Tesis Control Interno de Auditoria Informatica

UNIVERSIDAD DE EL SALVADOR
FACULTAD DE CIENCIAS ECONMICAS

ESCUELA DE CONTADURA PBLICA
GUA PRACTICA PARA LA EVALUACIN DEL CONTROL

INTERNO EN LA AUDITORIA EN INFORMATICA
MARA ESTELA CISNEROS MANZANO

MARLENE ELIZABETH BELTRN GUTIRREZ
MARITZA ELIZABETH ARGUETA ARANO
PARA OPTAR AL GRADO DE:
LICENCIADO EN CONTADURA PBLICA
CIUDAD UNIVERSITARIA, SAN SALVADOR, EL SALVADOR, CENTROAMRICA

JUNIO 2002
AUTORIDADES UNIVERSITARIAS
Rectora
: Dra. Mara Isabel Rodrguez
Secretaria General
: Licda. Lidia Margarita Muoz Vela
Decano de la Facultad de
Ciencias Econmicas:
: MSc Roberto Enrique Mena
Secretario de la Facultad
de Ciencias Econmicas
: Lic. Jos Wilfredo Zelaya Franco
Asesor
: Licda. Glendy Ruth Garca de Araniva
Tribunal Examinador
: Lic. Ricardo Alberto Jimnez

: Lic. Carlos Henrquez Ruano
: Licda. Glendy Ruth Garca de Araniva
Junio de 2002
San Salvador,
El Salvador,
Centro Amrica
DEDICATORIA
A DIOS TODO PODEROSO: a quien sea toda la Gloria, el Poder y la Honra, ya que
me dio la sabidura, paciencia y perseverancia para terminar con xito mi carrera
A MIS PADRES: que me brindaron y haber entregado incondicionalmente, todo su

sacrificio hasta ver culminados sus sueos que son los mos propios;
A MIS HERMANOS: porque ellos han sido muy importantes en todo momento y
siempre me invitaron a seguir adelante con mis esfuerzos de superacin y me prepararon
el camino;
COMPAEROS, Y AMIGOS: que siempre me apoyaron lo cual contribuy a sentirme

confiado y seguro de culminar lo que haba comenzado;
FAMILIARES: que siempre confiaron en mi, que iba a lograr coronar mi carrera
profesional.
Mara Estela
Marlene Elizabeth
Maritza Elizabeth
INDICE
RESUMEN
INTRODUCCIN
1.
MARCO TEORICO CONCEPTUAL O DE REFERENCIA
1.1.
UN POCO DE HISTORIA Y UN POCO DE ACTUALIDAD
1.2.
AUDITORIA.
1.2.1
NATURALEZA Y PROPSITOS DE LA AUDITORA.
1.2.2
INFORMTICA
LA AUDITORIA DEL SISTEMA INFORMTICO
1.2.3
1.3.
CONTROL INTERNO
1.3.1
CONTROL INTERNO ADMINISTRATIVO
1.3.2
CONTROL INTERNO FINANCIERO
1.3.3
CONTROL INTERNO EN AMBIENTE COMPUTARIZADO
1.3.4
LOS TRES ELEMENTOS DE LA ESTRUCTURA DE CONTROL
10
1.3.5
CARACTERSTICAS ESPECFICAS DE LOS SISTEMAS COMPUTARIZADOS
12
1.3.6
CONTROL INTERNO E INFORMTICA
14
1.4.
EVALUACIN DEL SISTEMA DE CONTROL INTERNO
1.4.1
EVALUACIN PRELIMINAR DEL RIESGO
1.4.2
EVALUACIN DEL RIESGO Y CONTROL INTERNO EN LA AUDITORA
18
19
DE SISTEMAS COMPUTARIZADOS
20
1.5.
RIESGOS DE AUDITARA
21
1.5.1
RIESGOS INHERENTES
22
1.5.2
RIESGO DE CONTROL
22
1.5.3
RIESGO DE DETECCIN
22
1.5.4
EVALUACIN DEL RIESGO INHERENTE Y DE CONTROL
22
1.5.5
RIESGO.
22
1.6.
CUESTIONARIOS DE CONTROL INTERNO COMO MTODO DE EVALUACIN 24
1.6.1
DEFINICIN
24
1.6.2
CUESTIONARIOS PARA AUDITORA EN INFORMTICA
25
1.6.3
VENTAJAS DE LOS CUESTIONARIOS
25
1.7.
AUDITORIA DE INFORMATICA Y SISTEMAS CON COMPUTADOR
25
1.7.1
ORGANIZACIN DEL DEPARTAMENTO PED.
1.7.2
PROCEDIMIENTOS DE DOCUMENTACIN DENTRO DEL DEPARTAMENTO

DE PED.
29
1.7.3
DOCUMENTACIN DE SISTEMAS
29
1.7.4
DOCUMENTACIN DE PROGRAMAS
29
1.7.5
CONTROLES DE ACCESO Y OTRAS MEDIDAS DE SEGURIDAD
30
1.7.6
CONTROLES DE APLICACIN
31
1.7.7
CONTROLES DE ENTRADA
31
1.7.8
CONTROLES DE PROCESAMIENTO
32
1.7.9
CONTROLES DE SALIDA
32
1.7.10
PRUEBAS DE CUMPLIMIENTO
33
1.8.
TCNICAS DE AUDITORA EN SISTEMAS COMPUTARIZADOS
26
33
1.8.1
PROCEDIMIENTOS MANUALES
34
1.8.2
TCNICAS DE AUDITORA APOYADAS POR COMPUTADORAS
34
1.8.3
USO DE LA INFORMACIN DE PRUEBA
35
1.8.4
USO DE PROGRAMAS GENERALIZADOS DE AUDITARA
35
1.9.
AUDITORIA EN UN AMBIENTE DE SISTEMAS DE INFORMACIN POR

COMPUTADORA. (NIAS)
36
1.9.1
INTRODUCCIN
36
1.9.2
HABILIDAD Y COMPETENCIA
38
1.9.2
PLANEACIN
37
1.9.3
EVALUACIN DEL RIESGO.
41
1.9.4
PROCEDIMIENTOS DE AUDITORIA
42
1.10. AUDITORIA EN INFORMTICA
43
1.10.1 CAMPO DE ACCIN
43
1.10.2 EVALUACIN ADMINISTRATIVA DEL DEPARTAMENTO DE INFORMTICA 44

1.10.3 EVALUACIN DE LOS SISTEMAS, PROCEDIMIENTOS Y EFICIENCIA DE LA
INFORMACIN
45
1.10.4 EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO. 45

1.10.5 LA IMPORTANCIA DE LA AUDITORA EN INFORMTICA.
45
1.10.6 ELEMENTOS DE AUDITORA EN INFORMTICA
53
1.10.7 PROCESO DE UNA AUDITORIA EN INFORMTICA
53
1.10.8
OBJETIVOS DE LOS PROCEDIMIENTOS DE LA AUDITORIA EN

INFORMTICA
54
1.11. PROCEDIMIENTOS DE EVALUACIN DE AUDITORIA EN INFORMTICA
55
1.11.1 PRIMERA FASE ESTUDIO PRELIMINAR
55
1.11.2 SEGUNDA FASE AMPLIACIN DEL ESTUDIO DEL CONTROL INTERNO.
55
1.11.3 TERCERA FASE - PRUEBAS A LOS CONTROLES PED
59
1.11.4 TERCERA FASE ALTERNA - PRUEBAS A LOS CONTROLES PED PARA

INCREMENTAR LA EFICIENCIA EN LOS RESULTADOS DE AUDITORIA
60
CAPITULO II
2.
METODOLOGIA DE LA INVESTIGACIN
61
2.1
OBJETIVOS DE LA INVESTIGACIN
61
2.1.1.
GENERAL.
61
2.1.2.
ESPECFICOS.
61
2.2.
DEFINICIN DEL TIPO DE ESTUDIO
62
2.2.1.
UNIDADES DE ANLISIS
62
2.3.
POBLACIN Y MUESTRA
62
2.3.1.
POBLACIN
62
2.3.2.
MUESTRA
63
2.4.
MTODOS E INSTRUMENTOS PARA RECOLECCIN DE DATOS.
64
2.4.1.
INVESTIGACIN BIBLIOGRFICA
64
2.4.2.
INVESTIGACIN DE CAMPO
64
2.5.
TABULACION DE DATOS
65
2.5.1.
INTERPRETACIN DE LOS RESULTADOS
65
2.6.
RESULTADOS DE LA INVESTIGACION
65
2.6.1.
ANALISIS E INTERPRETACION DE LA INVESTIGACION DE CAMPO
65
2.7.
DIAGNSTICO
82
3.
GUA PRCTICA PARA LA EVALUACIN DEL CONTROL INTERNO EN LA
CAPITULO III
AUDITORA EN INFORMTICA.
85
3.1
TERMINOS DE CONTRATACIN
85
3.2
EVALUACIN DEL CONTROL INTERNO
88
3.3
FASES DE UNA AUDITORIA EN INFORMTICA
89
3.4
OBJETIVOS Y PROCEDIMIENTOS POR FASE DE AUDITARA
90
3.4.1
PROCEDIMIENTOS RECOMENDADOS
91
3.4.2
SEGUNDA FASE AMPLIACIN DEL ESTUDIO DEL CONTROL INTERNO
92
3.5
SECUENCIA DE LA AUDITORA EN INFORMTICA
98
3.5.1
PLANEACIN DE LA EVALUACIN DEL CONTROL INTERNO EN

INFORMTICA.
99
3.5.2
ENTREVISTA CON EL PERSONAL DE INFORMTICA
101
3.6
NARRATIVAS
101
3.6.1
REA DE SEGURIDAD FSICA
102
3.6.2
REA DE CONTROLES Y PROCEDIMIENTOS
103
3.6.3
REA DE SISTEMA DE COMPUTO
105
3.6.4
REA RESGUARDO Y RECUPERACIN
106
3.7
CUESTIONARIOS DE CONTROL INTERNO
107
3.7.1
CUESTIONARIOS DE EVALUACIN DE LA PLANIFICACIN
107
3.7.2
CUESTIONARIOS DE EVALUACIN DE LA ORGANIZACIN

Y ADMINISTRACIN
3.7.3
111
CUESTIONARIOS DE EVALUACIN DEL ENTORNO OPERATIVO

DE HARDWARE
116
3.7.4
CUESTIONARIOS DE EVALUACIN DE LA CONSTRUCCIN DE SISTEMAS
120
3.5.6
CUESTIONARIOS DE EVALUACIN DEL ENTORNO OPERATIVO

DE SOFTWARE
123
3.5.7
EVALUACIN DEL RIESGO
126
3.6
EVALUACIN DE LOS PUNTOS DE CONTROL DE INFORMTICA
127
3.7
USO DE FLUJOGRAMAS
131
3.7.1
EVALUACIN DEL RIESGO DE LOS PUNTOS DE CONTROL

DE INFORMTICA.
139
3.8
INFORME DE CONTROL INTERNO
140
4.
CONCLUSIONES Y RECOMENDACIONES
144
4.1.
CONCLUSIONES
145
CAPITULO IV
RESUMEN
El incremento permanente de las expectativas y necesidades relacionada con la

informtica, al igual que la actualizacin continua de los elementos que componen la
tecnologa de este campo, obliga a las entidades que la aplican a contar con controles,
polticas y procedimientos que aseguren a la alta direccin que los recursos humanos,
materiales y financieros involucrados, son protegidos adecuadamente y que se orienten a
la rentabilidad y competitividad del negocio.
La tecnologa de informtica, traducida en hardware, software, sistemas de informacin,

investigacin tecnolgica, redes locales, bases de datos, ingeniera de software,
telecomunicaciones, servicios y organizacin de informtica es una herramienta
estratgica que brinda rentabilidad y ventaja competitiva a los negocios frente a sus
similares en el mercado; pero puede originar costos y desventajas competitivas si no es
bien administrada y dirigida por el personal encargado.
El desarrollo acelerado de la tecnologa de computacin y la significativa expansin del

uso de computadoras para realizar tareas contables, han aumentado considerablemente la
necesidad que tenemos de conocer con detalle los diversos sistemas de computacin
comnmente en uso y los correspondientes procedimientos de control.
Lo que resulta innegable es que la informtica se convierte cada da en una herramienta

permanente de los procesos principales de los negocios, en una fuerza estratgica, un
aliado confiable y oportuno. Todo lo anterior es posible tenerlo en la empresa si se
implantan controles y esquemas de seguridad requeridos para su aprovechamiento
ptimo.
ii
Los contadores pblicos en nuestro medio carecen de una gua practica para la
evaluacin del control interno en informtica que conlleve al desarrollo de la auditoria
en forma eficiente, oportuna y profesional.
La respuesta siempre ha existido: mediante evaluaciones oportunas y completas de dicha

funcin por personal calificado (o sea, consultores externos, auditores en informtica), o
evaluaciones peridicas por el mismo personal de informtica entre otras estrategias.
El objetivo principal de la gua prctica para la evaluacin del control interno en la

auditora en informtica es el de brindar al auditor una idea de los aspectos de control
que podr encontrar en los diversos sistemas electrnicos de procesamiento de datos
actualmente en uso.
El trabajo esta orientado a proporcionar una metodologa especfica para que sirva de
gua al profesional de la contadura pblica en el desarrollo y diseo de la evaluacin
del control interno para auditora de informtica, as como para la captacin de
informacin en forma lgica, ordenada y comprensible para facilitar su uso posterior al
Recomendar polticas y procedimientos que aseguren la calidad y eficiencia en cada una
de las funciones de informtica, as como los productos y servicios de esta rea.
iii
INTRODUCCION
Habiendo efectuado una investigacin previa con los contadores pblicos y despachos de
auditora que prestan servicios de Auditoria en Informtica, se detect la inexistencia de
una gua para realizar la evaluacin del control interno de la Auditara en Informtica,
adems, deficiencias en los mtodos de evaluacin por el personal tcnico del despacho
o el contador pblico, por lo anterior surge la necesidad de crear un documento el cual
conste de lineamientos para la evaluacin del control interno en forma sistemtica y
tcnica que cumpla con los requisitos normativos.
El presenta trabajo est orientado a desarrollar una gua para la evaluacin del control
interno para auditora en informtica, la cual ser una herramienta para el contador
pblico. Este profesionista se orienta a que se un punto de control y confianza para la
alta direccin, adems de que busque ser un facilitador de soluciones.
Se considera un trabajo novedoso por ser un rea poco tratada en el mbito nacional
hasta la fecha: La evaluacin del control interno en la auditora en informtica, es tan
importante como determinar los puntos dbiles en el sistema y, por tanto, se ha de tener
en cuenta en el alcance y extensin de los procedimientos que se van a aplicar en la
auditora.
Debido a que la alta direccin debe contar siempre con la certidumbre respecto de la
integridad y disponibilidad de la informacin y los recursos de informtica, es necesario
formalizar un proceso de auditora en informtica en la organizacin. La orientacin de
dicha funcin es clara: eliminar o al menos minimizar en lo posible los riesgos y
circunstancias dainos a los elementos mencionados:
Evaluacin de la Seguridad Fsica: conocer si la empresa cuenta con la seguridad
fsica necesaria para el resguardo del equipo de cmputo y su entorno; conocer
los controles existentes sobre la seguridad fsica del hardware, transmisin de
datos, accesos fsicos y seguridad en casos de emergencia.
iv
Evaluacin de Controles y Procedimientos: conocer la efectividad y eficacia de

los controles y procedimientos aplicados para el resguardo del software y
hardware; Conocer los controles establecidos sobre el uso de programas y
software, copia de respaldo, adquisicin de paquetes y base de datos.
Evaluacin de respaldo y recuperacin: conocer si los tipos de respaldo de la
informacin aplicados por la empresa son efectivos, permitiendo en un momento
determinado la recuperacin de la informacin.
Evaluacin del sistema de cmputo: conocer si el sistema contable cuenta con las
caractersticas necesarias requeridas por la empresa en el procesamiento de datos
Evaluacin de Recursos Humanos: conocer la capacidad y eficiencia del personal
del rea, as como saber las necesidades existentes.
En el desarrollo del trabajo se describe como realizar una evaluacin del control interno
al departamento de informtica utilizando los cuestionarios de control interno como
mtodo de evaluacin; logrando la finalidad de obtener una base para formular
sugerencias constructivas a las empresas con respecto al mejoramiento de su sistema de
control interno.
Captulo I El marco terico contiene generalidades sobre la Auditora en Informtica que
constituyen la base terica del trabajo de investigacin desarrollado y los conceptos
concernientes al tema en estudio, los cuales sern aplicados en la ejecucin y forman
parte en el trabajo final; contiene la parte terica referente a las bases para la Evaluacin
del Control Interno y su alcance; adems, contiene la Evaluacin del riesgo de auditora
en sus diferentes presentaciones y el uso de cuestionarios de evaluacin de control
interno y sus funciones; consecuentemente se incluyen conceptos que proporcionan las
herramientas y lineamientos tcnicos bsicos para desarrollar la evaluacin del control
interno en informtica; con la diversidad de conceptos incluidos en este captulo el
contador publico estar capacitado para abordar la parte operativa de informtica, as
como la administracin de la misma sin importar su complejidad y la diversificacin de

servicios que presta a la empresa.
Capitulo II Presenta un panorama detallado de la metodologa utilizada durante la
investigacin. Se determinan los objetivos en donde se define el rea de estudio y los
resultados que se espera obtener, as como la puntualizacin de propsitos especficos
considerados ejes problemticos que en el desarrollo del trabajo tendrn la solucin
pertinente. La metodologa de la investigacin define las tcnicas, mtodos e
instrumentos que se han de utilizar en la recoleccin de informacin necesaria para
sustentar el trabajo.
En el captulo III se presenta el desarrollo de un caso prctico que detalla los
lineamientos tcnicos bsicos para desarrollar la Evaluacin del Control Interno en
Informtica y la evaluacin del riesgo de auditora, incluyendo el uso de formatos
especficos para este fin. Al terminar el trabajo se obtendr la evaluacin del control
interno, desarrollada en todas sus fases, su Planeacin y administracin. En el plan
estratgico se plasmar la informacin que se considere necesaria para el desarrollo de
todas las fases de la Evaluacin del control con enfoque de auditora en informtica y
contable, lo que conlleva a la seleccin adecuada del personal que ejecutar la auditora,
los procedimientos y tcnicas para la elaboracin de los cuestionarios de control interno,
as como el informe sobre control interno.
Captulo IV se plantea las principales conclusiones y recomendaciones que, segn
criterio del grupo de trabajo, merecen destacarse y que su puesta en prctica posibilitara
a los contadores pblicos y despachos de auditora, superar en alguna medida las
deficiencias y limitantes detectadas en la etapa de investigacin.
CAPITULO I
1.
MARCO TEORICO CONCEPTUAL O DE REFERENCIA
1.1.
RESEA HISTRICA
En los aos cuarenta empezaron a darse resultados relevantes en el campo de la

computacin, con sistemas de apoyo para estrategias militares; posteriormente se
increment el uso de las computadoras y sus aplicaciones y se diversific el apoyo a
otros sectores de la sociedad: educacin, salud, industria, poltica, banca, aeronutica,
comercio, etc.
En aquellos aos la seguridad y control de ese medio se limitaba a dar custodia fsica a
los equipos y a permitir el uso de los mismos a personal altamente calificado (no haba
gran nmero de usuarios, ya fueran tcnicos o administrativos).
En el presente la informtica se ha extendido a todas las ramas de la sociedad; es decir,
resulta factible controlar un vuelo espacial por medio de una computadora as como
seleccionar las compras del hogar en una micro computadora.
Esta rapidez en el crecimiento de la informtica permite deducir que los beneficios se
han incrementado con la misma velocidad, algunos con mediciones tangibles como
reduccin de costos e incremento porcentual de ventas y otros con aspectos intangibles
como mejora en la imagen o satisfaccin del cliente, pero ambos con la misma
importancia para seguir impulsando la investigacin y actualizacin constante de la
tecnologa.
Con el paso de los aos la informtica y todos los elementos tecnolgicos que la rodean
han ido creando necesidades en cada sector social y se han vuelto un requerimiento
permanente para el logro de soluciones.
A continuacin se mencionan algunas consideraciones que corresponden a una
necesidad real y no a una tendencia:
Todas las actividades de la sociedad buscan apoyarse de alguna forma en la

tecnologa de informtica.
Tanto los equipos de cmputo de diferentes marcas y capacidades como las bases
de datos y los sistemas de informacin deben ser una solucin integrada.
La capacitacin tiene que ser permanente en el uso de la tecnologa de

informtica debido a su constante crecimiento y actualizacin.
Hardware, software, telecomunicaciones y otros medios electrnicos han de estar

interrelacionados para explotar al mximo sus capacidades y dar soluciones a
todos los sectores de la sociedad.
Integrar a la comunidad de manera permanente al campo de la informtica.

