
y revisar y probar mejor estos controles.

Pruebas en la Revisión y Evaluación.

Pruebas sustantivas: Son aquellas pruebas que diseña el auditor con el

objeto de conseguir evidencia que permita opinar sobre la integridad,
razonabilidad y validez de los datos producidos por el sistema contable de la
empresa auditada. El auditor interno expresa este juicio en forma de opinión
sobre cuanto pueda existir un proceso equivocado o falta de control de la
información.

Tienen como cometido obtener evidencia de auditoria relacionado con la

integridad, exactitud y validez de los saldos de los estados financieros
auditados. Tipos de pruebas sustantivas:

1º Pruebas de transacciones y saldos.

2º Técnicas de examen analíticos.

La inmensa mayoría de las pruebas procede de ir preguntando mucho. Son

técnicas de sentido común:

1º se pregunta a la gente de dentro de la empresa.

2º pregunta a personas o entes de fuera de la empresa pero relacionados
con ella. Preferentemente se pregunta por escrito. Este escrito se envía a la
oficina de los auditores.
 Si la empresa no quiere que un cliente de su opinión entonces no podrán
los auditores recabar informe del citado cliente.

Pruebas sobre registros, transacciones y saldos

Antes de que el auditor verifique la validez y exactitud de los saldos,

comprueba la fiabilidad de las transacciones registradas.

En la mayoría de los casos la verificación de estos registros y

transacciones se lleva a cabo mediante pruebas de cumplimiento, es decir,
pruebas encaminadas a comprobar el control interno. Si éste funcionaba
cuando se realizaron las transacciones me podré fiar.´
Cuando se realizan pruebas de cumplimiento del sistema se están dando
validez a una parte de los saldos finales y por tanto estamos aplicando
pruebas sustantivas a dichos saldos.

Las pruebas sobre saldos finales aseguran que los importes de estos
saldos son válidos. Por ejemplo, si la empresa dice que tiene 2,6 millones en
inmovilizado, habrá que comprobarlo.

Hay que revisar los detalles, las facturas, rappels, etc., ver las tachaduras
de las facturas y comprobar por qué. Comprobar las amortizaciones, las
provisiones, etc.

Debilidades del Control Interno en el Procesamiento Electrónico de

datos y la Auditoria.
 La mayoría de las instituciones dependen mucho de las computadoras,
pero después de un estudio se puede deducir que se necesita un control de
seguridad para que el manejo sea mucho más fácil de controlar y guardar,
sino la auditoria informativa tendrá sus dificultades.

Debido al que el procesamiento de lo que se graba o almacena está en

diferentes ambientes de trabajo, se corre el riesgo de obtener informaciones
incompletas o informaciones que es difícil de leer a la vista de los auditores.

Lo ideal para tener un perfecto control interno sería poder registrar cada
dato, la persona, fecha, entre otros, y todo esto debería hacerse, pero por la
falta de personal y por el rápido cambio que transcurre con los procesos
electrónicos es difícil registrar y darle un código de control y almacenamiento.

En un banco, por ejemplo, en un Sistema de Caja de Ahorros, el personal

autorizado para ello tiene acceso directo, pero por falta de control pueden
ocurrir problemas muy drásticos; asimismo en una transacción privada de
moneda extranjera en el banco, por no haber mantenido un record causó la
pérdida de datos de una transacción para una revisión futura. Estos son
algunos de los casos que deben seguir promoviendo e impulsando en el
futuro.

Además el auditor interno debe considerar las causas de las pérdidas que
afectan la eficiencia y eficacia y evaluar por qué los controles escogidos son
o no suficientes para reducir las pérdidas esperadas a un nivel aceptable. Si
los controles escogidos son óptimos, si provocan un sobre control, o bien si
se logra un satisfactorio nivel de control usando menos controles o controles
menos costosos. Si el auditor interno considera que los controles internos del
sistema no son satisfactorios, en lugar de proceder directamente a revisar, a
probar controles alternos o a realizar pruebas sustantivas y procedimientos,
debe señalar las recomendaciones para mejorar los controles de los
sistemas.

