Auditoria Informática

Profesor: Evelio Hernández Pascual

Historia de la Contabilidad y la Auditoria

1720 Se registra la primera auditoría externa,

realizada por un contador público independiente .

Finales de 1700 Comienza en Inglaterra la Revolución

Industrial y poco después en los EE.UU.

• Se fundan grandes fábricas.

• Incremento en la demanda de auditores externos e
internos.
1800. Ley en Inglaterra que incluye auditorías obligatorias.

1887. AICPA . Instituto Americano de Contadores Públicos

Certificados.

1896. Se emiten certificados de contadores públicos a aquellos

que
pasaran un examen .

1913. Todas las compañías deben llevar registros contable, aún

las pequeñas firmas .

1917. El AICPA comenzó a preparar exámenes uniformes para

todos los estados

1941. Se funda el I. I. A. : Instituto de Auditores Internos

1963. El uso a gran escala de la computación en los
Sistemas Contables provoca que los auditores se
preocupen acerca de como enfrentar esta nueva
tecnología.

1967. Aparece el primer Software de Auditoría

AUDITAPE.

1969. Se crea la EDPAA (Electronic Data Processing

Auditors Association.).
Finales de los 70 e inicios de los 80.
• LasGrandes Firmas ya tenían Auditores Informáticos
en sus plantillas.
•Escaseaban las técnicas de Auditoría Informática y había
poca experiencia con las que existían.
•Aunque ya existía Software de Auditoría Generalizado,
habían pocos auditores con experiencia en esta temática.

Un problema común se presentó:

“LA RESISTENCIA A USAR COMPUTADORAS”
Pero, los Sistemas de Contabilidad habían
cambiado y por tanto la Auditoría no podía seguir
siendo la misma.
 Se estaban utilizando
procedimientos de auditoría
de
los 50 para revisar
transacciones de los 80.
Cambios que introduce el Procesamiento
Automatizado de Datos que modifican la
Auditoría Clásica:
1. El procesamiento se realiza con medios
técnicos y no de forma manual.
2. Los registros (libros contables, etc.)
están en files.
3. Los procedimientos están en
programas.
4. No siempre existe el papel como
evidencia de una transacción.
5.- Se concentran en una sola persona las
funciones de captación, registro y emisión de
informes.
6.- Los programas y datos pueden ser alterados
sin dejar evidencias.
7.- Existen otros programas y sistemas que no
son financieros ni contables y es necesario
auditarlos (Cálculo ingenieril, Cálculo
científico, automática, comunicaciones, Bases
de datos, robótica, etc.)
• Concentración de información.
• Falta de registros visibles.
• Facilidad de hacer desaparecer información con rapidez.
• Complejidad de la operatoria.
• Dificultades con la seguridad de la información.
• Necesidad de emplear personal altamente calificado que se halla en condiciones de
eludir o burlar controles.
Impacto de las Computadoras en las Tareas de
Auditoria

• Cambio en las pistas de auditoría

• Necesidad de adecuar las normas de auditoría a una

operatoria electrónica

• La pericia técnica del auditor

• El delito informático
 Auditoria
Trata de la revisión, comprobación, exposición y presentación
de los hechos económicos de cualquier tipo de organización
mediante el examen, estudio y análisis de los registros contables,
comprobantes y demás evidencias.

En la práctica comercial, es un examen de las cuentas para emitir

una opinión sobre los estados financieros.

Es un Control de Controles dentro de la organización

para asegurarse que cumple los objetivos para la cual fue creada.
 En todo centro donde se desarrollan y procesan aplicaciones,
existen diversos RIESGOS, los cuales deben ser ELIMINADOS,
o disminuida su probabilidad de ocurrencia, MEDIANTE la
implantación de un conjunto de CONTROLES.

Es la función que analiza si existen esos controles, si se emplean

correctamente o detecta la ausencia y/o deficiencias de los mismos, analiza
también si la información resultante es útil, evaluando la relación entre
los costos del procesamiento y los resultados que se obtienen.

Es una labor de análisis que tiene que brindar un

“ DIAGNOSTICO DE LA SITUACION “
sobre el desarrollo y/o procesamiento de datos.
“Comprobación científica y
sistemática de los controles sobre
política informática, medios
técnicos y sistemas informáticos de
una entidad, con el objeto de
Auditoria
determinar la exactitud, integridad,
eficiencia y calidad de los mismos y
Informática
eliminar las deficiencias
detectadas”
TI SO DIR ADS HW Redes Seguridad Inf.