La gran penetracin de la informtica en todos los niveles del sector educativo,
as como en los sectores social y cultural.
El control y seguridad sobre todos los recursos de informtica es una necesidad.
Se debe evaluar de manera formal y peridica la funcin de informtica.
El proceso de planeacin de los negocios ha de integrar de manera permanente la

funcin de informtica.
1.2
Otros
AUDITORIA.
Definicin de auditora
"El examen de las operaciones financieras, administrativas y de otro tipo de una entidad
pblica o de una empresa por especialistas ajenos a ella y con el objeto de evaluar la
situacin de las mismas."
"Un proceso sistemtico para obtener y evaluar evidencia de una manera objetiva
respecto de las afirmaciones concernientes a actos econmicos y eventos para
determinar el grado de correspondencia entre estas afirmaciones y criterios establecidos
y comunicar los resultados a los usuarios interesados"1
1
KELL ZIEGLER, Auditoria Moderna, CECSA
1.2.1
NATURALEZA Y PROPSITOS DE LA AUDITORA.
La Auditora en su ms amplio sentido, puede concebirse como una investigacin crtica

para llegar a conclusiones ciertas sobre la contabilidad de los aspectos financieros y de
operaciones de una organizacin econmica.
a. Una investigacin crtica implica una acumulacin ordenada de evidencias.
b. Las conclusiones ciertas implican la interpretacin de la evidencia acumulada por
un auditor competente.
c. Las conclusiones de auditora debern ser presentadas, para mejor uso, en un
informe escrito.
1.2.2
INFORMTICA
El concepto de informtica es ms amplio que el simple uso de equipos de computo o

bien de procesos electrnicos.
No existe una sola concepcin acerca de que es informtica; etimolgicamente, la
palabra informtica, deriva del francs INFORMATIQUE. Este neologismo proviene de
la conjuncin de information (informacin), y automatique (automtica). Su creacin fue
estimulada por la intencin de dar una alternativa menos tecnocrtica y menos
mecanicista al concepto de PROCESOS DE DATOS.
En 1966, la Academia Francesa reconoci este nuevo concepto y lo defini del modo
siguiente:
Ciencia del tratamiento sistemtico y eficaz, realizado especialmente mediante
mquinas automticas, de la informacin contemplada como vehculo del saber humano
y de la comunicacin en los mbitos tcnico, econmico y social.
1.2.3
LA AUDITORIA DEL SISTEMA INFORMTICO
La informtica influye o condiciona el trabajo de los auditores de dos formas o en dos

niveles diferentes. En primer lugar, la informtica es una poderosa tecnologa para el
tratamiento de la informacin y que afecta, por lo tanto, de forma sustancial al quehacer

de los auditores. Los auditores externos, o incluso la propia auditora interna de la
empresa, en los casos en que esta exista, no puede conformarse con auditar los inputs
o los datos de entrada y los outputs o datos de salida del sistema. Necesitan verificar
tambin, con el grado de profundidad que en cada caso se juzgue conveniente, los
programas y procesos intermedios, as como el grado de seguridad o fiabilidad del
sistema en su conjunto y de cada una de sus partes o elementos.
Cada da los auditores tienen mayores conocimientos en informtica, y lo ms deseable
es que sean ellos mismos quienes efecten las pruebas necesarias para evaluar el grado
de seguridad o fiabilidad del sistema informtico. En otro caso, y como ese trabajo suele
ser previo a cualquier otra tarea de los auditores, stos necesitan contar con la
colaboracin de expertos en informtica, que por razones obvias no pueden ser los
tcnicos de la propia empresa, para que hagan el trabajo que ellos necesitan.
En segundo lugar, porque la inversin en informtica en empresas de cierta importancia
suele constituir una de las partidas ms importantes del balance, teniendo tambin
importantes efectos en la cuenta de prdidas y ganancias. Como cualquier otro activo, la
inversin en informtica, y por ende, todo el sistema informtico, ha de ser sometido a
las pruebas y procedimientos de auditora y los niveles de control convenientes.
Concretamente, una auditora del sistema informtico ha de comprender la verificacin o
anlisis de los siguiente extremos:
a. Seguridad de los activos. Los activos de una instalacin informtica, bastante
costosos y de obsolescencia rpida generalmente, se hallan integrados por una
pluralidad de activos o elementos: Hardware, software, personal tcnico,
sistemas de documentos y suministros de diversa naturaleza. El hardware puede
ser daado maliciosamente; el software y los contenidos en los archivos pueden
ser robados o usados para usos no autorizados. La seguridad de los diferentes
activos del sistema informtico debe ser protegida por el sistema de control
interno de la empresa, en general, y del centro de proceso de datos, en particular.
b. Razonabilidad de los datos. La razonabilidad de los datos significa que stos son
fidedignos, completos y coherentes. Si la empresa no dispone de una informtica
adecuada, nunca podr disponer de una representacin del mercado y de s
misma veraz, principal objetivo de toda actividad auditora.
c. Eficacia del sistema. Un sistema informtico es eficaz cuando permite dar
respuesta a los objetivos perseguidos, esto es, cuando facilita informacin con el
tratamiento adecuado para que sus usuarios puedan tomar decisiones.
d. Eficiencia del sistema. Un sistema informtico es eficiente cuando permite dar
respuesta a las necesidades de informacin que se le requieren con un sacrificio
de recursos o coste mnimo.
1.3
CONTROL INTERNO
Las definiciones relativas al control interno establecidas por el Instituto Americano de

Contadores Pblicos (AICPA) son de especial inters debido al trabajo de los auditores
de estados financieros, que consiste en expresar una opinin sobre la razonabilidad de
los estados financieros de su cliente. En los estndares del AICPA relativos a la prctica
de Auditora (320.09) se encuentra la siguiente definicin, misma que es coincidente con
la sealada en el boletn E-02 de la Comisin de Normas y Procedimientos de Auditora
del Instituto Mexicano de Contadores Pblicos:
"El control interno comprende el plan de organizacin y todos los mtodos y
procedimientos que en forma coordinada se adoptan en un negocio para
salvaguardar sus activos, verificar la exactitud y confiabilidad de su
informacin financiera, promover eficiencia operacional y provocar adherencia
a las polticas prescritas por la administracin."
.28
El control contable comprende el plan de organizacin y los
procedimientos y registros relacionados con la salvaguarda de activos y la
confiabilidad de los registros financieros y, consecuentemente, el diseo de stos

para proveer una razonable seguridad de:
a. Que las transacciones son ejecutadas de acuerdo con autorizaciones generales o
especficas por parte de la administracin.
b. Que las transacciones son registradas atendiendo la necesidad de permitir la
preparacin de estados financieros de conformidad con principios de contabilidad
generalmente aceptados o cualquier otro criterio aplicable a tales estados y
mantener la Contabilizacin de activos.
c. Que el acceso a los activos slo sea permitido de acuerdo con autorizacin
general o especfica de la administracin.
d. Que los registros contables de los activos sean comparados, por perodos
razonables con los activos existentes y que se tomen acciones apropiadas con
respecto a cualquier diferencia.
OBJETIVOS GENERALES
a. Asegurar el cumplimiento de las normas legales y reglamentarias, de las

disposiciones administrativas y otras regulaciones aplicables a sus operaciones;
b. Proteger los recursos de las organizaciones contra irregularidades, prdida, daos,
abuso, desperdicio, fraude y errores;
c. Obtener informacin operativa y financiera til, confiable y oportuna;
d. Promover la transparencia de las operaciones y lograr la obtencin de las metas y
objetivos, mediante el cumplimiento de sus planes, programas y presupuestos.
PRINCIPIOS
Los Principios de Control Interno son:

a. Responsabilidades delimitadas.
b. Separacin de funciones de carcter incompatible.
c. Divisin en el procesamiento de cada transaccin.

d. Seleccin de servidores hbiles y capaces.
e. Aplicacin de pruebas continuas de exactitud.
f. Rotacin de deberes.
g. Otorgamiento de fianzas.
h. Instrucciones por escrito.
i. Utilizacin de cuentas de control
j. Uso de equipos con dispositivos de prueba automtica.
k. Depsito inmediato e intacto de los recursos financieros.
BENEFICIOS DEL CONTROL INTERNO.
Los beneficios del control interno en forma generalizada son los siguientes:
Salvaguarda de sus activos.
Seguridad laboral al trabajador.
Incremento en el volumen de operaciones.
Presentacin de cifras financieras razonables, para la toma de decisiones por parte

de la gerencia.
Especializacin en la calidad del recurso humano.
Obtencin de mejores resultados Financieros.
CARACTERSTICAS DE UN BUEN CONTROL
El control es un factor extremadamente crtico en el logro de los objetivos generales,

dependiendo su efectividad, en ese sentido, de la informacin recibida. Los sistemas de
control, para lograr un uso ptimo, deben poseer ciertas caractersticas, que son las
siguientes:
a. Deben ser oportunos.
b. Seguir Una Estructura Orgnica.
c. Ubicacin Estratgica.
d. Un Control Debe de Ser Econmico.

e. Revelar Tendencias y Situaciones.
f. Resaltar la Excepcin.
1.3.1. CONTROL INTERNO ADMINISTRATIVO
Est constituido por el plan de organizacin, los procedimientos y registros que

conciernen a los procesos de decisin que conducen a la autorizacin de las
transacciones por parte de los niveles jerrquicos superiores, de tal manera que fomenten
la eficiencia en las operaciones, la observancia de las polticas y normas prescritas y el
logro de las metas y objetivos programados.
La obtencin de los resultados con eficiencia, efectividad y economa, la proteccin de
los recursos y la revelacin de errores o desviaciones son responsabilidad primordial e
indelegable de los niveles jerrquicos superiores; por lo mismo es indispensable para
ello mantener un slido control interno administrativo.
1.3.2
CONTROL INTERNO FINANCIERO
Comprende el plan de organizacin, los procedimientos y registros concerniente a la

custodia de los recursos financieros y materiales, y a la verificacin de la exactitud,
confiabilidad y oportunidad de los registros e informes financieros.
Es responsabilidad de cada entidad pblica, principalmente de su titular o mxima
autoridad, incluir dentro del trmite normal de las transacciones financieras los
procedimientos que permitan lograr un eficiente control financiero, especialmente por
medio de los procedimientos de control previo al compromiso y al desembolso.
1.3.3
CONTROL INTERNO EN AMBIENTE COMPUTARIZADO
CONCEPTO:
Plan de organizacin, mtodos y procedimientos que se coordinan y adaptan en una

entidad para salvaguardar sus activos, prevenir sabotajes, errores e irregularidades,
verificar la razonabilidad y confiabilidad de su informacin financiera, produciendo el

cumplimiento de sus polticas.
OBJETIVOS DEL CONTROL INTERNO:
a. Proteccin de los activos de la empresa.

b. La obtencin de informacin financiera veraz y oportuna.
c. La promocin de eficiencia en la operacin del negocio.
d. Lograr que en la ejecucin de las operaciones, se cumplan las polticas
establecidas por los administradores de la empresa.
e. Prevenir el robo, fraude o sabotaje que provoquen la prdida total o parcial de la
informacin y daos en los equipos.
EVALUACIN DEL CONTROL INTERNO EN SISTEMAS COMPUTARIZADOS
Como cualquier departamento de la empresa, el auditor tiene que evaluar el

funcionamiento del Procesamiento Electrnico de Datos (PED). Debe evaluar el
ambiente de control, para conocer la existencia de medidas de control interno y la
habilidad de la gerencia para establecer mecanismos de autoevaluacin y vigilancia,
incluyendo es establecimiento de manuales y estndares, separacin de funciones,
supervisin y auditora interna, y capacitacin, apoyo a la investigacin y adelantos
tcnicos.
OBJETIVOS DE LA EVALUACIN DEL CONTROL INTERNO
a. Establecer la base para confiar en el sistema de control interno con el fin de

determinar la naturaleza, extensin y oportunidad de las pruebas de auditora que
se deben aplicar en el examen.
b. Obtener una base para formular sugerencias constructivas a las empresas con
respecto al mejoramiento de su sistema de control interno.
10
1.3.4
LOS TRES ELEMENTOS DE LA ESTRUCTURA DE CONTROL
CONTROL DEL AMBIENTE
Los factores ambientales son influenciados por:

a. La filosofa y estilo operacional gerencial
b. La estructura organizacional de la entidad
c. El funcionamiento de la Junta de Directores y Comits, especialmente el Comit de
Auditora
d. Los mtodos de asignar autoridad y responsabilidad
e. Los mtodos de control gerencial para supervisar y mantener el seguimiento sobre la
ejecucin, incluyendo la Auditora Interna.
SISTEMA DE CONTABILIDAD
Un efectivo Sistema de Contabilidad establece mtodos y formularios que:

a. Identifiquen y registren todas las transacciones vlidas.
b. Describan oportunamente las transacciones, con un detalle suficiente para permitir
una clasificacin apropiada de las transacciones para Informes Financieros.
c. Midan el valor de las transacciones para permitir contabilizar un valor monetario
apropiado de los Estados Financieros.
d. Determinen el perodo de tiempo en que la transacciones ocurren, para permitir
contabilizar las transacciones en el perodo contable apropiado.
e. Presenten apropiadamente las transacciones y revelaciones expuestas en los Estados
Financieros.
LOS PROCEDIMIENTOS DE CONTROL
Estos procedimientos pueden categorizarse como pertenecientes a la:
Autorizacin apropiada de transacciones y actividades.
Segregacin de deberes que reducen las oportunidades que permiten que

cualquier persona, en una posicin ejecute y oculte errores o irregularidades en el
11
curso normal de sus funciones; asignando a diferentes personas la

responsabilidad de:
Autorizar las transacciones,
Registrar las transacciones, y
Custodiar los activos.
Utilizacin y diseo de documentos y libros adecuados que ayuden a asegurar la

anotacin apropiada de transacciones y hechos, tales como el seguimiento del
uso correlativo de documentos de embarque prenumerados.
Custodia adecuada sobre el acceso al, y uso de, activos y de registros, tales como
la seguridad de las instalaciones y la autorizacin para el acceso a los programas
de computacin y a los archivos de informacin.
-
Revisin independiente sobre la ejecutoria y la valuacin apropiada de las

cantidades anotadas, tales como:
Arqueos de activos tangibles,
Conciliaciones,
Comparacin de activos con los libros contables.
Controles de los programas de computacin,
Revisin gerencial de los Informes que resumen el detalle de las cuentas del
balance (Ejemplo: Un estado de clientes por antigedad de saldos).
Revisin por el usuario de los Informes generados por PED.
EL COSTO/BENEFICIO DE LA ESTRUCTURA DE CONTROL INTERNO
Es establecimiento y mantenimiento de una Estructura de Control Interno es

responsabilidad gerencial.
Para asegurarse de que se logran sus objetivos, la Estructura de Control Interno debe
MANTENERSE BAJO UNA CONTINUA SUPERVISION GERENCIAL para determinar que:
12
a. Est operando como se efectivamente, y

b. Se modifica acorde con los cambios en las condiciones que las operaciones exigen.
El concepto de seguridad razonable reconoce que EL COSTO DE la estructura de
CONTROL INTERNO de una entidad NO DEBE EXCEDER LOS BENEFICIOS que se esperan
de la misma. AUNQUE la relacin de Costo/Beneficio es un criterio bsico a considerar al

disear la Estructura de Control Interno, SU MEDICION PRECISA usualmente NO ES
POSIBLE.
Consecuentemente, la gerencia optar POR ESTIMADOS y CRITERIOS CUANTITATIVOS Y

CUALITATIVOS para evaluar su Costo/Beneficio.
1.3.5
CARACTERSTICAS
COMPUTARIZADOS2
ESPECFICAS
DE
LOS
SISTEMAS
a. Procesamiento Uniforme de las Transacciones. El procesamiento computarizado

somete uniformemente todas las transacciones similares a las mismas instrucciones
de procesamiento, la posibilidad de errores al azar, un problema de control que se
presenta en ambientes manuales, queda sustancialmente reducida. No obstante, aun
cabe la posibilidad de que de que nos datos ingresados al computadora para su
procesamiento puedan incluir errores o ser incompletos.
b. Posibilidad de Errores e Irregularidades no Detectadas. La posibilidad de que
ciertos individuos, incluyendo a aquellos que realizan procedimientos de control,
accedan a los datos sin autorizacin, o los alteren sin dejar evidencias visibles,
puede ser mayor en los sistemas computarizados que en los sistemas manuales. Ello
se debe a que la informacin es almacenada en forma electrnica, con una menor
participacin del hombre en el procesamiento, reducindose, por consiguiente, la
oportunidad de detectar manualmente los accesos no autorizados. Por los general, los
recursos de informacin tienden a estar concentrados en los ambientes CIS (Sistemas
de Informacin Computarizados).
13
c. Potencial para Una Mayor Supervisin Gerencial. Los sistemas computarizados

ofrecen a la gerencia una amplia variedad de herramientas analticas que pueden ser
utilizadas para revisar y supervisar las operaciones de la organizacin.
d. Rastro de las Transacciones. El diseo CIS da como resultado que el rastro de las
transacciones, que puede ser utilizado para propsitos de auditora, slo es
conservado por poco tiempo o en forma electrnica.
e. Segregacin de Funciones Incompatibles.
Ciertos controles, ejecutados por
diferentes individuos en los sistemas manuales, pueden ser concentrados en los

sistemas en los que se utiliza procesamiento computarizado. Esto puede resultar en
una menor segregacin de funciones incompatibles. Sin embargo, los sistemas
computarizados pueden permitir que se implante una segregacin de funciones ms
rigurosa ya que pueden existir controles basados en el software (tales como
identificaciones del usuario y contraseas).
f. Iniciacin Automtica o Ejecucin Posterior de Transacciones Mediante el
Computador. La iniciacin de ciertas transacciones, o ciertas funciones de
procesamiento pueden ser efectuadas automticamente por el computador. Pueden
existir evidencias visibles de estos pasos de procesamiento.
g. Los Controles Manuales Dependen De La Contabilidad Del Procesamiento
Computarizado. El procesamiento computarizado puede producir informacin
utilizable para realizar controles manuales. La efectividad de estos procedimientos de
control manual puede depender de la efectividad de los controles sobre la integridad
y exactitud del procesamiento computarizado.
Evaluacin y Prueba de Controles de PED, Serie de Guas de Auditoria, PRICE