Auditoria computarizada.

Es una función que ha sido desarrollada para asegurar la salvaguarda de

los activos de los sistemas de computadoras, mantener la integridad de los
datos y lograr los objetivos de la organización en forma eficaz y eficiente.

Examen metódico de una situación relativa a un producto, proceso u

organización, en materia de calidad, realizado en cooperación con los
interesados, a fin de verificar la concordancia de la realidad con lo
preestablecido, y la adecuación al objetivo buscado.
La Auditoria Computarizada surge como respuesta a una serie de riesgos
planteados por el uso de la computación en las empresas, a saber: físicos,
económicos, de descontrol, incapacidad, ineficacia, costes y, por otra parte, a
la importancia que asume la información en la empresa.

Una de las tareas del auditor computacional es lograr que pase de una
función computarizada abstracta, como muchas veces ocurre en la
actualidad, a otra en que los criterios fundamentales que le exijan sean los
asociados a la rentabilidad, asumiendo la calidad como uno de ellos.

Auditor en informática.

Es el que se encarga de estudiar los mecanismos de control que están

implantados en una empresa u organización, determinando si los mismos
son adecuados y si cumplen unos determinados objetivos o estrategias,
estableciendo los cambios que se deberían realizar para la consecución de
los mismos. Todo esto lo hace mediante un proceso de recoger, agrupar y
evaluar evidencias para determinar si el sistema de información que
salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organización y utiliza eficazmente los
recursos.

Objetivos de la Auditoria Computarizada.

Entre los objetivos de la auditoria computarizada tenemos:

 El control de la función informática.

 El análisis de la eficiencia de los sistemas informáticos.
 La verificación del cumplimiento de la normativa en este ámbito.
 La revisión de la eficaz gestión de los recursos materiales y humanos
informáticos.

El auditor informático ha de velar por la correcta utilización de los amplios

recursos que la empresa pone en juego para disponer de un eficiente y
eficaz Sistema de Información. Claro está, que para la realización de una
auditoria informática eficaz, se debe entender a la empresa en su más amplio
sentido, ya que una Universidad, un Ministerio o un Hospital son tan
empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la
informática para gestionar sus “negocios” de forma rápida y eficiente con el
fin de obtener beneficios económicos y de costes.

Por eso, al igual que los demás órganos de la empresa (Balances y

Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos
están sometidos al control correspondiente, o al menos debería estarlo. La
importancia de llevar un control de esta herramienta se puede deducir de
varios aspectos. He aquí algunos:

 Las computadoras y los Centros de Proceso de Datos se convirtieron

en blancos apetecibles no solo para el espionaje, sino para la
delincuencia y el terrorismo. En este caso interviene la Auditoria
Informática de Seguridad.
 Las computadoras creadas para procesar y difundir resultados o
información elaborada pueden producir resultados o información
errónea si dichos datos son, a su vez, erróneos. Este concepto obvio
es a veces olvidado por las mismas empresas que terminan
perdiendo de vista la naturaleza y calidad de los datos de entrada a
sus Sistemas Informáticos, con la posibilidad de que se provoque un
efecto cascada y afecte a Aplicaciones independientes. En este caso
interviene la Auditoria Informática de Datos.
 Un Sistema Informático mal diseñado puede convertirse en una
herramienta harto peligrosa para la empresa: como las máquinas
obedecen ciegamente a las órdenes recibidas y la modelización de la
empresa está determinada por las computadoras que materializan los
Sistemas de Información, la gestión y la organización de la empresa
no puede depender de un Software y Hardware mal diseñados.

Auditoria de la Seguridad informática.

La auditoria de la seguridad en la informática abarca los conceptos de

seguridad física y lógica. La seguridad física se refiere a la protección del
hardware y los soportes de datos, así como la seguridad de los edificios e
instalaciones que los albergan. El auditor informático debe contemplar
situaciones de incendios, inundaciones, sabotajes, robos, catastrofes
naturales, etc.
 Por su parte la seguridad lógica se refiere a la seguridad en el uso de
softwares, la protección de los datos, procesos y programas, así como la del
acceso ordenado y autorizado de los usuarios a la información.
El auditar la seguridad de los sistemas, también implica que se debe tener
cuidado que no existan copias piratas, o bien que, al conectarnos en red con
otras computadoras, no exista la posibilidad de transmisión de virus.