Contabilidad

BD
LP
Auditoría Informática

CALIDAD SEGURIDAD EFICIENCIA

 Falta de prevención.
 Enfoques erróneos.
 Derroche de recursos.
 Programas inservibles.
 Fraudes.
 Irresponsabilidades. SANCIÓN
 Desconocimiento.
 Inseguridad.
 Robo.
Evolución de la Auditoria Informática

• Auditoria Alrededor de la Computadora.

• Auditoria de la Computadora.

• Auditoria a través de la Computadora.

• Auditoria con Ayuda de la Computadora

AUDITORIA ALREDEDOR DE LA COMPUTADORA

E PROCESAMIENTO
S
Verificación de los resultados
en función de las entradas

No se necesita conocer la forma en que internamente ha actuado la máquina

AUDITORIA DE LA COMPUTADORA

Además de lo indicado en la etapa anterior se

analiza el control interno del Centro de Cómputo
y controla la existencia o no de normas de
documentación.
AUDITORIA A TRAVES DE LA COMPUTADORA

En esta etapa se entra a analizar a nivel de aplicación

como se trata la información en la computadora.

El auditor requiere conocimientos de las técnicas de

computación.
AUDITORIA CON AYUDA DE LA COMPUTADORA

Aquí la computadora se convierte en una herramienta

de trabajo del auditor utilizando :

• Software de auditoría (IDEA, ACL, etc.)

• Técnicas de Auditoria Asistida por Computadora.
Metodología para la realización de la Auditoría.
Recopilación
Justificación:
Diagnóstico preliminar de
•áreas a auditar
Información
•plan de auditoría
Básica

Adecuación:
•Métodos Formalización:
•Técnicas •Aprobación
•Herramientas •Inicio

Desarrollo:
•entrevistas Recopilación
Implantación •visitas de
•observaciones Información
•pruebas Detallada
•riesgos
•Informe y Aprobación
 TECNICAS

DE

AUDITORIA INFORMÁTICA
TECNICAS DE AUDITORIA INFORMATICA
Una vez que el auditor ha seleccionado las aplicaciones a ser comprobadas, debe
escoger el método de verificación que utilizará para realizar las pruebas de las
funciones y de los controles en la aplicación.
Existen dos propósitos en la utilización de las variadas técnicas y herramientas
de la auditoría de P. E. D.

• Verificar las fases manuales y/o computarizadas del procesamiento.

• Verificar los resultados del procesamiento.
Confirmación
Comprobación
Edición y razonabilidad

A su vez existen:
• Métodos manuales
• Métodos auxiliados por la computadora
Vaciado de Archivos

Reporte
 Simulación en Paralelo

Computadora con Computadora con

Sistema Real Sistema Simulado

Resultados Reales Resultados de

Simulación

Comparación Informe de Auditoria

Región A Región B Región C

Auditores Reportes de
Archivos Regionales Auditoría

Software de Auditoría
Centro de competencia
 Datos de Prueba
DATOS
PRUEBA

AUDITOR

Resultados del Resultados

Procesamiento pre calculados

COMPARACIÓN Informe de Auditoria

 Prueba Integrada

DATOS DATOS
REALES PRUEBA

USUARIO AUDITOR

Resultados
pre calculados

COMPARACIÓN
Resultados Resultados
para el usuario para el Auditor
Informe de
Auditoria
 Operación Paralela

DATOS

Con Versión Anterior Con Versión Nueva del Sistema

del Sistema

Resultados Resultados
Informe de
Auditoria
COMPARACIÓN
 Archivo de Revisión de Auditoria

DATOS

Resultados

Informe de
Incluye Módulo de Auditoria
Auditoria
Selección de Transacciones de Entrada

DATOS

Selección de
Transacciones
Con Sistema en
Explotación Datos
Seleccionados
Resultados
Informe de
EVALUACIÓN Auditoria
USUARIO
Control de Auditoria

Diferencia
(Tamaño)
 Técnica de Mapping
Informe de Segmento de
programa no utilizado

Informe de Consumo
del CPU Informe de
Auditoria

Incluye
Subprogramas
para Mapeo
Número de Veces que
cada instrucción fue
ejecutada.
ALGUNAS DE LAS FORMAS DE PARTICIPACION DEL AUDITOR EN LOS
SISTEMAS DE P.E.D. SON LAS SIGUINETES:

• Realizar la auditoría a una aplicación que está en explotación .