WATERHOUSE
14
1.3.6
CONTROL INTERNO E INFORMTICA
La informtica o tratamiento electrnico de la informacin est condicionado o

influenciado en la organizacin de las empresas, en sus formas de gestin y, en
consecuencia, en la estructura de sus sistemas de control interno. 3
SEPARACIN O SEGREGACIN DE FUNCIONES
Cuando en el departamento de informtica se combinan funciones cuya agregacin a

efectos de su realizacin pudiera resultar poco convincente, hay que crear dentro del
propio departamento controles de compensacin que eviten posibles comportamientos
fraudulentos de los tcnicos o empleados que trabajan en el mismo.
Uno de esos controles es la propia segregacin o separacin de funciones dentro del
departamento de informtica; esto es, al frente del departamento de informtica debe
existir siempre un director o gerente, a quien corresponde dirigir y supervisar todo lo que
all se hace. El director del departamento de informtica o centro de proceso de datos
debe depender de algn vicepresidente de la compaa o del contralor.
A su vez, dependiendo del director o gerente y ya dentro del propio departamento de
informtica, deben estar separadas la funciones de anlisis de sistemas, programacin,
operaciones de computadora, biblioteca de programas y, archivo y control.
Los analistas de sistemas son responsables del diseo del sistema de procesamiento de
datos, guiados por las instrucciones que les proporcionan los analistas de sistemas; los
programadores disean los flujogramas de la computadora requeridos por el sistema,
traducen los programas al lenguaje de la computadora, los prueban y hacen las
depuraciones necesarias.
Los operadores manejan la computadora de acuerdo con las instrucciones de los
programadores; las entradas en la computadora deben registrarse a travs de otro medio
antes de realizarlas, a fin de que quede constancia escrita e impresa de dichas entradas.
3
Guas de Auditoria, Sistemas de Informacin Computarizados, PRICEWATERHOUSE
15
Para evitar que se pierdan o se estropeen, los programas, el detalle de las transacciones,
las cintas y dems documentos o elementos de software, que no estn siendo usados,
deben guardase en la biblioteca de programas o en el archivo.
Con independencia de la supervisin general del director o gerente, dentro del propio
departamento de informtica suele existir una divisin de control que revisa los trabajos
de las divisiones encargadas de realizar las funciones a que se ha hecho referencia.
ORGANIGRAMA BSICO DE LA UNIDAD PED
Director del departamento
de informtica
Anlisis de
Sistemas
Programacin
Operacin y
manejo
Biblioteca de
programas
Revisin y
control
Para evitar fraudes es muy importante la separacin de funciones a que antes se hizo
referencia. Las funciones de control de los inputs o datos de entrada a la computadora,
programacin y manejo de la computadora deben estar separadas y se realizadas por tres
tcnicos o grupos de tcnicos en informtica diferentes. Todo cambio en el programa de
una computadora debe estar autorizado por la persona que corresponda.
Se denominan cuadros de flujo del sistema o flujogramas a las grficas que describen de
una manera lgica los diferentes pasos o fases del tratamiento de los diferentes datos,
por ejemplo la recepcin de un pedido de clientes o el aviso de reposicin de stocks a
proveedores, desde el momento mismo en el dato entra en el sistema; los auditores
deben recoger estos flujogramas en sus papeles de trabajo, porque de su anlisis se
pueden deducir una serie de conclusiones sobre la bondad de los sistemas de control
interno. Adems de los cuadros de flujo del sistema, la documentacin de in sistema
16
informtico incluye tambin los cuadros de flujo de los programas, que muestra la
lgica detallada de los diferentes programas de la computadora.
DOCUMENTOS Y REGISTROS ADECUADOS
En un sistema contable informatizado, la iniciacin y registro de una transaccin no

siempre necesitan contar con soporte documental. Por ejemplo, una orden de pedido de
un cliente formulada por telfono puede entrar directamente en el sistema; una
reposicin del inventario de determinado producto puede formularse de un modo
automtico cuando dicho inventario alcanza un determinado nivel etc. Ello no obstante,
en un sistema informtico, cuando est bien diseado, se guarda constancia de todo ello
de forma ms extensa incluso que en el sistema manual.
Es cierto que las computadoras son capaces de crear, modificar y borrar de sus registros
con gran facilidad, de ah que en los primeros tiempos del desarrollo de la informtica
existiera una cierta preocupacin entre los auditores, en el sentido que el tratamiento
electrnico de la informacin oscureciera o eliminaba las pruebas necesarias para el
trabajo de los auditores.
Hoy da, todo sistema PED bien diseado tiene que dejar pruebas, pistas o rastro
suficiente para permitirle a la gerencia reconstruir el archivo en caso de errores en el
tratamiento de la informacin o de fallos en la computadora, y satisfacer los
requerimientos de los auditores y del sector tributario.
PERSONAL COMPETENTE Y DE CONFIANZA
Las tecnologas para el tratamiento electrnico de la informacin han venido siendo

cada vez ms complejas. Para manejar esas tecnologas se necesitan personas
competentes y capacitadas para ello. Pero tan importante como la competencia y la
capacitacin es la confianza. Pues de poco valdra un sistema informtico con un diseo
tcnico perfecto si las personas que lo manejan carecen de una apropiada deontologa
profesional.
17
SISTEMA DE AUTORIZACIONES
En una organizacin suele haber dos tipos de autorizaciones. Unas autorizaciones son de
carcter general, por ejemplo: las contenidas en la lista de precios de los productos a
vender que se le entregan al personal del departamento de ventas. Otras autorizaciones,
en cambio, son especficas, por ejemplo los pagos o la autorizacin de gastos que
superen unos lmites previamente especificados, que en esos casos han de contar con la
aprobacin de algn superior jerrquico o miembro del consejo directivo.
En un sistema contable manual, los auditores pueden analizar la bondad del sistema de
autorizaciones examinando el trabajo de los empleados de la empresa. En un sistema
contable informatizado muchas de esas autorizaciones son parte del contenido del
programa utilizado en el propio proceso de datos. Para evaluar el grado de idoneidad del
sistema de autorizaciones, a los auditores no les basta con examinar el trabajo de los
empleados. Tienen que verificar, adems, el contenido o conjunto de instrucciones del
programa.
CONTROL DE ACCESO A LOS REGISTROS
El control de acceso a los registros es fundamental, tanto en un sistema manual como en

uno informatizado. Con este segundo sistema el problema es mucho mayor, por los datos
y registros se hallan generalmente concentrados en un mismo lugar, dentro de las
memorias y soportes magnticos de la propia computadora, y no dispersos en lugares
diferentes bajo la custodia de personas distintas, como ocurre generalmente con un
sistema manual, en el que la comisin de un fraude presenta por ello mayores
dificultades.
DELEGACIN DE AUTORIDAD Y RESPONSABILIDAD
Una clara lnea de autoridad y responsabilidad es un control esencial en una

organizacin. Cuando una empresa tiene informatizado el tratamiento de la informacin,
esa demarcacin clara de autoridad y responsabilidad de cada uno de los empleados no
siempre resulta factible; por ejemplo, cuando el sistema informtico se halla diseado
18
par que pueda ser utilizado por mltiples usuarios no siempre resulta fcil determinar
por adelantado quien es responsable si los datos o programas son distorsionados y quin
tiene la obligacin de identificar esos errores.
ADECUADA SUPERVISIN DIRECTIVA
En un sistema contable manual, la supervisin de los diferentes empleados por parte de

sus jefes resulta generalmente fcil, por que todos ellos suelen trabajar en un mismo
lugar o en dependencias muy prximas. En un sistema contable informatizado, en
cambio las cosas son un poco diferentes. La informtica hace posible hoy en da que los
empleados puedan estar cerca de sus clientes y lejos de las oficinas centrales de la
empresa, lo cual hace que la supervisin por parte de los directivos se dificulte.
SEGURIDAD Y CUSTODIA
Las instalaciones que acogen al centro de proceso de datos o ncleo principal del
sistema informtico deben reunir unas adecuadas condiciones de seguridad, a fin de
prevenir un posible sabotaje, incendio o inundacin. Al centro de proceso de datos slo
debe tener acceso el personal autorizado. El local en el que se guarda la unidad central
de procesamiento no debe tener ventanas y pocas puertas, con cerraduras activables por
fichas magnticas, cuyas claves deben ser cambiadas con cierta frecuencia. El acceso a
este local debe estar siempre cuidadosamente vigilado.
1.4
EVALUACIN DEL SISTEMA DE CONTROL INTERNO
La segunda norma de auditora relacionada con la ejecucin del trabajo establece lo

siguiente: debe hacerse un apropiado estudio y evaluacin del control interno existente,
de manera que se pueda confiar en l como base para la determinacin de la naturaleza,
extensin y oportunidad de los procedimientos de auditora.
El estudio del Sistema de Control Interno utilizado por la organizacin o rea que se va a
auditar se incluye como un imperativo que se refleja en las normas de auditora y tiene
por objeto evaluar la eficiencia del control interno.
19
1.4.1
EVALUACIN PRELIMINAR DEL RIESGO
Estos momentos es la fase en que se identifican los sistemas vivos y no vivos ms

importantes que afectan las reas ms significativas del sistema PED. De estos sistemas,
solo se dispone de una breve comprensin, pues no se ha entrado a un estudio detallado
de su funcionamiento.
El siguiente paso es uno de los ms importantes que se toma y consiste en tomarla
decisin sobre estudiar detalladamente los sistemas identificados, una parte de ellos o
ninguno. Esta decisin es una de las ms importantes a tomar, pues de ella depender
directamente el alcance y momento de realizacin de las pruebas; el cuadro siguiente
muestra la relacin entre estos conceptos:
CONCEPTO
SISTEMA
ANALIZADO
SISTEMA NO
ANALIZADO
Pequeo
Medio alto
Controles no
investigados
Desconocido
Menor
Mayor
mayor
Calidad de controles Controles buenos

Riesgo de error
Alcance de las
pruebas de auditora
SISTEMA
ANALIZADO
Controles malos
SISTEMAS ANALIZADOS
Elegidos los sistemas que deseamos estudiar en profundidad, deberemos reunirnos con
los distintos responsables de la empresa; quienes nos contaran como funcionan estos
sistemas. Para plasmar en nuestros papeles de trabajo, podemos utilizar dos tcnicas:
Flujogramas: Tcnica que recoge la descripcin de un sistema mediante grfico,
apoyados por una breve explicacin narrativa.
Narrativas: Expresamos en un memorandum el funcionamiento del sistema
SISTEMAS NO ANALIZADOS
Otra posibilidad que tenemos, es decir, a priori, una vez identificado los sistemas
significativos que afectan a las cuentas ms importantes es la de no realizar estudio de
los sistemas, o de alguno de ellos.
20
La evaluacin del riesgo se puede decir que es la etapa en que el auditor efecta un
anlisis general del riesgo implcito en el trabajo que va a realizar, con el objeto de
considerarlo en el diseo de sus programas de trabajo de auditoria y para identificar
gradualmente las actividades y a caractersticas especficas de la entidad.
1.4.2
EVALUACIN DEL RIESGO Y CONTROL INTERNO EN LA AUDITORA DE

SISTEMAS COMPUTARIZADOS
Los riesgos inherentes y de control en un sistema de informacin por computadora

pueden tener tantos efectos generales, como especficos debido a la probabilidad de
presentaciones errneas importantes. Estos pueden dar como resultado deficiencias en el
desarrollo del sistema computarizado, en el desarrollo mantenimiento de programas,
soporte al software de sistemas, control sobre acceso programas de utilera, controles de
accesos al equipo, controles del fabricante entre otros.
Al realizar la auditora se debe evaluar como la empresa sigue sus controles para el
desarrollo de sus actividades y que tipo de riesgo se puede tener ya sea inherente, de
control o de deteccin, ejemplo:
ACTIVIDADES A
% DE RIESGO
TIPO DE RIESGO
NIVEL
Riesgo de deteccin
Riesgo de control
Riesgo inherente
Medio
Medio
Bajo
EVALUAR
Hardware
Software
Recurso humano
30%
50%
20%
ALCANCE DE LA AUDITORA
REA
Hardware
Software
Recurso Humano
ACTIVIDAD
Verificar que el equipo de computacin
este debidamente asegurado
Evaluar el funcionamiento de los
programas instalados en cualquier
operacin y verificar que tan confiable es
esa informacin
Verificar si estn cumpliendo con los
objetivos que la empresa pretende alcanzar
21
1.5
RIESGOS DE AUDITORA
Se dice que una decisin esta sujeta a riesgo cuando existe alguna incertidumbre en
cuanto a los resultados posibles a obtener; es el riesgo de que el auditor d una opinin
de auditoria inapropiada.
El riesgo de auditora presenta la posibilidad de que el auditor pueda dar opinin sin
salvedad, sobre los estados financieros que contengan errores y desviaciones de
principios de contabilidad, en exceso a la importancia relativa. El riesgo de auditora est
integrado por el efecto combinado de los tres diferentes riesgos que se explican a
continuacin:
a. Los riesgos inherentes y de control existen en forma independiente en la
auditora y su funcin. Ejemplo:
El riesgo de que una declaracin incorrecta importante que pudiera ocurrir en
una afirmacin no se evitar ni detectar oportunamente por medio de los
procedimientos o polticas de la estructura de control interno de una entidad.
b. En el caso del riesgo de control, el auditor debe aplicar las pruebas de
cumplimiento necesarios para probar los controles en que se basa su evaluacin.
Ejemplo:
El riesgo de que el auditor no detectar una declaracin incorrecta importante
que existe en una afirmacin.
c. El riesgo de deteccin lo establece el auditor al determinar la naturaleza, alcance
y oportunidad de sus pruebas sustantivas.
d. El riesgo de deteccin se debe establecer en la relacin inversa a los riesgos
inherentes y de control. A menor riesgo inherente, de control, mayor puede ser
el riesgo de deteccin.
22
1.5.1
RIESGOS INHERENTES
Representa el riesgo de que ocurran errores importantes en un rubro especfico, sin

considerar el efecto de los procedimientos de control interno que pueden existir.
Ejemplo:
Una medida de la evaluacin que hace el auditor de la probabilidad que existan
errores importantes en un segmento antes de considerar la eficacia de la estructura de
control interno.
1.5.2
RIESGO DE CONTROL
La evaluacin preliminar del riesgo de control es el proceso de evaluar la efectividad de

los sistemas de contabilidad de control interno de una entidad para prevenir, detectar y
corregir representaciones errneas de importancia relativa. Siempre habr algn riesgo
de control a causa de las limitaciones inherentes de cualquier sistema de contabilidad y
de control interno.
Representa el riesgo de que los errores importantes que pudieran existir en un rubro
especfico de los Estados Financieros, sin embargo, el control nunca desaparece
totalmente, aun cuando se alcancen todos los objetivos del sistema de control interno,
debido a las limitaciones inherentes a cualquier sistema de este tipo. Normalmente no se
examina la totalidad de las partidas que integran una cuenta o un rubro de los estados
financieros.
1.5.3
RIESGO DE DETECCIN
Representa el riesgo de que los procedimientos aplicados por el auditor no detecten los
posibles errores importantes que hayan escapado a los procedimientos de control
interno.
1.5.4
EVALUACIN DEL RIESGO INHERENTE Y DE CONTROL
La evaluacin del riesgo es una parte integrante del desarrollo de un plan de auditora.
Las caractersticas especificas de los sistemas computarizados crean riesgos que, por lo
23
general, son diferentes a los de un entorno de un proceso manual. Si bien los objetivos
de la gerencia con respecto a los sistemas de informacin, contables y de control no se
ven afectados por los medios utilizados para procesar datos y son aplicables tanto a
entornos manuales como computarizados, la forma e implantacin de los controles
diseados para reducir al mnimo los riesgos propios de los sistemas computarizados
pueden ser diferentes.
1.5.5
RIESGO.
El riesgo se relaciona con el grado en el cual una partida es vulnerable a error. La

cantidad de evidencia requerida en un caso determinado ser proporcional al grado de
riesgo asociado con la validez y correccin del saldo de una cuenta.
Para efectos de evaluar el riesgo, ser de gran utilidad reconocer que el saldo de una
cuenta podr resultar de:
a. Un proceso rutinario de transacciones tales como las ventas, compras y nminas.
b. Procesamiento no rutinario de transacciones, tales como las que se relacionan con
compaas afiliadas, funcionarios y empleados.
c. Criterios de los administradores, como en los casos relacionados con garantas de
productos, cuentas incobrables e inventarios obsoletos.
El grado de riesgo asociado con saldos que surgen de procedimiento de rutina est
inversamente relacionado con la eficiencia del sistema de control interno del cliente.
Mayor cantidad de evidencia necesitar el auditor cuando los controles son dbiles en
contraste a cuando los controles son buenos.
Los procedimientos de control interno podrn no extenderse hasta el procesamiento de
transacciones no rutinarias o respectos al criterio de los administradores. El riesgo
relacionado con transacciones no rutinarias depender de la existencia y eficacia de
controles especficos.
24
El grado de riesgo respecto a criterios de los administradores depender bsicamente en

la integridad de la administracin y en cualquier control incorporado en el proceso de
toma de decisiones del cliente.
1.6
CUESTIONARIOS
EVALUACIN
1.6.1
DEFINICIN
DE
CONTROL
INTERNO
COMO
MTODO
DE
Un cuestionario de control interno consiste en la serie de instrucciones que deben seguir

o responder al auditor. Cuando se finaliza una instruccin, deben escribirse las iniciales
en el espacio al lado de la misma. Si se trata de una pregunta, la pregunta ( que suele ser
normalmente "si" "no" "no aplica") se anota al lado de la pregunta.
El auditor recopila la informacin por varios canales. El cuestionario podra entregarse
en un principio al contralor o al jefe de contabilidad. Al finalizar la misma, el auditor
comprueba si los procedimientos utilizados son los indicados y rellenar el cuestionario
personalmente, comprobando si los procedimientos empleados en la realidad se adaptan
a las normas de control interno de la institucin objeto de la auditora.
El auditor es el responsable de obtener personalmente la informacin necesaria para
evaluar el control interno de acuerdo con las preguntas que se les formulen.
Para el uso de los cuestionarios se deben tener en cuenta los siguientes pasos:
Entrevistas de los auditores con los empleados responsables de la entidad o del rea
por auditar.
Diligenciamiento del formulario en presencia de quien est respondiendo las
preguntas.
Inclusin de preguntas adicionales, de ser necesario, durante el trabajo de campo.
Determinar durante el curso de las entrevistas si las preguntas son correctas; en caso
negativo, hacer correcciones de forma inmediata.
Determinar la incidencia del estado del control interno en el alcance del examen y su
relacin con el programa de auditora.
25
1.6.2
CUESTIONARIOS PARA AUDITORIA EN INFORMTICA
Los cuestionarios son una ayuda muy valiosa para el auditor en informtica, ya que son
materiales elaborado, revisado, adaptado y documentado de manera previa (incluso sirve
de base para auditar diferentes negocios o empresas sin perder validez).
1.6.3
VENTAJAS DE LOS CUESTIONARIOS
a. Objetivos y alcances predefinido

b. Fciles de aplicar, entender y contestar
c. Orientados a que las respuestas sean fciles de entender y analizar
d. Preguntas adecuadas al perfil del personal que contestar
e. Revisados y aprobados por el director de auditora
f. Apegados a polticas y procedimientos del negocio
g. Relacionados con estndares recomendados para cada rea
h. Existen preguntas adaptadas a las caractersticas de cada rea
i. Con objetivos predefinido y una secuencia lgica en su aplicacin
REAS A EVALUAR
a. Organizacin del rea de informtica

b. Polticas y objetivos del rea de informtica
c. Seguridad fsica
d. Metodologa del desarrollo y mantenimiento de sistemas
e. Proteccin y confidencialidad de datos
f.
1.7
Sistemas contables
AUDITORIA DE INFORMTICA Y SISTEMAS CON COMPUTADOR
Los procedimientos de control interno relacionados con sistemas computarizados se

pueden clasificar en controles generales y controles de aplicacin. Los controles
generales se aplican con amplitud en las aplicaciones del PED e incluyen elementos tales
como:
26
a. Organizacin del departamento PED

b. Procedimientos de documentacin dentro del departamento de PED
c. Control del acceso y otras medidas de seguridad
Los controles de aplicacin se relacionan con operaciones especficas de procesamiento
de datos realizadas por el sistema. Algunas veces se les conoce como controles de
informacin o controles de procedimientos, y comprenden los siguientes elementos:
a. Controles de informacin
b. Controles de procesamiento
c. Controles de salidas de informacin
Al evaluar el control interno sobre el sistema PED el auditor debe revisar en primer
lugar el sistema para llegar a entender el proceso y sus caractersticas de control. La
segunda fase de evaluacin debe consistir en pruebas de cumplimiento para asegurar el
auditor que las caractersticas de control existentes estn funcionando de manera
satisfactoria. Normalmente con la revisin del sistema se realiza utilizando un
cuestionario especial de control interno diseado para instalaciones PED.
Las siguientes secciones describen las caractersticas de los diversos elementos, tanto de
los controles generales como de aplicacin. Es necesario comprender estos elementos
para evaluar con propiedad los controles de un sistema PED.
1.7.1
ORGANIZACIN DEL DEPARTAMENTO PED.
El estudio de las consideraciones de organizacin relacionadas con las instalaciones de

computadoras puede comenzar con el examen de dnde debe estar ubicado el
departamento PED en la organizacin general. Al revisar la estructura orgnica de varias
compaas se puede encontrar que el director del departamento de PED depende
directamente del presidente, contralor, del vicepresidente de administracin o de algn
otro ejecutivo.
27
La ubicacin del departamento PED en la organizacin ser importante desde el punto

de vista del control interno. Esto se debe a que una ubicacin inadecuada puede interferir
con la necesaria separacin de funciones dentro del negocio. Las funciones bsicas que
deben quedar separadas incluyen: 1) iniciacin y autorizacin de las operaciones, 2)
registro de las mismas, y 3) custodia de los activos. Por ejemplo: en aquellos casos en
que el computador autoriza o inicia operaciones de acuerdos con criterios
predeterminados puede presentarse la violacin de la separacin necesaria de funciones.
No obstante, si se toman las precauciones adecuadas se obtendr un control satisfactorio
con un nmero de diferentes patrones de organizacin.
Una consideracin relacionada que debe reconocer el auditor es la centralizacin de
funciones provocadas por la instalacin del PED. Esto se refiere a la concentracin en
departamento PED de muchas funciones que, antes de implantarse es sistema de
computacin, se llevarn a cabo en varios departamentos diferentes.
Aunque ste es el resultado natural de desarrollar una funcin separada de PED, es una
situacin que puede conducir a debilidades en el control interno. Para que exista un
control interno adecuado deben separarse varias funciones dentro del departamento
PED. Entre estas funciones se incluye:
a. Anlisis de sistemas y programacin
b. Operaciones del computador
c. Funcin de la biblioteca de programas y archivos de transformacin
d. Unidad de control.
La separacin de la funcin de anlisis de sistemas y programacin de las operaciones
del computador es crtica desde el punto de vista del control interno. Esta divisin
cumple con el fin de separar a aquellos que poseen el conocimiento necesario para
introducir informacin no autorizada en el sistema (analistas y programadores) de
aquellos que tienen acceso al equipo necesario para llevar a cabo esta accin (operadores
de la mquina).
28
Se supone que los empleados que disean las aplicaciones de computacin y escriben los
programas tienen suficientes conocimientos de aplicacin para poder elaborar mtodos
de introduccin de cambios no autorizados en los programas o in formacin
no
autorizada en las operaciones del computador.