De todos es conocido que la informática es necesaria para la buena

marcha de las empresas, sea cual sea su objeto de negocio y su tamaño. Sin
embargo, la informática lleva aparejada en sí el riesgo digital, es decir, todo
aquél peligro que proviene de la dependencia de las tecnologías de la
información. Cada año, las investigaciones sobre cómo afectan estas
amenazas a las empresas vuelven a poner de relevancia la necesidad de la
prevención frente a un mayor número de amenazas.

Los virus, gusanos, troyanos y spyware son las amenazas a las que más
veces tienen que hacer frente las empresas, siendo significativo que existen
datos que reflejan que entre el 14% y 35% de las empresas, han sufrido
ataques de sabotaje de datos, escaneo de puertos o intrusiones en sus
redes.

Auditoria Informática para aplicaciones en Internet.

En este tipo de revisiones, se enfoca principalmente en verificar los

siguientes aspectos, los cuales no puede pasar por alto el auditor
informático:

 Evaluación de los riesgos de Internet (operativos, tecnológicos y

financieros) y así como su probabilidad de ocurrencia.
  Evaluación de vulnerabilidades y la arquitectura de seguridad
implementada.
 Verificar la confidencialidad de las aplicaciones y la publicidad
negativa como consecuencia de ataques exitosos por parte de
hackers.

¿Qué es un Hackers?

Hacker es aquel que entra ilegalmente a los sistemas, roba información y

provoca caos en sistemas remotos.

¿Por qué lo hace?

Puede ser por diversión, por venganza. La forma más común en que se
encuentra en la red es presentando software y documentos para atacar,
estos ataques pueden ser entradas ilegales, adquisición de password de
sistemas y adquisición de softwares, siendo los juegos los blancos
preferidos. También es común que entren a nuestras computadoras, para ver
que hacemos que tenemos, este truco es muy usado por sitios que venden
direcciones de e-mail, reciben información del usuario, su sistema operativo,
sus preferencias, su visualización, etc.

Metodología de trabajo de Auditoria Informática.

El método de trabajo del auditor pasa por las siguientes etapas:

 Alcances y objetivos de la auditoria informática.

 Estudio inicial del entorno auditable.
 Determinación de los recursos necesarios para realizar la auditoria.
 Elaboración del plan y de los programas de trabajo.
  Actividades propiamente dichas de la auditoria.
 Confección y redacción del informe final.

Reglas básicas de la Auditoria Computarizada.

Se deben de tener en cuenta una serie de principios básicos a la hora de

realizar una auditoria de cara a lograr una mayor efectividad en el trabajo por
parte del auditor computacional. Entre las reglas básicas de la Auditoria
Computarizada tenemos:

 Fomentar la cooperación de los elementos auditados, normalmente se

suele adoptar una actitud defensiva ante el auditor, ya que se piensa
que este busca culpables. Para evitar esa situación o incluso que se
llegue a un boicot más o menos abierto, es preciso convencer a todos
los implicados de que el auditor solo buscan mejoras y soluciones.
 Contar con el apoyo de la dirección, ya que se deberán realizar
entrevistas y solicitar documentación y posiblemente y posiblemente
trabajo de los elementos auditados.
 Cuida aspectos protocolarios, explicar al jefe de una unidad que es lo
que se desea obtener en una entrevista con un subordinado suyo,
establece una diferencia clara entre los jefes y empleados.
 Realizar una presentación o entrevista inicial en que se explique el
objetivo, su justificación y se aclaren dudas.
 Solicitar con la antelación precisa la información inicial a obtener. Es
decir, solicitar la información precisa antes de condensar los trabajos
(manuales de normas, entre otros).
  No adelantar resultados parciales sobre un área o función
determinadas; las visiones o análisis parciales pueden causar
impresiones falsas y además ser erróneas.
 Comentar con los interesados los resultados obtenidos antes de
presentarlos a niveles superiores.