- Revisión y análisis de todos los controles
- Revisión y análisis del cumplimiento de los procedimientos
de trabajo
- Revisión y análisis de una aplicación implantada, comparando
los logros obtenidos con los costos y con los objetivos que la
promovieron
• Realizar la auditoría a un centro de cómputo.
-Análisis de los procedimientos y controles que influyen en
todas las aplicaciones
• Participar en la actividad de desarrollo de sistemas.
- Auditar al proceso de desarrollo de las aplicaciones (control de
proyectos)
- Participación en el desarrollo de una aplicación especifica
 EL OBJETIVO DE TODO EL
TRABAJO
DE AUDITORIA INFORMATICA
ES
EVALUAR LOS RIESGOS QUE
PUEDEN
PRESENTARSE.
 LA CONFIANZA ES BUENA

pero....

EL CONTROL ES MEJOR
“ Hecho que puede ocurrir si llegan a materializarse las causas (amenazas) a que
están expuestos los recursos del sistema”
“Potencial de que una amenaza aproveche una vulnerabilidad de una activo o de un
grupo de activos para causar pérdida o daño”
 Riesgos más Relevantes:
•Daño físico o destrucción de recursos.
•Pérdidas por fraude o desfalco.
•Errores y falsificación de datos de entrada.
•Sistema de acceso no controlado.
•Extravío de documentos fuentes, files, etc.
•Interrupción de las operaciones del negocio.
•Fallas del sistema de comunicación.
•Errores de programación.
•Hacking (Intrusos).
 Criterio I “Alcance del sistema”

 Criterio II “Estructura del sistema”

 Criterio III “Medio ambiente”

 Valor x peso = riesgo
1. Interfaces del sistema
( ) Ninguna 1.0 x 5.0 =
( ) 1-3 2.0 x 5.0 =
()>3 4.0 x 5.0 =
2. Programas de actualización
( ) 1-5 1.0 x 5.0 =
( ) 6-9 2.0 x 5.0 =
( ) >=10 4.0 x 5.0 =
3. Total de módulos
( ) 1-199 1.0 x 5.0 =
( ) 200-299 2.0 x 5.0 =
( ) >=300 4.0 x 5.0 =
 Valor x peso = riesgo
4. Departamentos que abarca
( ) Uno 1.0 x 4.0 =
( ) Dos 2.0 x 4.0 =
( ) >= 3 4.0 x 4.0 =
5. Naturaleza del sistema
( ) Reemplaza a un sist. Autom. 1.0 x 5.0 =
( ) Reemplaza a un sist. Manual 2.0 x 5.0 =
( ) Completamente nuevo 4.0 x 5.0 =
6. Activos controlados por el sistema
( ) < 500,000 1.0 x 4.0 =
( ) 500,000-2000,000 2.0 x 5.0 =
( ) >=2000,000 4.0 x 6.0 =
 Valor x peso = riesgo
7. Costo del desarrollo del sistema
( ) < 5000 1.0 x 5.0 =
( ) 5000 - 20,000 2.0 x 5.0 =
( ) >=20,000 4.0 x 5.0 =
8. Horas de desarrollo del sistema
( ) <=1000 1.0 x 5.0 =
( ) 1000 - 4000 2.0 x 5.0 =
() > 4000 4.0 x 5.0 =
9. Presición de las transacciones
( ) Bajo 1.0 x 4.0 =
( ) Medio 2.0 x 5.0 =
( ) Alto 4.0 x 6.0 =
 Valor x peso = riesgo
1. Estructura de los ficheros
( ) Files aislado 1.0 x 4.0 =
( ) Base de datos 2.0 x 4.0 =
( ) Combinación 4.0 x 4.0 =
2. Modo de procesamiento
( ) Batch 1.0 x 5.0 =
( ) Entrada en línea y act. En batch 2.0 x 5.0 =
() Entrada en línea y act. En TR 4.0 x 5.0 =
3. Total de ficheros
( ) <20 1.0 x 3.0 =
( ) 20 - 30 2.0 x 3.0 =
( ) > 30 4.0 x 3.0 =
 Valor x peso = riesgo
4. Lenguaje de programación
( ) Alto nivel 1.0 x 4.0 =
( ) Combinación de alto y bajo 2.0 x 4.0 =
( ) Bajo nivel 4.0 x 4.0 =
5. Sistema distribuído o centralizado
( ) Centralizado 1.0 x 3.0 =
( ) Distribuído en pocos nodos 2.0 x 3.0 =
( ) Distribuído en muchos nodos 4.0 x 3.0 =
6. Experiencia del personal
( ) Alta 1.0 x 4.0 =
( ) Media 2.0 x 4.0 =
( ) Baja 4.0 x 4.0 =
 Valor x peso = riesgo
7. Complejidad (cálculo y operaciones lógicas)
( ) Bajo 1.0 x 6.0 =
( ) Medio 2.0 x 6.0 =
( ) Alto 4.0 x 6.0 =
8. Técnicas de diseño y desarrollo
( ) Estructurado 1.0 x 5.0 =
( ) Orientado a objetos 2.0 x 5.0 =
( ) Combinación 4.0 x 5.0 =
9. Telecomunicaciones
( ) Ninguna. 1.0 x 4.0 =
( ) Solo para entrada y salida. 2.0 x 4.0 =
( ) Completo. 4.0 x 4.0 =
 Valor x peso = riesgo
10. Seguridad y control de accceso
( ) Internamente desarrollado. 1.0 x 4.0 =
( ) Comprado. 2.0 x 4.0 =
( ) Ninguno. 4.0 x 4.0 =
 Valor x peso = riesgo
1. Se usa el sistema para toma de decisiones
( ) No. 1.0 x 6.0 =
( ) Parcialmente. 2.0 x 6.0 =
( ) Totalmente. 4.0 x 6.0 =
2. Impacto del sistema en el estado de las finanzas
( ) No impacto 1.0 x 6.0 =
( ) Menor impacto 2.0 x 6.0 =
( ) Mayor impacto 4.0 x 6.0 =
3. Quién desarrolla el sistema
( ) Personal propio. 1.0 x 3.0 =
( ) Personal propio y contratado. 2.0 x 3.0 =
( ) Contratado. 4.0 x 3.0 =
 Valor x peso = riesgo
4. Quienes participan en el desarrollo de los procesos
( ) Ususarios y auditores. 1.0 x 6.0 =
( ) Solo usuarios. 2.0 x 6.0 =
( ) Ni usuarios ni auditores. 4.0 x 6.0 =
5. Metodología de desarrollo del sistema
( ) Seguida constantemente 1.0 x 5.0 =
( ) Seguida en ocasiones 2.0 x 5.0 =
( ) Desarrollado sin metodología 4.0 x 5.0 =
6. Privacidad y seguridad de datos
( ) Insignificante. 1.0 x 3.0 =
( ) Moderada . 2.0 x 3.0 =
( ) Significativa. 4.0 x 3.0 =
 Valor x peso = riesgo
7. Es comprado el software
( ) Sí. 1.0 x 5.0 =
( ) No . 2.0 x 5.0 =
( ) Combinación. 4.0 x 5.0 =
8. Sistema desarrollado por usuarios finales
( ) No. 1.0 x 7.0 =
( ) Sí, con ayuda de especialista 2.0 x 7.0 =
( ) Sí, sin ayuda de especialista 4.0 x 7.0 =
Sistema Alcance Estructura Medio Amb. Total