Por este motivo las operaciones rutinarias de computacin no deben ser realizadas por
empleados de la divisin de sistemas y programacin. Los operadores de la mquina no
deben estar familiarizados con los detalles de los programas de operacin si es que se
desea que esta divisin tenga algn significado.
La funcin de la biblioteca de archivos de programas e informacin debe quedar
separada de las dems divisiones del departamento a fin de que no haya libre acceso a
los archivos de programas e informacin. Si no se mantiene el control de estos
programas y registros se pueden introducir cambios fraudulentos con poca posibilidad de
que sean detectados. Los procedimientos adecuados en esta rea deben controlar el
acceso a los materiales segn se necesiten de acuerdo con el programa de operacin
diario o tal como quede autorizado.
La unidad de control en el departamento PED realiza la funcin de auditora dentro de la
instalacin. Slo este grupo debe tener acceso a la informacin de control asociada con
los controles de aplicacin para asegurar la exactitud de la informacin de salida. Y debe
ser independiente de las dems divisiones departamentales y no llevar a cabo funciones
rutinarias de operacin.
Se observa que resulta necesaria la divisin apropiada de tareas dentro de la
organizacin departamental de PED si se desea mantener un control interno adecuado.
En algunas instalaciones muy pequeas resulta difcil la divisin de las tareas debido a
las limitaciones del personal, pero la conciencia de la separacin funcional necesaria
con frecuencia ayuda a desarrollar rutinas de trabajo que mejoran el control, incluso en
el sistema ms pequeo.
29
1.7.2
PROCEDIMIENTOS DE DOCUMENTACIN DENTRO DEL DEPARTAMENTO DE

PED.
El control adecuado sobre el sistema de computacin exige que se establezcan

procedimientos apropiados de documentacin. Estos documentos deben asegurar la
creacin y el mantenimiento de registros que describan los sistemas, programas,
controles
otras
operaciones
del
departamento.
Estos
procedimientos
de
documentacin:
a. Dan a la administracin una clara comprensin del sistema de PED y aseguran
que se cumplan sus polticas.
b. Sirven de base para la revisin de los controles contables internos por los
auditores internos y externos.
c. Proporcionan una referencia conveniente para los analistas de sistemas y
programadores que tienen bajo su responsabilidad el mantenimiento y la revisin
de los sistemas y programas existentes.
1.7.3
DOCUMENTACIN DE SISTEMAS
La documentacin de cada sistema incluir materiales tales como:

a. Declaracin del problema que de una definicin adecuada del propsito de la
aplicacin y cmo complementa otros sistemas de operacin.
b. Diagramas de flujos de los sistemas.
c. Requisitos de informacin de entrada y de salida
d. Mtodos de procesamiento
e. Requisitos de equipo.
f. Copias de las autorizaciones para cambios en el sistema.
g. Controles necesarios.
1.74
DOCUMENTACIN DE PROGRAMAS
Cada archivo de documentacin del programa debe incluir:
30
a. Declaracin del problema que identifique la funcin de este programa en el

sistema general.
b. Diagrama de flujos del programa
c. Relacin de caractersticas de control.
d. Registro de esquemas que especifiquen las caractersticas de la informacin y los
campos en el archivo de la computadora.
e. Instrucciones de operacin.
f. Relacin del programa.
g. Detalles y aprobacin de cambios del programa.
h. Descripcin de los formatos de entradas y salidas.
1.75
CONTROLES DE ACCESO Y OTRAS MEDIDAS DE SEGURIDAD
Otro aspecto importante del control interno sobre los sistemas de computacin es la
consideracin que se da a la seguridad del hardware y del software. Muchas compaas
han llegado a comprender que la instalacin de la computacin representa en la prctica
el sistema nervioso del negocio. Debido a esto un sistema completo de control interno
debe incluir provisiones para la proteccin fsica del sistema PED y de la informacin
almacenada en el mismo.
La proteccin adecuada del software incluye procedimientos para reconstruccin de
archivos, almacenamiento de informacin en otro lugar fuera de las instalaciones y un
estricto control de la biblioteca.
El plan de reconstruccin de archivos debe incorporar procedimientos que permitan
mantener copias duplicadas de programas y de archivos de informacin, o que requieran
que se conserven los archivos de informacin anteriores de modo que se pueda
reconstruir toda la informacin actual si fuera necesario.
Para que los procedimientos de reconstruccin de archivos sean completamente
efectivos se deben guardar los duplicados de todos los archivos maestros y programas
importantes en un lugar a prueba de fuego o fuera de las instalaciones.
31
Los procedimientos de biblioteca deben limitar la entrega de materiales slo a

empleados autorizados sobre la base de segn los necesiten. Normalmente slo se
deben entregar los programas y los archivos de informacin a los operadores, de acuerdo
con el programa de operacin que se est realizando, y a los dems slo bajo
autorizacin especfica.
1.7.6
CONTROLES DE APLICACIN
Los controles de aplicacin especfica son medidas tomadas en el diseo del sistema o
en la fabricacin el equipo de computacin para dar seguridad de que la informacin se
procese, se registre y se presente de modo apropiado. La mejor manera de estudiar estos
controles es en el orden en que afectaran del procesamiento de datos a travs del
sistema, es decir, a travs de controles de entrada, controles de procesamiento y
controles de salida.
1.7.7
CONTROLES DE ENTRADA
Se deben desarrollar controles de entrada que den la seguridad de que se recibe la

informacin, se traduce y entra si error al sistema. Algunas de las tcnicas utilizadas
para lograr esto incluyen:
a. Registro de todos los nmeros de los documentos de entrada prenumerados por la
unidad de control.
b. Establecimiento de cifras de control por lotes antes de entrar la informacin, y
antes de su procesamiento comparar estas cifras con las de la informacin
convertida.
c. Uso de verificadoras para controlar errores de entrada de informacin.
d. Mantenimiento de un procedimiento controlado de correccin de errores.
e. Uso de conteo de mensajes o procedimientos de transmisin doble cuando se
transmite la informacin entre distintas localidades geogrficas.
f. Conservacin de documentos fuente durante perodos razonables, de modo de
poder reconstruir la informacin si fuera necesario.
32
g. Uso de dgitos de verificacin para detectar errores cometidos por empleados,

como pueden ser las transposiciones.
1.7.8
CONTROLES DE PROCESAMIENTO
Los controles de procesamiento de la informacin deben estar redactados en los

programas de computacin. Los ejemplos de controles de procesamiento programados
comprenden:
a. Pruebas de lmite. Este tipo de prueba produce un mensaje de error si cualquier
clculo en una corrida de programas se encuentra fuera de un lmite
predeterminado.
b. Pruebas de lgica. Esta prueba emitira un mensaje de error si se produjeran
resultados ilgicos en una corrida de programas (un cheque de nminas negativo).
c. Comparaciones de validez. Estas son pruebas que aseguran si ciertos datos son
vlidos por ejemplo, el nmero de empleados.
d. Etiquetas de identificacin. Son cdigos magnticos de identificacin apropiada
de toda la informacin antes de su procesamiento.
1.7.9
CONTROLES DE SALIDA
El concepto bsico de control de salida es que se deben comparar los totales de las
entradas, e investigar y conciliar cualquier diferencia. Esta es una funcin importante de
la unidad de control en el departamento de PED. En muchas compaas los
departamentos usuarios llevarn a cabo una funcin de control similar como una
verificacin adicional. Para evitar entradas fraudulentas en este punto, todas las
correcciones de errores se deben realizar y registrar de acuerdo con procedimientos
autorizados. Los procedimientos para la entrega oportuna y apropiada de la informacin
de salida a los usuarios representan un aspecto adicional del control de salidas.
33
1.7.10 PRUEBAS DE CUMPLIMIENTO
La revisin del auditor sobre el control interno del sistema PED debe estar diseada de
tal modo que se entienda cmo fluyen las operaciones a travs del sistema y el grado de
controles existentes sobre el proceso. El SAS Nm. 13 (AU 321.24) describe esta
revisin como un proceso de recopilacin de informacin que depende de las preguntas
dirigidas de manera inteligente al personal del cliente, la observacin de la asignacin
disponible relacionada con el control contable.
Para completa la revisin de control interno, el auditor debe llevar a cabo pruebas de
cumplimiento para obtener la seguridad razonable que los procedimientos de control
interno descrito han sido puestos en prctica. Al realizar estas pruebas el auditor puede
observar relaciones de errores, examinar la documentacin que muestre las
aprobaciones, revisar las operaciones y observar la organizacin departamental. Se
llevan a cabo otras pruebas de cumplimiento utilizando el equipo de PED para procesar
informacin de prueba con el fin de revisar los controles programados en el sistema.
Una vez terminada la evaluacin del control interno, el auditor debe determinar cunta
confianza puede depositar en el control interno contable dentro del departamento de
PED del cliente. Si los controles dan una base para confiar, el auditor puede limitar la
extensin de las pruebas sustantivas de operaciones a llevar a cabo sobre las aplicaciones
de PED.
1.8
TCNICAS DE AUDITORA EN SISTEMAS COMPUTARIZADOS
Las tcnicas y procedimientos utilizados por el auditor al realizar pruebas de

cumplimiento del sistema y pruebas sustantivas de la informacin contable dependen en
gran parte del diseo del sistema del PED del cliente. El diseo y la operacin del
sistema definen la naturaleza de las pistas de auditora que tengan que emplear el auditor
para obtener evidencia. Las cuales le permiten al auditor reconstruir y seguir las
operaciones, se pueden definir tan bien en un sistema con computadora como en un
sistema manual diseado con propiedad. Por otra parte, en un sistema avanzado PED
34
con posibilidades de trabajar en lnea y pocas copias escritas, podra suceder que las
pistas de auditora no existieran prcticamente.
No obstante, existen mucha razones vlidas para que las empresas mantengan en un
sistema de PED la posibilidad de reconstruir y seguir las operaciones. Estas incluyen el
uso que haga la administracin del detalle de la operacin, requisitos de auditora interna
y externa, protecciones contra errores o interrupciones del sistema, y requisitos de las
autoridades reguladoras y fiscales. De acuerdo con el diseo de la instalacin del PED
del cliente y la disponibilidad de pistas de auditora viables, el auditor puede seleccionar
procedimientos de auditora manuales, tcnicas de auditora apoyadas por computadoras
o una combinacin de las dos.
1.8.1
PROCEDIMIENTOS MANUALES
En los sistemas PED donde existen pistas de auditora satisfactorias y se dispone de

documentos fuente adecuados, el auditor encontrar que los procedimientos manuales de
auditora resultan ms efectivos desde el punto de vista de costos que las tcnicas con
apoyo de computadoras. Esto es parcialmente cierto cuando el volumen de informacin
a examinar es ms bien pequeo. En estas situaciones los procedimientos de auditora
utilizados sern del mismo tipo que los usados al auditar sistemas de contabilidad
manuales.
1.8.2
TCNICAS DE AUDITORA APOYADAS POR COMPUTADORAS
En los sistemas de PED en lnea que producen poca informacin escrita y no tienen
referencias de auditora utilizables, es lo ms probable que resulten poco efectivas las
tcnicas manuales de auditora. Por lo general
se necesitan tcnicas de auditora
apoyadas por computadoras que use el equipo o los programas del cliente, o ambos. Las
tcnicas apoyadas por las computadoras ms usuales son:
a. El uso de informacin de pruebas para verificar los controles programados para
comprobar el cumplimiento,
b. El uso de programas de auditora generalizados para extraer informacin del
35
sistema y realizar otras funciones relacionadas con las pruebas sustantivas.

1.8.3
USO DE LA INFORMACIN DE PRUEBA
Al utilizar la informacin de prueba para obtener conclusiones respecto a la operacin de

un programa de computacin, el auditor desarrolla informacin similar a la que procesa
normalmente el programa. Despus se procesa la informacin de prueba bajo
condiciones controladas utilizando el programa del cliente. Cuando se obtiene la
informacin procesada resultante, se compara con los resultados predeterminados
manualmente para tener la seguridad de que se proceso de manera apropiada la
informacin de prueba.
Al desarrollar informacin de prueba los auditores deben incluir operaciones que
reflejen aquellas condiciones vlidas y no vlidas que se desean verificar. El enfoque de
informacin de prueba da a los auditores la seguridad respecto a la operacin del
programa de su cliente en un momento en el tiempo. De la prueba el auditor puede llegar
a la conclusin de que las operaciones vlidas fueron procesadas con propiedad y que las
operaciones no vlidas con reconocidas por los controles programados y se producen los
adecuados mensajes de aviso de error.
1.8.4
USO DE PROGRAMAS GENERALIZADOS DE AUDITORA
Existe una amplia variedad de paquetes de programas generalizados de auditora que

realizan muchos trabajos para apoyar al auditor en la realizacin de pruebas sustantivas
y en otros aspectos de la auditora. El uso de estas herramientas con frecuencia aumenta
tanto la eficiencia como la efectividad de la auditora de un cliente que usa sistemas de
computadora.
Se disea el programa de auditora para correrlo en el sistema de computacin del
cliente, en el sistema propio del auditor o mediante un arreglo de tiempo compartido.
Aunque los diversos paquetes de programas de que se dispone son un poco diferentes en
sus posibilidades
de auditora, entre los trabajos que se llevan a cabo con ms
frecuencia se encuentran los siguientes:
36
a. Seleccin e impresin de muestras de auditora sobre bases estadsticas o no

estadsticas.
b. Verificacin matemtica de sumas, multiplicaciones y otros clculos en los
archivos de informacin del cliente.
c. Realizacin de funciones de revisin analtica al establecer comparaciones,
calcular razones, identificar fluctuaciones y llevar a cabo clculos de regresin
mltiple.
d. Manipulacin de la informacin al calcular subtotales, sumar y clasificar
informacin, volver a ordenar en serie la informacin, etc.
e. Preparacin de balances de comprobacin, estados financieros, solicitudes de
confirmacin, papeles de trabajo de auditora.
f. Examen de los registros de acuerdo con criterios especificados; por ejemplo,
verificacin de los lmites de crdito excedidos, nmeros de empleados vlidos,
cantidades negativas y operaciones en exceso de importes especificados.
g. Varias funciones de comparacin, tales como comparar las cantidades fsicas de
los inventarios con las cantidades de libros.
1.9
AUDITORIA EN UN AMBIENTE DE SISTEMAS DE INFORMACIN POR

COMPUTADORA. (NIAS)
1.9.1
INTRODUCCIN
1. El propsito de esta Norma Internacional de Auditara (NIA) es establecer normas y

proporcionar lineamientos sobre los procedimientos que deben seguirse cuando se
conduce una auditora en un ambiente de Sistemas de Informacin Computarizada
(SIC)4. Para fines de las NIAs, un ambiente SIC existe cuando est involucrada una
computadora de cualquier tipo o tamao en el procesamiento por la entidad de
informacin financiera de importancia para la auditoria, ya sea que dicha
computadora sea operada por la entidad o por una tercera parte.
Este trmino se utiliza en esta NIA en lugar de procesamiento electrnico de datos (PED) utilizado en la
NIA anterior Auditoria en un Entorno de PED
37
2. El auditor deber considerar como afecta a la auditoria en un ambiente SIC. Sin

embargo, el uso de una computadora cambia el procesamiento, almacenamiento y
comunicacin de la informacin financiera y puede afectar los sistemas de
contabilidad y de control interno empleados por la entidad. Por consiguiente, un
ambiente SIC puede afectar:
Los procedimientos seguidos por un auditor para obtener una comprensin

suficiente de los sistemas de contabilidad y de control interno.
La consideracin del riesgo inherente y del riesgo de control a travs de la cual

el auditor llega a la evaluacin del riesgo.
El diseo y desarrollo por el auditor de pruebas de control y procedimientos

sustantivos apropiados para cumplir con el objetivo de la auditora.
1.9.2
HABILIDAD Y COMPETENCIA
4. El auditor debera tener suficiente conocimiento del SIC
para planear, dirigir,
supervisar y revisar el trabajo desarrollado. El auditor debera considerar si se

necesitan habilidades especializadas en SIC en una auditora. Estas pueden
necesitarse para:
Obtener una suficiente comprensin de los sistemas de contabilidad y de control

interno afectados por el ambiente SIC.
Determinar el efecto del ambiente SIC sobre la evaluacin del riesgo global y del
riesgo al nivel de saldo de cuenta y de clase transaccion.
Disear y desempear pruebas de control y procedimientos sustantivos

apropiados.
Si se necesitan habilidades especializadas, el auditor buscara la ayuda de un profesional

con dichas habilidades, quien puede pertenecer al personal del auditor o ser un
profesional externo. Si se plantea el uso de dicho profesional, el auditor debera obtener
suficiente evidencia apropiada de auditora que dicho trabajo es adecuado para los fines
de la auditora, de acuerdo con NIA Uso del Trabajo de un Experto.
38
1.9.3
PLANEACIN
5. De acuerdo con NIA Evaluaciones del Riesgo y Control Interno el auditor debera
obtener una comprensin de los sistemas de contabilidad y de control interno,
suficiente para planear la auditora y desarrollar un enfoque de auditora efectivo.
6. Al planear las porciones de la auditora que pueden ser afectadas por el ambiente de
SIC del cliente, el auditor debera obtener una comprensin de la importancia y
complejidad de las actividades del SIC y la disponibilidad de datos para uso en la
auditora. Esta comprensin incluira asuntos como:
La importancia y complejidad del procesamiento por computadora en cada

operacin importante de contabilidad. La importancia se refiere a la importancia
relativa de las aseveraciones de los estados financieros afectadas por el
procesamiento por computadora. Se puede considerar como compleja una
aplicacin cuando, por ejemplo:
-
El volumen de transacciones es tal que los usuarios encontraran difcil

identificar y corregir errores en el procesamiento.
La computadora automticamente genera transacciones o entradas de

importancia relativa directamente a otra aplicacin.
La computadora desarrolla cmputos complicados de informacin financiera

y/o automticamente genera transacciones o entradas de importancia relativa
que pueden ser (o no son) validadas independientemente.
Las
transacciones
son
intercambiadas
electrnicamente
con
otras
organizaciones ( como en los sistemas electrnicos de intercambio de datos