Técnicas utilizadas en la Auditoria Computarizada.

Las técnicas para aplicar procedimientos de auditoria pueden variar

considerablemente en su diseño y tamaño, desde los más sencillos hasta los
más sofisticados, considerando que según el Diccionario de la Lengua
Española “Técnica es todo aquello perteneciente o relativo a las aplicaciones
de las ciencias y las artes; pudiendo aplicarse en particular a las palabras o
expresiones empleadas en el lenguaje propio de un arte, ciencia u oficio”

El profesional, en su papel de auditor, de igual manera tendrá que cambiar

y desarrollar nuevas técnicas a medida que progresa la tecnología. Entre las
diversas técnicas que puede realizar un auditor tenemos:

a) Pruebas Integrales: Consiste en el procesamiento de datos de un

departamento ficticio, comparando estos resultados con resultados
predeterminados.
b) Simulación: Consiste en desarrollar programas de aplicación para
determinar pruebas y comparar los resultados de la simulación con la
aplicación real.
c) Revisión de acceso: Se conserva un registro computarizado de todos
los accesos a determinados archivos; por ejemplo, la información de
la identificación tanto de la Terminal como la del usuario.
 d) Operaciones en paralelo: Consiste en verificar la exactitud de la
información sobre los resultados y produce un sistema nuevo que
sustituye a uno ya auditado.
e) Evaluación de un sistema con datos de prueba: Esta evaluación
consiste en verificar los resultados producidos con datos de prueba
contra los resultados que fueron obtenidos inicialmente en las pruebas
de programas (solamente aplicable cuando se hacen modificaciones a
un sistema).
f) Selección de determinado tipo de transacciones como auxiliar en el
análisis de un archivo histórico: Por medio de este método podemos
analizar en forma parcial el archivo histórico de un sistema el cual
seria casi imposible de verificar en forma total.
g) Resultados de ciertos cálculos para comparaciones posteriores: Con
ellos podemos comparar en el futuro los totales en diferentes fechas.
h) Trazas y/o Huellas: Con frecuencia el auditor informático debe
verificar, tanto de los sistemas como de usuario, realizan exactamente
las funciones previstas y no otras. Para ellos se apoya en productos
Software muy potentes y modulares, que entre otras funciones,
rastrean los caminos que siguen los datos a través del programa.

Ventajas de las Técnicas de Auditoria.

La utilización de las técnicas de auditoria ofrece las ventajas siguientes:

 Amplían el alcance de la investigación y permiten realizar pruebas que

no pueden realizarse manualmente.
 Incrementan el alcance y calidad de los muestreos, verificando un
gran número de elementos.
 Elevan la calidad y fiabilidad de las verificaciones a realizar.
  Reducen el periodo de las pruebas y procedimientos de muestreos a
un menor costo.
 Brindan al auditor autonomía e independencia de trabajo, al no
depender sólo de las verificaciones que se detallan en las guías de
auditoria.
 Realizan un planeamiento a priori sobre los puntos con potencial
violación del control interno.
 Disminución considerable del riesgo de no detección de los
problemas.
 Posibilidad de que los auditores actuantes puedan centrar su atención
en aquellos indicadores que muestren saldos inusuales o variaciones
significativas que precisan de ser revisados como parte de la auditoria.
 Elevación de la productividad y de la profundidad de los análisis
realizados en la auditoria.
 Elevación de la autoestima profesional del auditor, al dominar técnicas
de punta que lo igualan al desarrollo de la disciplina en el ámbito
internacional.

Herramientas utilizadas en la Auditoria Computarizada.