Si total 0-125 Nivel Bajo de riesgo

Si total 126 - 237 Nivel Medio de riesgo

Si total 238 - 516 Nivel Alto de riesgo

Funciones típicas:

 Creación de archivos
de trabajo del auditor
 Actualización

 Resumen de los
registros de trabajo
 Ordenamiento de los
registros
 Mezcla de registros de

diferentes files para

obtener uno nuevo
 Cálculos
 IDEA (Interactive Data Extraction and Analysis)
Proporciona a :
 Auditores
 Contadores
 Profesionales en Sistemas y Finanzas
 Responsables de la seguridad de la Información.

La posibilidad de leer, visualizar, obtener muestras y extraer datos de cualquier fuente, desde
mainframe a computadora personal, le proporciona un conjunto de facilidades y funciones
para realizar y extender el alcance de su trabajo.
 Importar datos desde varios tipos de archivos.
 Crear diferentes vistas de los datos y reportes.
 Detección de omisiones.
 Detección de Duplicados.
 Calcular totales de control.
 Realizar estratificaciones de datos.
 Unir diferentes archivos
 Comparar diferentes archivos.
 Realizar pruebas de excepción utilizando diferentes criterios.
 Obtener muestras usando diferentes técnicas de muestreo.
 Trabajar con funciones de fecha, texto, aritméticas y de otros
tipos.
 Etc.
Satisfacer los objetivos de una
Auditoria de Estados
Financieros con:

 Precisión: Comprobación de
cálculos y totales.
 Revisión Analítica:
Comparaciones, estadísticas.
 Validez: Duplicados,
excepciones, muestreos.
 Integridad: Omisiones y
Coincidencias
 Cortes: Análisis secuencial de
fechas y números.
Detectar Fraudes:

Planillas de Sueldo:
 Sueldos mal calculados.
 Comparación de planillas de meses diferentes.
 Totales de Control
 Cálculos.