EDI) sin revisin manual para la propiedad o razonabilidad.
La estructura organizacional de las actividades SIC del cliente y el grado de

concentracin o distribucin del procesamiento por computadora en toda la
entidad, particularmente en cuanto pueden afectar la segregacin de deberes.
39
La disponibilidad de datos. Los documentos fuente, ciertos archivos de

computadora, y otro material de evidencia que pueden ser requeridos por el
auditor, pueden existir por un corto periodo de tiempo o slo en forma legible por
computadora. El SIC del cliente puede generar reportes internos que pueden ser
tiles para lleva a cabo pruebas sustantivas (particularmente procedimientos
analticos). El potencial de uso de tcnicas de auditora con ayuda de
computadora puede permitir una mayor eficiencia en el desempeo de los
procedimientos de auditora, o puede capacitar al auditor a aplicar en forma
econmica ciertos procedimientos a una poblacin completa de cuentas o
transacciones.
7. Cuando el SIC es significativo, el auditor deber tambin obtener una comprensin

del ambiente SIC y de si puede influir en la evaluacin de los riesgos inherentes y de
control. La naturaleza de los riesgos y las caractersticas del control interno en SIC
incluyen lo siguiente:
Falta de rastros de las transacciones. Algunos SIC son diseados de modo que un
rastro completo de una transaccin, que podra ser til para fines de auditora
podra existir por slo un corto perodo de tiempo o slo en forma legible por
computadora. Donde un sistema complejo de aplicaciones desempea un gran
nmero de pasos de procesamiento, puede no haber un rastro completo. Por
consiguiente, los errores incrustados en la lgica de un programa de aplicaciones
pueden ser difciles de detectar oportunamente por procedimientos (usuarios)
manuales.
Procesamiento uniforme de transacciones. El procesamiento por computadora

procesa uniformemente transacciones iguales con las mismas instrucciones de
procesamiento. As, los errores de oficina ordinariamente asociados con el
procesamiento manual son virtualmente eliminados. Por el lado contrario, la
programacin de errores (u otros errores sistemticos en el hardware o software)
40
ordinariamente dar como resultado que todas las transacciones sean procesadas
incorrectamente.
Falta de segregacin de funciones. Muchos procedimientos de control que

ordinariamente seran desempeados por individuos por separado en los sistemas
manuales, pueden ser concentrados en SIC. As, un individuo que tiene acceso a
los programas de computadora, al procesamiento o a los datos, puede estar en
posicin de desempear funciones incompatibles.
Potencial para errores e irregularidades. El potencial para error humano en el

desarrollo, mantenimiento y ejecucin de SIC puede ser mayor que en los
sistemas manuales, parcialmente a causa del nivel de detalle inherente a estas
actividades. Tambin, el potencial para que los individuos ganen acceso no
autorizado a los datos o a la alteracin de datos sin evidencia visible puede ser
mayor en SIC que en los sistemas manuales.
Adems, la disminucin de involucramiento humano en el manejo de

transacciones procesadas por el SIC puede reducir el potencial para observar
errores e irregularidades. Los errores o irregularidades que ocurren durante el
diseo o modificacin de programas de aplicacin o del software de los sistemas
pueden permanecer sin detectar por largos perodos de tiempo.
Iniciacin o ejecucin de transacciones. El SIC puede incluirla capacidad de

iniciar automticamente. La autorizacin de estas transacciones o procedimientos
puede no estar documentada en la misma forma que en el sistema manual, y la
autorizacin de la administracin de estas transacciones puede estar implcita en
su aceptacin del diseo SIC y modificacin subsecuente.
Dependencia de otros controles del procesamiento por computadora. El

procesamiento por computadora puede producir reportes y otros datos de salida
que son usados en el desempeo de procedimientos de control que son usados en
41
el desempeo de procedimientos de control manuales. La efectividad de estos

procedimientos de control manuales puede depender de la efectividad de
controles sobre la integralidad y precisin del procesamiento por computadora.
A su vez, la efectividad y operacin consistente de los controles del
procesamiento de transacciones en las aplicaciones de computadora a menudo
depende de la efectividad de los controles generales de SIC.
Potencial para mayor supervisin de la administracin. SIC puede ofrecer a la

administracin una variedad de herramientas analticas que pueden ser usadas
para revisar y supervisar las operaciones de la entidad. La disponibilidad de estos
controles adicionales, si se usan, puede servir para mejorar toda la estructura de
control interno.
Potencial para el uso de tcnicas de auditoria con ayuda de computadora. El caso

del procesamiento y anlisis de grandes cantidades de datos usando
computadoras puede brindar al auditor oportunidades para aplicar tcnicas y
herramientas generales o especializadas de auditora con computadora en la
ejecucin de pruebas de auditoria.
Tanto los riesgos como los controles introducidos como resultado de estas caractersticas
d SIC tienen un impacto potencial sobre la evaluacin del auditor del riesgo, y sobre la
naturaleza, oportunidad y alcance de los procedimientos de auditoria.
1.9.4
EVALUACIN DEL RIESGO.
8. De acuerdo con NIA Evaluacin del riesgo y control interno, el auditor debera
hacer una evaluacin de los riesgos inherente y de control para las aseveraciones
importantes de los estados financieros.
9. Los riesgos inherentes y los riesgos de control en un ambiente SIC pueden tener
tanto un efecto general como un efecto especfico en la probabilidad de
representaciones errneas importantes, como sigue:
42
Los riesgos pueden resultar de deficiencias en actividades generales de SIC como

desarrollo y mantenimiento de programas, soporte al software de sistemas,
operaciones, seguridad fsica de SIC, y control sobre el acceso a programas de
utilera de privilegio especial. Estas deficiencias tenderan a tener un efecto
penetrante en todos los sistemas de aplicacin que se procesan en la
computadora.
Los riesgos pueden incrementar el potencial de errores o actividades fraudulentas

en aplicaciones especficas, en bases de datos especificas o en archivos maestros,
o en actividades de procesamiento especficas. Por ejemplo, los errores no son
poco comunes en los sistemas que desarrollan condiciones de excepcin. Los
sistemas que controlan desembolsos de efectivo u otros activos lquidos son
susceptibles a acciones fraudulentas por los usuarios o por personal de SIC.
10. Al surgir nuevas tecnologas de SIC, frecuentemente son empleadas por los clientes
para construir sistemas de computacin cada vez ms complejos que pueden incluir
enlaces micro a redes, bases de datos distribuidas, procesamiento de usuario final, y
sistemas de administracin de negocios que alimentan informacin directamente a
los sistemas de contabilidad. dichos sistemas aumentan la sofisticacin total de SIC y
las complejidad de las aplicaciones a las que afecta. Como resultado, pueden
aumentar el riesgo y requerir una consideracin adicional.
1.9.5
PROCEDIMIENTOS DE AUDITORIA
11. De acuerdo con NIA Evaluaciones del riesgo y control interno el auditor debera
considerar el ambiente de SIC al disear los procedimientos de auditoria para reducir
el riesgo de auditoria a un nivel aceptable bajo.
12. Los objetivos especficos de auditoria del auditor no cambian ya sea que los datos de
contabilidad se procesen manualmente o por computadora. Sin embargo, los mtodos
de aplicacin de procedimientos de auditora para reunir evidencia pueden ser
43
influenciados por los mtodos de procesamiento por computadora. El auditor puede

usar procedimientos de auditoria manuales, tcnicas de auditoria con ayuda de
computadora, o una combinacin de ambos para obtener suficiente material de
evidencia. Sin embargo, en algunos sistemas de contabilidad que usan una
computadora para procesar aplicaciones significativas, puede ser difcil o imposible
para el auditor obtener ciertos datos para inspeccin, investigacin, o confirmacin
sin la ayuda de la computadora.
1.10
AUDITORIA EN INFORMTICA
La auditora en informtica es la revisin y evaluacin de los controles, sistemas y

procedimientos de informtica, as como de los equipos de cmputo, su utilizacin,
eficiencia y seguridad. Tambin de la organizacin que participa en el procesamiento de
la informacin, con el fin de que por medio del sealamiento de cursos alternativos se
logre una utilizacin ms eficiente y segura de la informacin, que servir para una
adecuada toma de decisiones.
La auditora en informtica deber comprender no slo la evaluacin de los equipos de
computo o de un sistema o procedimiento especfico, sino que, adems, habr de evaluar
los sistemas de informacin en general, desde sus entradas, procedimientos controles,
archivos, seguridad y obtencin de la informacin. Ello debe incluir los equipos de
cmputo como la herramienta que permite obtener la informacin adecuada y la
organizacin especfica (departamento de cmputo, departamento de informtica,
gerencia de procesos electrnicos) que har posible el uso de los equipos de cmputo.
1.10.1 CAMPO DE ACCIN
Desde que la informtica se enfoc hacia el apoyo de la sistematizacin en las reas del
negocio, se empezaron a implantar aplicaciones administrativas como contabilidad,
nminas, etc., lo cual origin lo que se conoce como auditora a sistemas de
informacin.
44
Posteriormente, el uso de la informtica cubri las reas de negocio en todos los niveles
con productos y servicios muy variados; proliferaron las minicomputadoras o equipos
departamentales; despus llegaron las microcomputadoras o computadoras personales y
entraron de lleno las redes locales, la integracin empresarial a travs de las
telecomunicaciones y un gran nmero de componentes de tecnologa. Tal tecnificacin
del medio imposibilit al responsable de informtica y a los auditores de sistemas
tradicionales seguir evaluando este campo con mtodos y procedimientos anticuados.
Se hizo necesario un replanteamiento del fondo y forma de la auditora en informtica.
Este trabajo busca, entre otras cosas, dar una dimensin ms realista y adecuada a la
auditora en informtica.
El ejercicio prctico y formal de la auditora en informtica brindar a sus ejecutantes y
a los negocios un sentimiento de satisfaccin justificado por el entendimiento y
compromiso que implica asegurar el uso correcto de los recursos de informtica para el
logro de las estrategias.
Conviene recordar que en las empresas existen objetivos comunes a todas las reas
respecto de los recursos de informtica; por ejemplo, el mximo uso y aprovechamiento
de la tecnologa mediante polticas, procedimientos y mtodos apropiados. En este
sentido, la funcin de la auditora en informtica es una de los medios ms importantes y
especializados para lograr dicho fin.
1.10.2 EVALUACIN ADMINISTRATIVA DEL DEPARTAMENTO DE INFORMTICA
Los objetivos del departamento, direccin o gerencia
Metas, planes, polticas y procedimientos de procesos electrnicos estndar
Organizacin del rea y su estructura orgnica.
Funciones y niveles de autoridad y responsabilidad del rea de procesos

electrnicos
Integracin de los recursos materiales y tcnicos
Direccin
45
Costos y controles presupuestales
Controles Administrativos del rea de procesos electrnicos
1.10.3 EVALUACIN DE LOS SISTEMAS, PROCEDIMIENTOS Y EFICIENCIA DE LA

INFORMACIN
Evaluacin del anlisis de los sistemas y sus diferentes etapas
Evaluacin del diseo lgico del sistema
Evaluacin del desarrollo fsico del sistema
Control de proyectos
Control de sistemas de programacin
Instructivos y documentacin
Formas de implantacin
Seguridad fsica y lgica de los sistemas
Confidencialidad de los sistemas
Controles de mantenimiento y forma de mantenimiento de los sistemas
Utilizacin de los sistemas.
1.10.4 EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO.
Control de los datos fuente y manejo de cifras de control
Control de operacin
Control de salida
Control de asignacin de trabajo
Control de medios de almacenamiento masivo
Seguridad fsica y lgica
Confidencialidad
Respaldos
1.10.5 LA IMPORTANCIA DE LA AUDITORA EN INFORMTICA.
La tecnologa de informtica, traducida en hardware, software, sistemas de informacin,

investigacin tecnolgica, redes locales, bases de datos, ingeniera de software,
telecomunicaciones, servicios y organizacin de informtica es una herramienta
46
estratgica que brinda rentabilidad y ventaja competitiva a los negocios frente a sus
similares en el mercado; pero puede originar costos y desventajas competitivas si no es
bien administrada y dirigida por el personal encargado.
Dados los extremos sealados, surgen de inmediato un par de preguntas:
Cmo saber si estoy administrando y dirigiendo de manera correcta la funcin de
informtica?
La respuesta siempre ha existido: mediante evaluaciones oportunas y completas de dicha
funcin por personal calificado (o sea, consultores externos, auditores en informtica), o
evaluaciones peridicas por el mismo personal de informtica entre otras estrategias.
Es necesario auditar o evaluar la funcin de informtica y quienes lo haran?
Aqu la respuesta depende de cada organizacin y de sus necesidades por conocer el
estado real de su tecnologa en informtica.
Lo que resulta innegable es que la informtica se convierte cada da en una herramienta
permanente de los procesos principales de los negocios, en una fuerza estratgica, un
aliado confiable y oportuno. Todo lo anterior es posible tenerlo en la empresa si se
implantan controles y esquemas de seguridad requeridos para su aprovechamiento
ptimo.
Una vez que la alta direccin tome conciencia de lo saludable y productivo que es contar
con un rea independiente que asegure y promueva el buen uso y aprovechamiento de la
tecnologa de informtica, el siguiente paso es delegar la responsabilidad en personal
altamente capacitado para ejercer la auditora en informtica dentro de la organizacin
de manera formal y permanente.
RESUMEN
Siempre ha existido la filosofa de las organizaciones con respecto a llevar controles y

procedimientos de todos los procesos, productos y datos considerados como activos
47
estratgicos. En el terreno de los sistemas de informacin y tecnologa, un alto

porcentaje de las empresas tiene problemas en el manejo y control tanto de los datos
como de los elementos en que almacena, procesa y distribuye la informacin.
Esta situacin genera tiempos de respuesta inadecuados en la recopilacin, proceso y
entrega de resultados; asimismo, origina incertidumbre acerca de la productividad de los
recursos involucrados en la operacin diaria de los datos y cuestiona de manera
permanente la rentabilidad de la informtica. Es una voz de alerta que se debe escuchar.
En forma adicional, cabe sealar que muchas compaas slo creen que es necesario
proteger la informacin que se maneja, por medio de recursos tecnolgicos, mas no por
ello estn dispuestas a invertir dinero, tiempo y compromiso para minimizar o eliminar
dicha problemtica.
A lo anterior hay que agregar la presencia de dos grandes grupos de problemas:
a. Falta de conocimiento del alcance de los sistemas de informacin, que en la
prctica se traduce en meras actividades apaga fuegos, falta de estndares en
software y hardware, as como usuarios valientes que desarrollan soluciones por
su cuenta sin los requisitos metodolgicos necesarios.
b. Capacitacin inadecuada a los usuarios y casi nula al personal de informtica
respecto del uso de metodologa de planeacin y desarrollo para la administracin
de sus funciones; insatisfaccin de los usuarios clave del negocio por los
resultados producidos por el departamento de informtica, que termina calificada
como mala, vanidosa y cara
Lo anterior se repite en gran nmero de compaas; por lo tanto, la pregunta inminente
es: por qu si se gasta tanto en informtica y no da resultados no se deciden a
desecharla o a usarla como debe ser?. Simplemente porque no saben que hacer con ella.
Unos la desprecian por que no la entienden y otros, que le temen por su incapacidad para
usarla y administrarla, le dan el beneficio de la duda.
48
Por ello, se concluye que el primer paso para detectar el grado de confianza,
disponibilidad y rentabilidad de la informacin y de los recursos de informtica es la
aceptacin de la direccin o accionistas de los beneficios que brinda dicha tecnologa; el
segundo es asegurar la custodia y proteccin de la misma.
Se requiere, adems, la dimensin real del escenario tecnolgico y del control existente a
travs de un estudio preliminar o diagnstico de la situacin actual. Despus, todo
recaer en el compromiso que la alta direccin y los empleados asuman para dar
solucin oportuna a las debilidades o carencias que emanen de dicho anlisis.
El incremento permanente de las expectativas y necesidades relacionada con la
informtica, al igual que la actualizacin continua de los elementos que componen la
tecnologa de este campo, obligan a las entidades que la aplican a contar con controles,
polticas y procedimientos que aseguren a la alta direccin que los recursos humanos,
materiales y financieros involucrados son protegidos adecuadamente y que se orienten a
la rentabilidad y competitividad del negocio.
Por qu preocuparse de cuidar esa caja etiquetada con el nombre de informtica?
Si la respuesta que brinde a cualquiera de las siguientes preguntas es negativa, le
convendra reafirmar o considerar o considerar la necesidad de asumir la responsabilidad
de controlar y brindar seguridad permanente a los recursos de informtica:
a. Los usuarios y la alta direccin conocen la situacin actual de funcin de
informtica en la empresa (organizacin, polticas, servicios, etc.)?
b. Se aprueba y formal y oportunamente el costo/beneficio de cada proyecto
relacionado en forma directa con la informtica?
c. La informtica apoya las reas crticas del negocio?
d. El responsable de la informtica conoce los requerimientos actuales y futuros del
negocio que necesitan apoyo de los servicios y productos de su rea?
49
e. Todos los elementos del negocio conocen las polticas y procedimientos

inherentes al control y seguridad de la tecnologa de informtica?
f. Existen dichas polticas y procedimientos de manera formal?
g. Hay un plan de seguridad en la informtica?
h. Se ha calculado el alcance e impacto de la informtica en la empresa?
i. Existen responsables que evalen formal e imparcialmente la funcin de
informtica?
j. Se cuenta con un control formal de cada proyecto relativo al rea?
k. Es importante para Ud. la informtica?
l. Evala peridicamente y formalmente dicha funcin de la informtica?
m. Auditan slo sistemas de informacin y no otras reas de la informtica?
Cada una de estas preguntas encierra una importancia especfica para el buen
funcionamiento informtico en cualquier negocio; todas estn interrelacionadas y la
negacin de alguna es una pequea fuga de gas que con el tiempo y un pequeo
chispazo puede ocasionar graves daos a los negocios, sean estos traducidos en
fraudes, proyectos cancelados con alto porcentaje de costos no recuperables, rechazo de
los servicios de informtica por los usuarios clave del negocio, improductividad y la baja
calidad de los recursos de informtica, planes de informtica no orientados a las metas y
estrategias de negocio, piratera de software, fuga de informacin a la competencia o
proveedores, entre otros daos.
La improductividad, el mal servicio y la carencia de soluciones totales de la funcin de
informtica fueron, son y pueden seguir siendo mal de muchas organizaciones.
El problema real radica en que todos los proyectos prioritarios hacen gala de sentirse
apoyados por la informtica; entonces, por qu no cuidarla?
En seminarios, plticas de comedor o pasillo en empresas (as como en instituciones de
gobierno y escuelas universitarias) y aun en las mismas reas o departamentos de
informtica se relatan los problemas ms comunes de los usuarios y del personal.
50
Sin embargo, parece ser que un gran porcentaje de tales interlocutores no se percata o no
desea reconocer que esta problemtica se ha venido planteando desde hace muchos aos
por las mismas causas y con los mismos efectos negativos para la organizacin. La
diferencia puede ser que ahora los individuos que cometen estas fallas o debilidades
funcionales estn dispersos por toda la organizacin utilizando tecnologa supuestamente
ms eficiente y, por supuesto, ms cara. Algunos problemas de esta ndole son:
Debilidades en la planeacin del negocio al no involucrar la informtica.