Las herramientas utilizadas en la auditoria computarizada, ayudan al

auditor a establecer una metodología para la revisión de los sistemas de
aplicación de una organización, empleando como herramienta el mismo
equipo de cómputo. Entre las diversas herramientas tenemos:

a) Cuestionario: Las auditorias informáticas se materializan recabando

información y documentación de todo tipo. Para esto, suele ser lo
habitual solicitando la complementación de cuestionarios preimpresos
que se envían a las personas concretas que el auditor cree
adecuadas, sin que sea obligatorio que dichas personas sean las
 responsables oficiales de las diversas áreas a auditar. Cabe aclarar
que esta primera fase puede omitir cuando los auditores hayan
adquirido por otros medios la información que aquellos preimpresos
hubieran proporcionado.
b) Entrevistas: El auditor comienza a continuación las relaciones
personales con el auditado, lo hace de tres formas:

 Mediante la petición de documentación concreta sobre alguna materia

de su responsabilidad.
 Mediante “entrevistas” en las que no se sigue un plan predeterminado
ni un método escrito de sometimiento a un cuestionario.
 Por medio de entrevistas en las que el auditor sigue un método
preestablecido de antemano y busca unas finalidades concretas.
c) Checklist: El auditor profesional y experto es aquel que elabora
muchas veces sus cuestionarios en función de los escenarios
auditores. Tiene claro lo que necesita saber, y por qué, sus
cuestionarios son vitales para el trabajo de análisis, cruzamiento y
síntesis posterior, lo cual no quiere decir que haya de someterse al
auditor a unas preguntas estereotipadas que no conducen a nada.
Muy por el contrario el auditor conversará y hará preguntas normales
que en realidad servirán para la complementación de sus
cuestionarios, de sus Checklist, salvo las excepciones chacklists
deben ser contestadas oralmente, ya que superan en riqueza y
generalización a cualquier otra forma.
C.1) Chekclist de rango: Contiene preguntas que el auditor dentro de
un rango preestablecido (por ejemplo, 1 a 5, siendo 1 la respuesta
más negativa y 5 el valor más positivo).
Checklist Binario: Es la constituida por preguntas con respuestas
únicas y excluyente: si o no, aritméticamente equivalen a 1 o 0,
respectivamente. Los checklist de rango son adecuados si el equipo
 no es muy grande y mantiene criterios uniformes y equivalentes a las
valoraciones, permite una mayor precisión de la evaluación que en las
checklist binaria. Sin embargo la bondad del método depende
excesivamente de la formación y competencia del equipo auditor.
d) Software de Interrogación: Hasta hace ya algunos años se ha utilizado
productos software llamados genéricamente paquetes de auditoria
capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informático. En la actualidad los
productos software especiales para las auditorias se orientan
especialmente hacia lenguajes que permiten la interrogación de
ficheros y bases.
 Conclusión.

Principalmente, con la realización de este trabajo, la principal conclusión a

la que hemos podido llegar, es que toda empresa, pública o privada, que
posean Sistemas de Información medianamente complejos, deben de
someterse a un control estricto de evaluación de eficacia y eficiencia. Hoy en
día, el noventa por ciento (90%) de las empresas tienen toda su información
estructurada en Sistemas Informáticos, de aquí, la vital importancia que los
sistemas de información funcionen correctamente. La empresa hoy, debe
informatizarse. El éxito de una empresa depende de la eficiencia de sus
sistemas de información. Una empresa puede tener un staff de gente de
primera, pero tiene un sistema informático propenso a errores, lento,
vulnerable e inestable; si no hay un balance entre estas dos cosas, la
empresa nunca saldrá a adelante. En cuanto al trabajo de la auditoria en sí,
podemos remarcar que se precisa de gran conocimiento de Informática,
seriedad, capacidad, minuciosidad y responsabilidad; la auditoria de
informática debe hacerse por gente altamente capacitada, una auditoria mal
hecha puede acarrear consecuencias drásticas para la empresa auditada,
principalmente económicas.
 Bibliografía.

O. Ray Whittington, Pany Kart. Auditoria un Enfoque Integral. 12ª Edicion.

Caracas; Mac Graw Hill, 1.999.

Catácora, Fernando. Sistemas y Procedimientos Contables. 2º Edición.

Caracas; Mac Graw Hill, 1.998.

Disponible: es.wikipedia.org
Disponible: www.google.com
Disponible: www.monografias.com
Disponible: www.nova.es