Seguridad:
 Detectar “empleados clandestinos”
 Detectar empleados que no tienen claves asignadas
 Detectar quien ha realizado determinada acción en la Base de datos.
Hacer informes de Análisis y gestión:

 Análisis y Cálculos de porcentajes.

 Sumarizaciones (ej: por cliente, por producto, por gestión).
 Análisis de inventarios.
 Registros de sistemas.
 Derechos de Acceso.
 Comprobación de diferencias
Aplicaciones generales

1. Compras y Pagos
2. Cuentas por Cobrar
3. Cuentas por Pagar
4. Planillas de Sueldo
5. Activos fijos
6. Inventarios
7. Ventas
8. Investigaciones de Fraudes
Aplicaciones en sectores específicos

•Banca e Instituciones Financieras.

•Prestamos Hipotecarios.
•Compañías de Seguros.
•Empresas Industriales.
•Impuestos.
•Telefonía.
•Sector público
 Incrementar o ampliar el alcance de las
investigaciones
(es decir dirigir pruebas que no pueden
realizarse manualmente)
 Incrementar la cobertura (comprobando
un gran número de elementos y
cubriendo potencialmente el 100% de las
transacciones de un año o más);
 Mejor información (por ejemplo análisis
extras o perfil de los datos);
 Ahorro de tiempo.
 La imagen del departamento de auditoria
 Satisfacción del personal.
1. Forensic ToolKit (software utilizado por la policía), se utiliza para realizar análisis forense
informático, se basa en la búsqueda en miles de archivos para detectar las pruebas que
necesita.

2. Network Inventory Reporter: software que recopila e informa acerca del hardware de la red, así
como del software, grupos de programas, y aplicaciones para todas las computadoras de la red.

3. WinSoftLive: Realiza auditoría, análisis, estadística y control del uso del software y de las
impresoras. El monitoreo del uso de la computadora y la medida de periodos de tiempo en
forma clara y precisa permite calcular costos, incrementos o desempeño de la inversión.

4. GCI: Gestión de Control Interno. Registra en tiempo real, los hallazgos, observaciones,
recomendaciones y riesgos producto de la ejecución de la auditoria o evaluación del control
interno.

5. Password Recovery ToolKit: Facilita la recuperación de contraseñas.

 auditoría.
• Profundos
conocimientos de
informática.
• Empleo de paquetes
de auditoría.
• Dominio de las
técnicas de auditoria
informática.
• Cualidades
profesionales y
personales para
tratar con los
sectores auditados.
• Habilidad para
Normas que enmarcan la Actividad de los Auditores
Informáticos:

 Responsabilidad.
 Autoridad.
 Independencia.
 Relación Organizacional.
 Ética Profesional.
 Competencia.
 Planificación.
 Desempeño del trabajo.
 Preparación de Informe.
 Actividades de seguimiento.
ISACA (Information Systems
Audit and Control Association)
CISA:
Certified Information System Auditor

Capítulos en América:
Argentina, Bolivia (La Paz), Chile,
Colombia, Costa Rica, Panamá,
México, Uruguay, Venezuela y USA.
Conocimiento según ISACA
• Information System Audit Standars and Information
System Segurity and Control practicies 8%

• Information System Organization and practicies 15%

• Information System process 22%

• Information System integrity, confidentiality and

avaelability 29%

• Information System Devolopment Acquisition and

Maintenance 26%
• UPB, La Paz, Diplomado
• UMSA, La Paz, Diplomado
• EMI, La Paz, Maestría
• UAGRM, Santa Cruz, Maestría
• Pregrado, varias Universidades del país como materia.
NO EXISTE LA CARRERA
• ISACA, Bolivia, La Paz
Referencias Bibliográficas:
•Funes Orellana Juan, El ABC de la Contabilidad, Cochabamba,
Bolivia, 2001
•Caseware IDEA Inc., Guía del Usuario, Ontario, Canadá, 2006
•Singleton Tommie, Generalized Audit Software:
Effective and Efficient Tool for Today´s Audits,
Information System Control Journal, Volume 2, USA, 2006.
•Hernández Evelio, Técnicas de Auditoria Asistida
por Computadoras, UAGRM, Bolivia, 2006
•Singleton Tommie, Systems Development Live Cycle and IT Audit,
Information System Control Journal, Volume 1, USA, 2007.
•Pareek Mukul, Automating Controls, Information System Control
Journal, Volume 3, USA, 2007.
•Melancon Dwayne, Security Controls that works,
Information System Control Journal, Volume 4, USA, 2007

•www.isaca.org
•www.caseware-idea.com
•www.emrisk.com