Resultados negativos (improductividad, duplicidad de funciones, etc.) en el
desarrollo, operacin y mantenimiento de sistemas de informacin.
Falta de actualizacin del personal de informtica y tcnico donde se

encuentran instalados los sistemas y las soluciones del negocio.
Mnimo o nulo involucramiento de los usuarios en el desarrollo e implantacin

de soluciones de informtica.
Capacitacin deficiente en el uso de los sistemas de informacin, el software y

el hardware.
Administracin dbil o informal de proyectos.

Carencia de un proceso de anlisis Costo/beneficio formal previo al arranque
de cada proyecto de informtica
Metodologa de planeacin y desarrollo de sistemas informales no

estandarizadas y en muchos casos inexistentes.
Uso y entendimiento mnimo o inexistente de tcnicas formales para el

desempeo de funciones en las reas de informtica:
-
Anlisis
Entrevistas
Cuestionarios
Modelacin de datos
Costo/beneficio, etc.
51
Falta un proceso formal de planeacin de informtica.

Involucramiento mnimo o informal de la alta direccin en los proyectos de
informtica.
Proyectos de auditora o evaluacin de informtica espordicos e informales.
1.10.6 ELEMENTOS DE AUDITORA EN INFORMTICA
Definicin de Auditara en Informtica

Es la revisin , evaluacin de controles, sistemas, procedimientos de informtica de los equipos de cmputo, su
utilizacin, eficiencia y seguridad de la organizacin que participan en el procesamiento de la informacin a fin de
que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la
informacin que servir para una adecuada toma de decisiones. Evaluando no solamente los equipos de cmputo o de
un sistema especfico, sino tambin, los sistemas de informacin en general
Elementos de la definicin
Elemento
Informacin Generada
a.
a.
Proporciona los objetivos, direccin, gerencia, metas, planes y

procedimientos, de los procesos electrnicos estndar, la
Controles para los procesos
organizacin funciones y autoridad, as como la responsabilidad que
electrnicos.
existe en los procesos electrnicos, los recursos que interrelacionan

y los costos en que incurra.
b.
b.
Sistemas y procedimientos de
informtica.
Proporciona el anlisis de los sistemas, sus etapas, el diseo, la

evaluacin del desarrollo fsico, su programacin e implementacin,
la seguridad fsica y lgica, la confidencialidad, la forma de respaldo
que proporciona, as como el mantenimiento y utilizacin de los
sistemas en su conjunto.
52
c.
c.
Equipos de cmputo.
Se refiere a todos los equipos o software, su interrelacin, el

ordenamiento, la seguridad fsica, la confidencialidad en la
generacin de la informacin.
d.
d.
Proporciona los medios para lograr la eficiencia y seguridad en la
Eficiencia y seguridad en la
generacin de informacin en cuanto a control de la fuente y manejo
organizacin para la generacin de la
de las cifras. Control de las operaciones entradas y salidas de la
informacin
informacin, medios de almacenamiento, seguridad y

confidencialidad de la informacin generada.
Elementos
Como se Auditan
TCNICAS
a.
Controles para los procesos
Anlisis
Inspeccin fsica
Investigacin
Observacin
Cuestionarios y narrativas
electrnicos.
PROCEDIMIENTOS
b.
Sistemas y procedimientos de
c.
Equipos de cmputo.
Se entrega al departamento de informtica para que sea contestado.
Se tabula y analizan las respuestas
d.
Se disea el cuestionario de acuerdo a las reas, procesos de control

en informtica.
informtica.
Se determinan las reas crticas y sus debilidades para darle

seguimiento mediante pruebas.
Eficiencia y seguridad en la
organizacin para la generacin de la
informacin
NORMATIVA
Prrafo 401 de las Normas Internacionales de Auditara
SAS
Normas Internacionales de Auditara
NAGAS, en la referente a cualquier proceso de auditora.
Normas de Contabilidad Financiera, en lo referente al cumplimiento

a principios a principios de contabilidad.
53
1.10.7 PROCESO DE UNA AUDITORIA EN INFORMTICA

PRIMERA FASE. Estudio preliminar, obligatorio y necesario efectuar en todas las
empresas que usen en alguno forma el PED para la obtencin de su informacin

financiera.
SEGUNDA FASE. Ampliacin del estudio del Control Interno. De aplicacin obligatoria
cuando en el estudio preliminar se ha determinado que se tiene aplicaciones de

importancia para la obtencin de la informacin financiera, que existen transformaciones
importantes en la informacin y de que el auditor tiene que confiar en una medida
importante en el control interno que existe sobre dichas aplicaciones.
TERCERA. Pruebas de los controles PED. De aplicacin obligatoria cuando la
importancia de los sistemas sujetos a proceso sea tal en cuanto a las transformaciones y
al grado de confianza que el auditor depositar en el control interno, que el no efectuar
pruebas de cumplimiento a los controles PED limita el alcance del trabajo del auditor al
no obtener evidencia suficiente y competente. Habr casos que el auditor, tenga
necesariamente que confiar en el control interno del PED y, por lo tanto, tenga que
evaluarlo y despus probarlo en forma completa e integral a travs de pruebas de
cumplimiento. Tambin habr casos, que por el resultado esperado de sus pruebas
sustantivas, de importancia relativa y de riesgo probable, el auditor obtendr la necesaria
evidencia suficiente y competente que le permita solamente evaluar ciertos controles
internos importantes y reducir sustancialmente sus pruebas de cumplimiento,
limitndolas estas a probar controles internos importantes de entrada y salida, y por lo
tanto solamente cumplir con la primera fase y, segn las circunstancias, cubrir
parcialmente la segunda y omitir la tercera.
54
Es importante sealar que desde la primera fase se requiere de experiencia en auditora

en PED por parte del auditor y conforme se vayan pasando a las siguientes fases se
requerir de mayor capacitacin.
1.10.8 OBJETIVOS DE
INFORMTICA
LOS
PROCEDIMIENTOS
DE
LA
AUDITORIA
EN
Los objetivos en la primera fase, estudio preliminar, son los siguientes:

a. Determinar las principales aplicaciones y su efecto en la informacin financiera.
b. Conocer las caractersticas del equipo PED.
c. Concluir sobre el efecto del PED en la informacin financiera y, en su caso,
pasar a la segunda fase.
Los objetivos en la segunda fase, ampliacin del estudio del control interno, son los
siguientes:
a. Evaluar la organizacin del centro de cmputo y los controles generales
establecidos.
b. Conocer las caractersticas de las aplicaciones y evaluar los controles de
aplicacin o especficos inherentes a las mismas, considerando el grado de
transformacin de la informacin y el volumen de operaciones que dependen del
PED, a efecto de poder juzgar si se deben efectuar pruebas de cumplimiento de
los controles PED.
c. Formarse un juicio sobre la eficacia del control interno existente en PED que
permita determinar la naturaleza, el alcance y oportunidad de los procedimientos
de auditora, tanto de cumplimiento, como sustantivos.
d. Concluir sobre los resultados obtenidos y, en su caso, pasar a la tercera fase,
considerando que el no probar los controles PED resultara en una limitacin
importante en e trabajo del auditor, pues no se obtendr la necesaria evidencia
suficiente y competente.
55
El objetivo de la tercera fase, pruebas de los controles PED, es probar los controles
especficos de las aplicaciones mediante pruebas de cumplimiento.
1.11
PROCEDIMIENTOS DE EVALUACIN DE AUDITORIA EN INFORMATICA
1.11.1 PRIMERA FASE ESTUDIO PRELIMINAR
El estudio preliminar est enfocado a determinar la importancia que el PED tiene en la

informacin financiera y al conocimiento general del equipo.
DESCRIPCIN DE LAS APLICACIONES
Consiste en conocer y documentar en papeles de trabajo las principales aplicaciones,

volmenes de operacin, objetivos del sistema y de sus aplicaciones, identificando la
entrada, proceso y salida de la informacin por cada aplicacin, teleprocesos, etc.
Pudiendo con ello determinar la informacin que se obtiene y procesa a travs del PED
y su repercusin en los estados financieros.
ESTUDIO GENERAL DEL EQUIPO DE COMPUTO
Descripcin de la unidad central de proceso y de las unidades perifricas, incluyendo

datos tales como capacidad de memoria, sistema operativo, base de datos,
comunicaciones, capacidad en pantalla remotas, modelo, antigedad, etc.
CONCLUSIN
Documentar sta, de tal forma que respalde la decisin del auditor de continuar o no a la
segunda fase.
1.11.2 SEGUNDA FASE AMPLIACIN DEL ESTUDIO DEL CONTROL INTERNO.
La ampliacin del estudio del control interno est enfocada a conocer con ms detalle las
caractersticas de los sistemas y de formarse un juicio sobre la eficiencia de los controles
internos.
56
REVISIN DE LOS ESTUDIOS DE VIABILIDAD
De esta forma se conocer si la seleccin del equipo fue hecha en forma cuidadosa y si
responde a las necesidades particulares de la empresa.
ANLISIS DE LA ORGANIZACIN DEL CENTRO DE CMPUTO
Cercirese de que no exista incompatibilidad de funciones, que se tenga un buen soporte

tcnico, que existan lneas de autoridad definidas, que haya una planeacin a corto y
largo plazo y, en general, se cuenten con polticas definidas y acordes a la importancia
del departamento. Tambin se debe revisar que existan procedimientos, autorizacin de
cambios a los sistemas y fijar los estndares para el desarrollo de los sistemas. En
sistemas pequeos donde no es posible la existencia de todos los controles, deber
determinarse la existencia de controles compensatorios que cubran dicha deficiencia.
ANLISIS DE LOS SISTEMAS
Verificar que el anlisis, diseo, programacin, prueba de datos y mantenimiento de los

sistemas est documentado y de acuerdo a los estndares establecidos, juzgando a su vez
lo apropiado de dichos estndares y del flujo de la informacin.
EXISTENCIA DE MANUALES OPERATIVOS
Comprobar que existan manuales actualizados de operacin del equipo y de los sistemas
en operacin y de que exista una historia de los cambios en los manuales, y sus causas,
etc.
CONTROLES SOBRE BITACORA
Verificar que exista una bitcora del centro de cmputo donde se registren los tiempos
de proceso, cambios de programas, descomposturas, mantenimiento, operadores, etc. Y
que exista supervisin adecuada y oportuna de esta bitcora.
57
CONTINGENCIAS
Cerciorarse de que existe un plan de contingencias que asegure una continuidad

razonable de la informacin.
EXISTENCIA DE PLANES CONTRA FALLAS
Investigar si en caso de fallas se cuenta con un equipo de soporte y procedimientos de

reinicio.
CONTROLES SOBRE PROCESO
Verificar que la informacin procesada est sujeta a controles que aseguren que dicha
informacin es vlida y completa y que no se procesa informacin errnea y duplicada.
Determinar el grado de transformacin de la informacin y asegurar que existan huellas
o pistas que permitan la reconstruccin o seguimiento de la informacin procesada y de
su transformacin. En caso de informacin rechazada, que sta sea analizada, corregida
y evitada para el futuro y, en su caso, vuelva a ser oportunamente procesada. Asimismo,
debe verificarse que toda la informacin procesada este previamente autorizada.
DOCUMENTACIN DE LOS PROGRAMAS
Comprobar que la documentacin que soporta los programas est de acuerdo con los
estndares establecidos, que se encuentra completa y que exista evidencia y autorizacin
de los cambios efectuados.
EXISTENCIA DE MANUALES CON LOS USUARIOS
Verificar la existencia de manuales actualizados para los usuarios.

PROTECCION DE SISTEMAS
Verificar que copias actualizadas de la documentacin de los sistemas estn

debidamente protegidos.
58
PROTECCIN DE LOS ARCHIVOS
Cerciorarse de que existen copias actualizadas de los archivos maestros y de las

transacciones, conservndose por un tiempo razonable en un lugar seguro, tanto en un
edificio distinto al del centro de cmputo, como una copia en el mismo centro.
ELEMENTOS DE SEGURIDAD FSICA
Comprobar la seguridad fsica del centro de cmputo y determinar si el equipo est en

un lugar que asegure la separacin de funciones entre el personal y el acceso restringido
al rea. Que se cuente con extintores, detectores de humo y medidas razonables contra
posibles sabotajes y cobertura adecuada de seguros mediante una evaluacin profesional
de los riesgos a que est sujeto tanto el equipo como la informacin.
AUDITORIA INTERNA
Evaluar el trabajo de auditora interna y revisar sus reportes.

CONTROLES PARA CENTRO DE CMPUTO EXTERNO
Cuando el PED se realice en un centro de cmputo externo, los procedimientos

aplicables son los siguientes:
i.
Revisin del contrato para comprobar que es adecuado a las circunstancias de

la empresa y que se est cumpliendo con las condiciones estipuladas, as como
si existe una revisin peridica del mismo para adecuarlo a las necesidades de
la empresa.
ii.
Recabar informes sobre el soporte tcnico y la solvencia del centro de

cmputo, con el objeto de evaluar la confiabilidad.
iii.
Investigar sobre las alternativas que se ofrecen en caso de que el centro no

pueda procesar la informacin.
iv.
Verificar el flujo de la informacin del y al centro de cmputo y de los

informes obtenidos, as como la actualizacin de los archivos maestros y de
transacciones y de la seguridad de los mismos.
59
v.
Verificar los procedimientos que ha seguido la empresa para asegurarse de la

validez de la informacin.
vi.
Cuando las aplicaciones son de importancia, debe evaluarse la necesidad de

efectuar una revisin directa del auditor en centro de cmputo.
1.11.3 TERCERA FASE - PRUEBAS A LOS CONTROLES PED
Las pruebas a los controles PED estn entonces enfocadas a que el auditor obtenga
evidencia de que los sistemas PED funcionan como los determin en la fase II. Es
importante mencionar que a partir de esta fase es imprescindible que el auditor tenga la
debida especializacin y conocimiento de cmputo electrnico que le permita juzgar
sobre los controles establecidos y efectuar pruebas al computadora.
En caso de apoyarse en otras personas, el auditor deber tener suficientes conocimientos
PED para dirigir, supervisar y revisar el trabajo de sus asistentes o para obtener la
certeza razonable de que el trabajo hecho por expertos externos con conocimientos de
PED, es adecuado en las circunstancias. Mas aun, cuando el PED es parte integrante del
sistema contable y del control interno relativo, el auditor no debe delegar en un experto
en PED su responsabilidad sobre las conclusiones importantes de su trabajo.
ANLISIS DE LOS SISTEMAS
Los procedimientos de auditoria deben enfocarse al conocimiento detallado de los

sistemas que se hayan seleccionado para prueba. Este conocimiento se logr en la fase II
mediante el estudio y evaluacin de los sistemas a travs de los diagramas de flujo de
datos y que describen los controles existentes en la entrada, proceso y salida de la
informacin, as como a travs de entrevistas con los analistas y personal del centro de
cmputo y de sus usuarios.
ANLISIS DE LOS CONTROLES DE APLICACIN ESPECFICOS
Sobre los sistemas seleccionados se verificar que los controles establecidos sean
adecuados a travs de pruebas de seguimiento o de reestructuracin para verificar que
60
funcionan satisfactoriamente. Estos controles se mencionan en la seleccin de controles

de aplicacin o especficos.
DETERMINACIN Y DESARROLLO DE LAS PRUEBAS DE AUDITORIA
El auditor debe seleccionar las pruebas de cumplimiento a efectuar al sistema y, en

algunos casos excepcionales, puede lograrse a travs de pruebas tradicionales; sin
embargo, debido a que la mayora de los controles internos importantes estn dentro de
los sistemas, y stos solamente podrn probarse utilizando ciertas tcnicas que se aplican
usan el mismo computadora.
ANLISIS Y EVALUACIN DE LAS PRUEBAS DE CUMPLIMIENTO
Los resultados de las pruebas de cumplimiento deben ser analizados a fin de evaluar si
estos dieron los resultados esperados y que, por lo tanto, confirman que los controles
funcionan como el auditor los conoci en las fases anteriores. En caso de que existan
deficiencias o desviaciones no esperadas, stas debern ser evaluadas para definir como
su efecto transcendi a la informacin financiera y, en su caso necesariamente ampliar
los procedimientos sustantivos de auditoria hasta llegar a una conclusin, cabe
mencionar que el auditor tambin puede probar el contenido y correccin de los archivos
que mantienen los anlisis de saldos.
1.11.4 TERCERA FASE ALTERNA - PRUEBAS A LOS CONTROLES PED PARA
INCREMENTAR LA EFICIENCIA EN LOS RESULTADOS DE AUDITORIA
Puede darse el caso de que el auditor, aun cuando tuviera la certeza de obtener evidencia
suficiente y competente por otros medios, pudiera decidir llevar a cabo pruebas de
cumplimiento y sustantivas usando el computadora para lograr pruebas de auditora ms
efectivas, extensas, precisas y con un menor esfuerzo de tiempo en el trabajo.
61
CAPITULO II
2.
METODOLOGIA DE LA INVESTIGACION
2.1
OBJETIVOS DE LA INVESTIGACIN
2.1.1.
GENERAL.
Formular, analizar, evaluar y proponer una gua practica que sirva para la Evaluacin
del Control Interno en la Auditoria en Informtica, como servicio profesional a los
niveles ms altos de la empresa privada, para responder con una visin innovadora a las
demandas de servicios que plantean las empresas en la actualidad y que el profesional
de la contadura pblica debe ofertar. As como conocer y diagnosticar mediante la
investigacin de campo sobre el funcionamiento del PED, evaluando el ambiente de
control, para conocer la existencia de medida de control interno y la habilidad de la
gerencia para establecer mecanismo de autoevaluacin y vigilancia.
2.1.2.
ESPECFICOS.
a. Evaluacin de la Seguridad Fsica: conocer si la empresa cuenta con la seguridad

fsica necesaria para el resguardo del equipo de cmputo y su entorno; conocer
los controles existentes sobre la seguridad fsica del hardware, transmisin de
datos, accesos fsicos y seguridad en casos de emergencia.
b. Evaluacin de Controles y Procedimientos: conocer la efectividad y eficacia de
los controles y procedimientos aplicados para el resguardo del software y
hardware; Conocer los controles establecidos sobre el uso de programas y
software, copias de respaldo, adquisicin de paquetes y base de datos.
c. Evaluacin de respaldo y recuperacin: conocer si los tipos de respaldo de la
informacin aplicados por la empresa son efectivos, permitiendo en un momento
determinado la recuperacin de la informacin.
62
d. Evaluacin del sistema de cmputo: conocer si el sistema contable cuenta con las
caractersticas necesarias requeridas por la empresa en el procesamiento de datos
e. Evaluacin de Recursos Humanos: conocer la capacidad y eficiencia del personal
del rea, as como saber las necesidades existentes.
2.2.
DEFINICIN DEL TIPO DE ESTUDIO
La metodologa utilizada fue la del paradigma Hipottico Deductivo, Positivista o

Cuantitativo que permiti obtener respuesta a determinados fenmenos relacionados con
este campo de estudio y es de los paradigmas ms conocidos y utilizado en la comunidad
cientfica.
Este permiti realizar la tcnica de investigacin de manera cuantitativa a partir de datos
estadsticos obtenidos de herramientas de apoyo principalmente de cuestionarios y
entrevistas. El tipo de estudio se realiz combinando el descriptivo y el analtico,
mediante el cual se conoci el problema, se caracteriz y se efectu el anlisis de sus
principales aspectos.
2.2.1. UNIDADES DE ANLISIS
Las unidades de anlisis tomadas en cuenta para desarrollar la investigacin, estn

conformadas por los pequeos y medianos despachos de auditora y consultora
constituidos legalmente como sociedades, de acuerdo a informacin obtenida en el
Consejo de Vigilancia de la Contadura Pblica y Auditora de El Salvador
2.3.
POBLACIN Y MUESTRA
2.3.1.
POBLACIN
Segn datos proporcionados por el Consejo de Vigilancia de la Contadura Pblica y

Auditora de El Salvador, el total de despachos de auditora constituidos legalmente
como sociedades ascendan a 97, estratificados de la manera siguiente:
63
Compaas
35
Y Asociados
39
Sociedades Annimas
Sociedad Colectiva Mercantil
22
97
Del total de despachos se estima que 10 de ellos se clasifican como grandes y 87 entre
pequeos y medianos.
2.3.2.
MUESTRA
La muestra poblacional examinada fue de 29 despachos de Auditora y Consultora,

obtenida por medio de la frmula siguiente:
Z. P. Q. N.
M =
(N-1)E + Z.P.Q.
En la cual:
M = Muestra a obtenerse al sustituir valores y efectuar las operaciones respectivas
Z =
Valor crtico que corresponde a un coeficiente de confianza del 90%, donde Z

es 1.64, de acuerdo al rea bajo la curva normal
P =
Q =
Proporcin Poblacional que ofrece servicios de Auditoria en Informtica (20%)

Proporcin Poblacional que no ofrece Servicios de Auditoria en Informtica
( 80 %)
N =
Total de pequeos y medianos despachos de auditora 87
E =
Error muestral (10%)
Sustituyendo Valores en frmula:

(1.64) (0.20) (0.80) (87)
M =
(87-1)(0.10)+(1.64)(0.20)(0.80)
Desarrollando el resultado, se obtiene:
M = 29
64
De los enfoques bsicos de muestreo estadstico, se utiliz el de muestreo por atributos

debido a la caracterizacin del fenmeno estudiado. Adems, la tcnica de seleccin de
muestras condujo a utilizar el de muestreo aleatorio que permiti seleccionar cada uno
de los despachos encuestados.
2.4.
MTODOS E INSTRUMENTOS PARA RECOLECCIN DE DATOS.
2.4.1.
INVESTIGACIN BIBLIOGRFICA
La tcnica documental: sirvi para conocer los aspectos generales y especficos del
tema, basados en los conocimientos y experiencias relacionadas a la Auditoria en
Informtica; los datos recolectados a travs de esta tcnica son el punto inicial de la
investigacin y es determinante para completar el trabajo de campo.
Lectura o investigacin documental de libros, revistas, tesis, sntesis de seminarios,
diccionarios y literatura que tenga relacin con los diferentes tipos de Herramientas
relacionadas con la Evaluacin del Control Interno, especialmente aquellos que se
refieran a la evaluacin del riesgo y control en la Auditoria en informtica y sistemas de
informacin.
Sobre la base de esta fuente de informacin se pudo ampliar los conocimientos,
conceptos y otros aspectos que tienen relacin con el tema a desarrollar, a fin de
concretizar resultados positivos.
2.4.2.
INVESTIGACIN DE CAMPO
La investigacin bibliogrfica se complement con la investigacin de campo, para

determinar la aplicacin de la Auditoria en Informtica en la empresa privada, la
investigacin se efectu por medio de un cuestionario para los gerentes de servicio de
los despachos de auditora y consultora sujetas de estudio. Se utiliz el mtodo de
investigacin participativa con el objeto de que se complementen las relaciones entre
investigadores e investigados proporcionndose un apoyo mutuo.
65
Para lograr el objetivo que se ha trazado fue necesario obtener informacin a travs de
consultas, encuestas y entrevistas estructuradas, dirigidas a personal de direccin y de
asesora, a efecto de visualizar mejor la realidad en el Proceso de la Auditoria en
Informtica, especialmente en la etapa de evaluacin del control interno, sus
componentes y el riesgo de auditoria.
2.5.
TABULACION DE DATOS
La informacin obtenida de cada cuestionario, se tabul agrupando la cantidad de

respuestas por cada pregunta tanto en el caso de las respuestas cerradas como de las
abiertas, obteniendo de esa manera las frecuencias en trminos absolutos y luego
convirtindolas en trminos relativos (porcentajes), posteriormente se elabor un cuadro
para cada una de ellas.
2.5.1.
INTERPRETACIN DE LOS RESULTADOS
Una vez tabuladas las respuestas en sus cuadros correspondientes, se desarrolla la

interpretacin de las frecuencias absolutas y relativas establecidas por cada pregunta,
considerando adicionalmente los comentarios expresados por los socios o representantes
de los despachos de auditoria y consultora, sobre los cuales se llev a cabo la
investigacin.
2.6.
RESULTADOS DE LA INVESTIGACION
2.6.1.
ANALISIS E INTERPRETACION DE LA INVESTIGACION DE CAMPO
De una poblacin total de 87 pequeos y medianos despachos que funcionan como

sociedades legalizadas, la muestra poblacional estimada fue de 29 unidades (M=29);
Considerando que la cantidad de preguntas incluidas en el cuestionario no era extensa, la
clasificacin y la tabulacin de datos se efectu en forma manual.
A continuacin se presenta cada uno de los cuadros con sus preguntas, anlisis e
interpretacin respectivos:
66
PREGUNTA N 1
Objetivo de la pregunta:
Conocer el grado de experiencia que por antigedad, podran tener los despachos
Cuntos aos tiene de operar su despacho?
Perodo de funcionamiento de los pequeos y medianos
despachos de auditora en El Salvador
CATEGORA
a) De
b) De
c) De
TOTAL
0
3
5
A
A
A
3 aos
5 aos
ms aos
FRECUENCIA
ABSOLUTA
RELATIVA
4
7
18
29
14 %
24 %
62 %
100 %
Anlisis de los resultados:
Como puede observarse, los resultados obtenidos demuestran que del total de pequeos
y medianos despachos encuestados, 18 de ellos equivalentes al 62% del total poseen
experiencia considerable en la prestacin de servicios ya que tienen 5 ms aos de
permanecer en el mercado de la profesin, aunque ello no signifique que hayan
alcanzado un desarrollo sustantivo. En porcentaje menor, 4 unidades equivalentes al
14% contestaron tener entre 0 a 5 aos de permanecer en el mercado.
PREGUNTA N 2
Estratificar y Dimensionar el tamao de los despachos de auditoria y consultora

existentes.
Segn su criterio Cmo considera el tamao de su despacho?
Tamao del despacho de auditora
CATEGORIA
a) Pequeo
b) Mediano
c) Grande
TOTAL
FRECUENCIA
ABSOLUTA
RELATIVA
22
7
0
29
76 %
24 %
0 %
100 %
67
Segn el cuadro anterior, los resultados obtenidos indican que del total de 29 despachos
de auditora y Consultora encuestados 22 de ellos equivalentes al 76 %, se definieron
como pequeos y 7 de ellos equivalentes al 24 %, como medianos.
Lo anterior evidencia la importancia de apoyar con investigacin acadmica de esta
naturaleza, ya que herramientas tcnicas para la Evaluacin del Control Interno en la
Auditoria en Informtica les dara la posibilidad de mejorar la calidad y prestacin de
sus servicios logrando el crecimiento y desarrollo de sus unidades.
PREGUNTA N 3
Estratificar y dimensionar el tamao de los despachos de auditora y Consultora a travs

del nmero de empleados.
A cunto asciende el total de empleados de su despacho?
Nmero de empleados que conforman el despacho
CATEGORIA
a) Entre 2 Y 10 Empleados
b) Entre 11 Y 20 Empleados
c) Mas de 20 Empleados
TOTAL
FRECUENCIA
ABSOLUTA
RELATIVA
21
8
0
29
72 %
28 %
0 %
100 %
En cuanto al nmero de los empleados de los pequeos y medianos despachos de

auditora, el cuadro demuestra que el 72 % de las unidades encuestadas(21 de 29)
poseen, un mximo de 10 empleados, el 28 % (8 de 29), entre 11 y 20 empleados.
Lo anterior evidencia la necesidad de que este tipo de unidades optimicen el uso del
personal a travs de la eficiencia y eficacia para cumplir con programas de trabajo
68
establecidos y satisfacer las demanda de servicios especficos solicitados por sus

clientes.
PREGUNTA N 4
Conocer la composicin y el tamao de la cartera de clientes de los despachos de

auditora y consultora.
En trminos porcentuales, Cmo est estratificada su cartera de clientes?
Estratificacin de la cartera de clientes
CATEGORIA
a) Clientes pequeos
b) Clientes medianos
c) Clientes grandes
TOTAL
FRECUENCIA
RELATIVA
ABSOLUTA
16
9
4
29
55 %
31 %
14 %
100 %
En cuanto a la conformacin de la cartera de clientes para los pequeos y medianos

despachos se determin calculando un porcentaje promedio de cada una de las
categoras, indicando que del total de los despachos un promedio de 16 mantiene el 55
% de clientes pequeos, asimismo 9 despachos en promedio mantienen el 31% de
clientes medianos, la muestra se completa con 4 despachos en promedio que mantienen
el 14 % de clientes grandes.
En sondeos para profundizar sobre estos resultados, se obtuvo que en la captacin del
14% de clientes grandes, hay una tendencia a distribuirse equitativamente este
porcentaje entre pequeos y medianos; es decir, la captacin de clientes grandes no esta
nicamente en funcin del tamao del despacho sino en la calidad del trabajo y la
habilidad para incursionar en el sector de la gran empresa.
69
PREGUNTA N 5
Estratificar la cartera de clientes de acuerdo al sector econmico a que pertenecen

De acuerdo con la actividad econmica, en trminos porcentuales, Cmo clasifica
su cartera de clientes?
Estratificacin de cartera de clientes segn actividad econmica
CATEGORIA
a)
b)
c)
d)
e)
Banca
Comercio
Industria
Agropecuaria
Otros
TOTAL
FRECUENCIA
ABSOLUTA
RELATIVA
0
13
6
2
8
29
0 %
45 %
21 %
7 %
27 %
100 %
Con relacin a la clasificacin de la cartera de clientes segn su actividad econmica, se

observa que existen tres sectores principales que demandan servicio de pequeos y
medianos despachos de auditora y consultora, siendo el primero el sector comercio que
representa en promedio el 45% lo cual indica que la experiencia que se posee sobre este
sector es muy significativa; el segundo lugar lo ocupa la categora de otros que incluye
servicios, a ONGS entre otros, que alcanza un promedio del 27 %, los clientes del
sector industria ocupan el tercer lugar con un promedio del 21%.
Adems, los datos reflejan que la relacin con actividades como la banca y
agropecuarias es mnima; por lo que se hace importante brindar el apoyo adecuado a las
unidades en estudio para mejorar su incidencia en estas ramas del mercado de la
profesin. Proporcionarles instrumentos de apoyo tcnico (como el presente), contribuir
con ese propsito.
70
PREGUNTA N 6
Conocer la diversificacin de servicios y localizar cuales son los principalmente

demandados.
Dentro de los servicios que oferta su despacho Cules poseen mayor demanda?
Principales servicios demandados
CATEGORIA
a) Auditora Financiera
b) Auditoria Tributaria
c) Servicios de Contabilidad
d) Auditoria en Informtica
TOTAL
FRECUENCIA
ABSOLUTA
RELATIVA
12
7
8
2
29
41 %
24 %
28 %
7%
100 %
En lo que se refiere a los principales servicios que los clientes demandan de los
pequeos y medianos despachos de auditora y consultora, se obtuvo que los ms
significativos son Auditara Financiera con 41% en promedio, servicios contables con
28% en promedio y el rea de impuestos con 24% en promedio, constituyndose estos
tres servicios en los ms importantes, ya que suman el 93% del total y significan los ejes
principales del quehacer de estas unidades de servicios. Muy distantes de los servicios
anteriores se coloca la Auditoria en Informtica con el 7% en promedio del total.
Los resultados son normales respecto a los servicios tradicionales que brindan los
pequeos y medianos despachos de auditora, sin embargo, es necesario incorporar otros
servicios que estn acordes a las exigencias de la poca entre los que destaca la
Auditoria en Informtica.
71
PREGUNTA N 7
Conocer las alternativas existentes que los despachos consideran ante los cambios en la
demanda de servicios, especialmente cuando se refiere a la Auditoria en informtica.
Ante los cambios en la demanda de servicios de la poca, Cul es la alternativa
de competitividad que su Despacho considera ms viable para diversificar sus
servicios?
Alternativas de competitividad para despachos de auditora y consultora
FRECUENCIA
CATEGORIAS
ABSOLUTA
RELATIVA
6
4
0
19
0
29
21 %
14 %
0 %
65 %
0 %
100 %
a) Efectuar alianzas estratgicas con otros

despachos
b) Contratacin de especialistas
c) Apalancamiento financiero
d) Capacitacin permanente al personal tcnico
e) otros
TOTALES
Respecto a la alternativa que los pequeos y medianos despachos encuestados,

consideran ms viable para ser competitivas en la diversificacin de los servicios, 19
unidades equivalentes al 65% del total respondieron que la alternativa es la capacitacin
permanente al personal tcnico, pues contaran con un recurso humano cualificado que
respondera a las necesidades de las respectivas unidades. En cuanto a otras opciones, 6
unidades equivalentes al 21% del total consideran que el desarrollo de alianzas
estratgicas les permitir ser competitivos, especialmente frente a los grandes despachos
de auditora; En tercer lugar 4 unidades equivalentes al 14% consideran que la
alternativa ms viable seria la contratacin de especialistas.
En sntesis, la mayora de los despachos encuestados (86% del total), consideran que con
la capacitacin permanente y las alianzas estratgicas sus unidades de servicio se
72
fortaleceran y se evitara drenar recursos a travs de la subcontratacin de otros

servicios a travs de especialistas.
PREGUNTA N 8
Conocer la cuanta de los despachos y en que medida desarrollan este tipo de auditoria.
Ha Trabajado su despacho en el rea de Auditoria en Informtica?
Desarrollo de Auditoria en Informtica
CATEGORIA
a) S
b) No
TOTALES
FRECUENCIA
ABSOLUTA
RELATIVA
6
23
29
21 %
79 %
100 %
En cuanto al desarrollo de la Auditoria en Informtica, por parte de los pequeos y

medianos despachos un total de 23 unidades equivalente al 79% del total respondi que
no la desarrollan y nicamente 6 unidades equivalentes al 21% del total contestaron
afirmativamente. En preguntas exploratorias con quienes desarrollan este tipo de
Auditoria, acerca de como han adquirido esos conocimientos, afirmaron haberlos
obtenido al involucrarse en los distintos eventos nacionales y regionales de la profesin
que se desarrollan y que les ha permitido mantener una actualizacin de conocimientos
para ofertar este tipo de servicios, adems de estar incorporados a Asociaciones
Profesionales de Contadores Pblicos.
PREGUNTA N 9
Indagar sobre las razones por la que no es desarrollada la Auditoria en Informtica por
algunos despachos, as como indagar el grado de conocimientos de la misma.
Si su respuesta a la pregunta anterior es No, Porqu no la desarrolla?
73
Causas para no desarrollar la Auditara en Informtica

FRECUENCIA
CATEGORIA
ABSOLUTA
RELATIVA
a) Conocimientos insuficientes sobre

Auditoria en Informtica.
b) No posee los recursos necesarios
c) Otros
TOTALES
12
9
2
23
52 %
39 %
9 %
100 %
Segn el cuadro, del total de encuestados, 23 contestaron que no desarrollan la Auditoria

en Informtica, al profundizar sobre tal situacin, el cuadro anterior demuestra las
causas porqu no desarrollan este tipo de Auditoria; 12 unidades equivalentes al 52% del
total afirmaron no desarrollarla debido a la falta de solidez sobre los conocimientos
sobre la Auditoria en Informtica, 9 unidades equivalentes al 39% respondieron no
poseer los recursos necesarios para su desarrollo y 2 unidades equivalentes al 9%
contestaron que no la desarrollaban por otros motivos.
De los resultados obtenidos, se evidencia la necesidad de dar a conocer las ventajas que
los pequeos y medianos despachos pueden obtener al desarrollar la Auditoria en
Informtica, asociado a poseer el conocimiento en la materia y el recurso humano
necesarios para su implementacin.
PREGUNTA N 10
Conocer si la estructura organizativa de los despachos, considera la unidad de Auditoria

en Informtica.
En su firma de consultora, existe una unidad especializada en materia de
Auditoria en Informtica?
74
Unidad de Auditoria en Informtica

CATEGORIA
FRECUENCIA
ABSOLUTA
RELATIVA
a) Si
b) No
TOTAL
2
27
29
7%
93 %
100 %
Un 93% de los despachos que prestan el servicio de Auditoria en Informtica no

contempla en su estructura organizativa el servicio en el rea de Informtica. Es evidente
la necesidad de contar con la unidad de Informtica y la integracin de personal
especializado.
PREGUNTA N 11
Conocer el tipo de metodologa que se desarrolla en los despachos de auditoria respecto

a la Auditoria en Informtica.
En el proceso de la Auditoria en Informtica, A cual de las siguientes etapas se
les da ms importancia: Planificacin de la Auditoria, Evaluacin del Control
Interno, Diagnstico, y presentacin del Informe Final sobre los resultados de los
estudios que desarrolla su firma sobre Asesora y Auditoria?
Enfoque del proceso del desarrollo de la Auditoria en Informtica
CATEGORIA
a)
b)
c)
d)
Planificacin de la Auditoria
Evaluacin Tcnica del Control Interno
Diagnostico
Informe Final
TOTALES
FRECUENCIA
ABSOLUTA
RELATIVA
3
10
1
15
29
11 %
34 %
3%
52 %
100 %
De los 29 despachos encuestados, 15 respondieron que el elemento de mayor

importancia es el informe final sobre el estudio realizado, conformando un 52%; en
75
segundo lugar con el 34%, la etapa ms importante del desarrollo de la Auditara en

Informtica es la Evaluacin del Control Interno con un total de 10 despachos; a la etapa
de planificacin casi no se le da importancia ya que el 3% la menciona como la ms
importante; el diagnstico se puede decir que segn lo manifestado por los despachos
entrevistados no forma parte de la metodologa utilizada en la Auditoria en Informtica.
PREGUNTA N 12
Conocer el enfoque de la Evaluacin del Control Interno en la Auditoria en Informtica.

De acuerdo con las respuestas obtenidas en el cuadro anterior En el desarrollo de
la Auditoria en Informtica Cmo desarrolla la Evaluacin del Control Interno en
la Auditoria en Informtica?
Enfoque metodolgico para la Evaluacin del Control Interno
FRECUENCIA
CATEGORIA
ABSOLUTA
RELATIVA
a) Evaluacin de la Direccin de Informtica

b) Evaluacin de los Sistemas
c) Evaluacin de los Equipos
d) Evaluacin del Software
TOTALES
3
5
12
9
29
10 %
17 %
42 %
31 %
100 %
Al analizar el cuadro, demuestra que del total de despachos encuestados, 12 pequeos y

medianos despachos contestaron que desarrollan la evaluacin del Control Interno a
travs de los equipos de computo, 9 unidades que conforman el 31% contestaron que lo
hacen a travs del Software; es poca la importancia que se da a los Sistemas, para la
evaluacin del control interno, por otra parte, poco se evala la direccin del
departamento de informtica.
76
PREGUNTA N 13
Evaluar las fases de importancia en la ejecucin de la Auditoria en Informtica.

En la ejecucin de la auditora en informtica se desarrollan las siguientes fases?
Ejecucin de la Auditoria en Informtica
FRECUENCIA
CATEGORIA
a) Estudio preliminar de las operaciones PED,

para la obtencin de informacin financiera.
b) Estudio del Control Interno.
c) Estudio de las transformaciones importantes
en la informacin.
d) Evaluacin del riesgo
e) Prueba de controles PED
TOTALES
ABSOLUTA
RELATIVA
3
7
10 %
24 %
4
5
10
29
14 %
17 %
35 %
100 %
Es notorio que la ejecucin de la Auditoria en Informtica los despachos la basan en las

pruebas de controles al procesamiento electrnico de datos y el estudio del control
interno, ya que un total de 35% y 24% respectivamente contestaron dar mayor nfasis a
estas etapas; en segundo lugar la evaluacin del riesgo y el estudio de las
transformaciones importantes en la informacin conformando un total de un 31%;
nicamente el 10% realiza un estudio preliminar de las operaciones PED para la
obtencin de informacin financiera.
PREGUNTA N 14
Obtener informacin de cmo se evala la direccin de informtica

La evaluacin de la direccin de informtica consta de los elementos siguientes:
organizacin, estructura, recurso humano, normas y polticas, capacitacin, planes
de trabajo, controles y estndares?
77
Evaluacin de la direccin de Informtica

FRECUENCIA
CATEGORIA
ABSOLUTA
RELATIVA
1
4
0
8
3
1
10
2
29
3%
14 %
0%
28 %
10 %
3%
35 %
7%
100 %
a) Organizacin
b) Estructura
c) Recurso Humano
d) Normas y polticas
e) Capacitacin
f) Planes de Trabajo
g) Controles
h) Estndares
TOTALES
La evaluacin de la direccin en la Auditoria en Informtica los despachos la basan en la

evaluacin de los controles, tomando en consideracin las normas y polticas de la
institucin; en segundo lugar la capacitacin del personal y la estructura del
departamento de informtica; es de poca importancia la evaluacin de as como la
organizacin y la evaluacin de los estndares operacionales.
PREGUNTA N 15
Obtener informacin de cmo se evalan los Sistemas

La evaluacin de los Sistemas consta de los elementos siguientes: ?
Evaluacin del Los Sistemas
FRECUENCIA
CATEGORIA
ABSOLUTA
RELATIVA
a) Opinin de los Usuarios

b) Evaluacin de Avance de los Sistemas en Desarrollo
y Congruencia con el Diseo General
c) Evaluacin de prioridades y recursos asignados
d) Seguridad Fsica y Lgica de los Sistemas, su
Confidencialidad y Respaldo
TOTALES
17 %
3
9
10 %
31 %
12
29
42 %
100 %
78
La evaluacin de los sistemas se efecta bsicamente a la seguridad fsica y lgica de los

sistemas, su confiabilidad y respaldo; en segundo lugar se evalan las prioridades y
recursos asignados, cuenta poco la opinin de los usuarios y la evaluacin del avance de
los sistemas en desarrollo es casi nula.
PREGUNTA N 16
Obtener informacin de cmo se evalan los Equipos

La evaluacin de los Equipos consta de los elementos siguientes?
Evaluacin del Los Equipos
FRECUENCIA
CATEGORIA
ABSOLUTA
RELATIVA
6
11
0
2
7
3
0
29
21 %
38 %
0%
7%
24%
10 %
0%
100 %
a) Capacidades
b) Utilizacin
c) Nuevos Proyectos
d) Seguridad Fsica y Lgica
e) Respaldo de equipos
f) Seguros
g) Contratos
TOTALES
Principalmente para evaluar los equipos, el elemento ms importante es la Utilizacin de

los Equipos y el Respaldo que estos tienen; en segundo lugar se evala las Capacidades
y la Seguridad Fsica y Lgica; los Nuevos Proyectos y los Contratos no son evaluados.
PREGUNTA N 17
Indagar sobre el sistema de comunicacin de los resultados

Se elaboran informes que contengan conclusiones y recomendaciones por cada
uno de los estudios y evaluaciones realizados?
79
Comunicacin de Resultados
FRECUENCIA
CATEGORIA
a) Diagnstico
b) Informes Intermedios e Informe Final
c) Solamente Informe Final
d) Las tres formas de comunicacin
TOTALES
ABSOLUTA
RELATIVA
0
5
9
15
29
0%
17 %
31 %
52 %
100 %
De los despachos encuestados el 52%, presentan informe inicial, informes intermedios e

informe final; un 31% presenta nicamente informe final, en el trabajo de auditoria en
informtica no se formula un diagnstico previo a los informes.
PREGUNTA N 18
Indagar sobre las bases tcnicas utilizadas por los despachos para soportar la
planificacin de la consultora de Inversin.
1. Cul es el soporte tcnico en que basa la planificacin de la Consultora de
Inversin?
Base Tcnica para la evaluacin del Control Interno
FRECUENCIA
CATEGORIA
ABSOLUTA
RELATIVA
Entrevistas con el Personal Involucrado

Cuestionarios de Control Interno
Narrativas de Procedimientos
Flujogramacin
de
los
procedimientos
operativos
e) Grficos
TOTALES
10
16
2
35 %
55 %
7%
0
1
29
0%
3%
100 %
a)
b)
c)
d)
80
Un 55% de los despachos utiliza como base tcnica la formulacin de cuestionarios de

control interno para recopilar y evaluar la informacin, esto se hace a travs de
entrevistas con el personal involucrado; algunas veces es utilizada la tcnica de
narrativas y grficos, no se utiliza la tcnica de flujogramacin como base tcnica de la
evaluacin del control interno.
PREGUNTA N 19
Conocer la existencia de polticas de capacitacin el personal

En que reas capacita a su personal tcnico?
CATEGORIA
a) rea de Seguridad Fsica de los Sistemas

Informticos, Respaldo y Recuperacin
b) Desempeo del Recurso Humano del rea de
Sistemas de Informacin
c) Sistemas de Computo, Produccin y
Confidencialidad de los Datos
d) rea Organizacional del Servicio Informtico
TOTAL
FRECUENCIA
ABSOLUTA
RELATIVA
10
35 %
10 %
14
2
29
48 %
7%
100 %
Las reas de mayor capacitacin la constituyen los sistemas de computo, produccin y la

confidencialidad de los datos; la seguridad fsica de los sistemas informticos, respaldo y
recuperacin. El rea organizacional y el desempeo del recurso humano de informtica
no es objeto de una capacitacin integral.
PREGUNTA N 20
Conocer el grado de aplicacin de procedimientos especficos para el desarrollo de la

Consultora.
81
Ud. como Auditor en Informtica
ha aplicado alguna vez alguna clase de
procedimientos tcnicos que respalden la Evaluacin del Control Interno del

auditor?
FRECUENCIA
ABSOLUTA
RELATIVA
CATEGORIA
a) Procedimientos Tcnicas de Evaluacin

b) Procedimientos Empricos de Evaluacin
c) Procedimientos Generales de Auditoria
TOTAL
9
7
13
29
31 %
24 %
45 %
100 %
De los despachos de auditoria entrevistados un 45% contest que los procedimientos

utilizados para la evaluacin de control interno son los tradicionales o generales, un 31%
utiliza tcnicas especficas para evaluacin del control interno de auditora en
informtica; existe un 24% de los despachos que la evaluacin del control interno la
realiza empricamente, es decir, de acuerdo con al experiencia adquirida en el desarrollo
de su trabajo.
PREGUNTA N 21
Considera usted que la elaboracin de una gua para la Evaluacin de la

Estructura del Control Interno para Auditoria en Informtica, sera de mucho
beneficio para los despachos de auditoria y asesora interesados en prestar este
servicio?
Importancia de un documento para Evaluar el Control Interno en Informtica
CATEGORIA
a) S
b) No
TOTAL
FRECUENCIA
ABSOLUTA
RELATIVA
27
2
29
93 %
7 %
100 %
En cuanto a la utilidad del trabajo que se desarrolla dando a conocer lineamentos sobre
la Evaluacin del Control Interno en la Auditoria en Informtica; del total de
82
encuestados, 27 unidades equivalentes al 93% del total contest que s les sera de
utilidad a su despacho un documento de esta naturaleza, ya que contaran con una
herramienta valiosa para la evaluacin del control interno para este tipo de auditora,
reduciendo sus costos. Por otra parte, 2 unidades equivalentes al 7% del total
respondieron que no seria de gran utilidad.
Con lo anterior se destaca la importancia del trabajo para los pequeos y medianos
despachos de auditora, en la bsqueda de opciones de competitividad.
2.7.
DIAGNSTICO
Basndose en los resultados obtenidos de las preguntas relacionadas, se ha establecido

que la mayora de los despachos encuestados tienen ms de cinco aos de estar en el
medio, lo cual indica que poseen cierta experiencia para seguir operando en el mercado
de la profesin contable, asimismo se visualiza que del total de los despachos,
prevalecen los pequeos, que poseen de dos a diez empleados; ante esto es importante
que los pequeos y medianos despachos deben aplicar medidas, en lo tcnico y en sus
estructuras organizativas para mejorar sus servicios al cliente que normalmente son
servicios tradicionales como auditora, contabilidad e impuestos y tambin deben
considerar el ofertar nuevos servicios como la Auditora Integral.
2.7.1. Aplicacin de polticas de capacitacin para el personal tcnico
Se observa, que la mayora de los despachos encuestados respondi que s poseen como
poltica la capacitacin y promocin para su personal tcnico, pues consideran que es
una opcin positiva que les permite satisfacer las demandas del cliente y actualizar sus
conocimientos. En cuanto a las reas en que se capacita al personal, la frecuencia con
mayor respuesta fue el rea del Impuestos, pero con la aclaracin de que las reas de
auditora y contabilidad, tambin ocupa un lugar privilegiado, evidencindose la falta de
capacitacin en reas innovadoras como la Consultora de Inversiones; sin embargo, con
ello, los pequeos y medianos despachos de auditora pretenden satisfacer
adecuadamente a su cartera de clientes y mantenerse en el mercado de la profesin.
83
2.7.2. Aplicacin de Consultora de Inversiones.

Los pequeos y medianos despachos de Auditora y Consultora encuestados, consideran
que la consultora de inversiones les generaran mejores beneficios econmicos en la
demanda de sus servicios. En sntesis hay una evidente mayora que considera que el
servicio de Consultora de inversin sera muy provechosa para su despacho, y los que
respondieron negativamente basaron su respuestas en el desconocimiento de este tipo de
Consultora.
La mayora de los despachos encuestados contestaron que no desarrollan la Consultora
de Inversin, el resto afirm que no la aplica por desconocimiento de este tipo de
Servicio. Lo anterior demuestra, que a pesar de que el mayor porcentaje de pequeos y
medianos despachos encuestados no desarrollan la Consultora de Inversin, s
consideran que aplicarla sera favorable a sus respectivas despachos.
2.7.3. Enfoque de la Planificacin de la Consultora de Inversin y Soporte
Tcnico Aplicado por los Pequeos y Medianos Despachos.
Este tipo de Consultora se desarrolla realizando visitas de campo exploratorias y con
esa informacin elaboran los programas para cada rea especfica que constituye la
Consultora.
En sntesis, los pequeos y medianos despachos que desarrollan la Consultora de
Inversin la realizan, con alcance a las reas estratgicas de las empresas como
Finanzas, Administracin, y otros aspectos considerados importantes; el soporte tcnico
son las normativas internacionales generalmente aceptadas debido a que la Consultora
de Inversin no posee, a la fecha actual, su propio marco normativo de general
aceptacin, nicamente se limita a enumerar Normas de Auditora Generalmente
Aceptadas basadas en principios ticos1.
IV CONVENCION NACIONAL DE CONTADORES, Cdigo de Etica Profesional, (Propuesta), El

Salvador, 1996, pg. 6.
84
2.7.4. Beneficios a obtener al ofertar servicios de Consultora de Inversin

El resultado obtenido evidencia que los pequeos y medianos despachos de auditora
urgen de herramientas que les permitan alcanzar niveles de crecimiento y desarrollarse
en un ambiente cada vez ms competitivo.
Los despachos encuestados, consideran que con la aplicacin de la Consultora de
Inversiones; obtendran mejores resultados tanto econmico como incremento en su
cartera de clientes, argumentando que la limitante que percibe es que el cliente lo ve en
funcin del costo en honorarios y no por los beneficios que obtendra su ente para el
mediano y largo plazo, ven positivamente que un documento conteniendo lineamientos
sobre el desarrollo de proceso de la Consultora, les sera til a los pequeos y medianos
despachos de auditora para afrontar los cambios de la poca.
Este tipo de despachos, si realizan los ajustes necesarios a travs de una capacitacin
permanente a su personal tcnico, pueden permitirles afrontar de mejor manera el
proceso de globalizacin y ser competitivos.
2.8.
Diagnstico sobre el desarrollo de la Consultora de Inversin por los

pequeos y medianos despachos de auditora y consultora.
2.8.1. Ventajas
El porcentaje mayor de las unidades encuestadas poseen experiencia en el campo de la
profesin contable, especialmente dedicados a reas tradicionales como Impuestos,
Auditora y Contabilidad.
Las empresas a quienes proporcionan sus servicios son variadas, tanto en tamao como
en actividad econmica;
En las unidades encuestadas, hay un consenso generalizado en cuanto a cualificar
permanentemente al recurso humano que poseen, a travs de capacitarlo y
promocionarlo adecuadamente; esto es importante debido a que los pequeos y
medianos despachos tienen que optimizar el uso del recurso humano limitado que
85
poseen, debido a que es uno de los elementos bsicos con que cuentan estas unidades de
servicio en la bsqueda de competitividad.
2.8.2. Limitaciones
Los pequeos y medianos despachos de auditora, debido a su dispersin, no poseen la
estructura organizativa adecuada para afrontar a los grandes despachos de auditora que
en alianzas con firmas internacionales, acaparan los mayores segmentos del mercado de
la profesin.
La experiencia acumulada en el medio (5 aos o ms), no ha bastado para alcanzar
niveles de crecimiento significativo, manteniendo igual el tamao de sus despachos, en
la mayora de los casos se mantienen como pequeos.
El mayor nmero de unidades no posee los conocimientos actualizados que les permita
la aplicacin de la Consultora de Inversin; que representa opcin real para la
generacin de mayor valor agregado e insercin al proceso de cambios que viven las
economas.
Urge el desarrollo de herramientas de apoyo para el sector de pequeos y medianos
despachos de auditora y consultora, debido a que es un sector vulnerable de ser
afectado por los cambios que se dan en el mbito internacional y que repercuten en el
mbito nacional.
La oferta de servicios de consultora de inversin para los pequeos y medianos
despachos, que comprende el presente trabajo, se constituye en parte fundamental de las
opciones que estas unidades de servicio necesitan para lograr un mayor desarrollo y
competitividad.
85
CAPITULO III
3.
GUA PRCTICA PARA LA EVALUACIN DEL CONTROL INTERNO

EN LA AUDITORA EN INFORMTICA.
El desarrollo tecnolgico que ha experimentado la sociedad salvadorea en los ltimos

aos en las operaciones empresariales con la implementacin de nuevos sistemas de
informacin a travs del procesamiento electrnico de datos, obligan al Contador
Pblico Acadmico a analizar la importancia de Estados financieros y su relacin con la
Auditoria de Sistemas.
La auditoria de sistemas, comprende evaluacin y resultados de control interno de los
sistemas de informacin de las reas crticas, controles detectivos, controles preventivos,
riesgos y tcnicas para la evaluacin de las diferentes reas de aplicacin en que se
dividen los sistemas de informacin en los centros de cmputo.
3.1
TERMINOS DE CONTRATACIN
Hemos sido contratados por la Junta General de Accionistas para llevar a cabo la
auditora en informtica de la empresa DRUPY S.A. de C.V. Para verificar la lgica del
sistema, as como tambin la efectividad del funcionamiento del mismo:
Contenido de los informes:
A continuacin se detallan los requerimientos de mayor relevancia:
a. Informar a la Junta General de Accionistas sobre la contabilidad y la seguridad del
sistema a auditar el cual deber estar de acuerdo a Normas de Auditoria
Generalmente Aceptadas y Normas de Internacionales de Auditoria de Sistemas
Informticos.
86
b. Emitir Carta a la Gerencia de las Observaciones y Recomendaciones: se presentar

de los resultados obtenidos durante la evaluacin del control interno, en el cual se
informar acerca de los hallazgos encontrados en dicha evaluacin, el cual contendr
4 Descripcin del hallazgo encontrado
4 Efectos que produce dicho hallazgo
4 Conclusiones y recomendaciones
ANTECEDENTES Y GENERALIDADES DE LA EMPRESA
VISIN
Una industria de textiles en el mercado con bajos precios, buen servicio y sobre todo
buena calidad.
MISION
Una empresa que fabrica textil para satisfacer las necesidades de sus clientes a los cuales
brindan calidad.
HISTORIA
La sociedad comienza sus operaciones en la Repblica de El Salvador y su plazo inicial

para operar fue de diez aos, siendo inscrita su constitucin el 27 de noviembre de 1995,
segn escritura pblica celebrada el 01 de octubre de 1995 ante los oficios del Dr. Luis
Martnez Castro.
NATURALEZA JURIDICA
La industria DRUPY S.A. de C.V. est constituida de acuerdo a las leyes mercantiles de
la Repblica de El Salvador, organizada como una sociedad annima de capital variable.
La responsabilidad de los accionistas est reconocida como limitada a la cuanta del
Capital Social con relacin a terceros.
87
FINALIDAD
La finalidad de la sociedad es la realizacin de actividades industriales con especialidad

en textiles basndose en fibras artificiales y sintticas, incluyendo la confeccin, la
compra de materia prima y dems bienes y servicios que las necesidades requieran; as
como la distribucin y la venta de los productos producidos.
CAPITAL SOCIAL
El Capital Social de la sociedad est formado por 1700 acciones de valor nominal de
100.00 c/u, siendo su composicin la siguiente:
ACCIONISTA
NUMERO DE
ACCIONES
CAPITAL SOCIAL
Marina Castaneda
800
80.000.00
Idalia Huezo
350
35.000.00
Carlos Orellana
150
15.000.00
Jaqueline Guardado
400
40.000.00
TOTAL
1700
170.000.00
SISTEMA DE CONTABILIDAD
Nombre: Ncleo Administrativo Financiero

Proveedor: Consultora y Desarrollo, S.A.
Mdulos que lo constituyen
1.
Cuentas por Cobrar
2.
Cuentas por Pagar
3.
Activo Fijo
4.
Cheques
5.
Facturacin
6.
Importaciones
7.
Inventario
88
8.
Recursos Humanos
9.
Planillas
10. IVA
11. Planta de Produccin
12. Contabilidad
Reportes que genera

1.
Balance Detallado
2.
Balance Resumido
3.
Balance General
4.
Estado de Resultados
5.
Diario General Anual
6.
Diario Mes en Proceso
7.
Caja Diario Mayor
EXISTENCIA DE EQUIPO
DESCRIPCIN DEL EQUIPO
Servidor Compaq
3.2
CANTIDAD
EXISTENTE
Servidor Dell
Maquinaria Compaq
32
Maquinas clones
Maquinas Dell
Impresor matricial
Impresor de tinta
EVALUACIN DEL CONTROL INTERNO
Como cualquier departamento de la empresa el auditor tiene que evaluar el

funcionamiento del PED. Debe evaluar el ambiente de control, para conocer la
89
existencia de medidas de control interno y la habilidad de la gerencia para establecer

mecanismos de auto evaluacin y vigilancia, incluyendo el establecimiento de manuales
estndares, segregacin de funciones, supervisin y auditora interna, entrenamiento y
capacitacin, apoyo a la investigacin y adelantos tcnicos.
Evaluacin de riesgo y control interno en la auditoria de sistemas computarizados
Los riesgos inherentes y de control en un sistema de informacin por computadora
pueden tener tanto efectos generales como especficos debido a la probabilidad de
presentaciones errneas importantes. Estos pueden dar como resultado deficiencias en el
desarrollo del sistema computarizado, en el desarrollo y mantenimiento de programas,
soporte al software de sistemas, control sobre acceso a programas de utilera, controles
de acceso al equipo, controles del fabricante entre otros.
Tipos de controles aplicables a un sistema computarizado
a. Controles de entrada de informacin.
b. Controles de ingreso y validacin de datos
3.3
i.
Controles de procesamiento
ii.
Controles de salida de informacin
FASES DE UNA AUDITORIA EN INFORMTICA
PRIMERA FASE
Estudio preliminar obligatorio y necesario efectuar en todas las empresas que usen en
alguna forma el PED para la obtencin de su informacin financiera
SEGUNDA FASE
Ampliacin del estudio del control interno. De aplicacin obligatoria cuando en el

estudio preliminar se ha determinado que se tiene aplicaciones de importancia para la
obtencin de la informacin financiera, que existen transformaciones importantes en la
90
informacin y de que el auditor tiene que confiar en una medida importante en el control
interno que existe sobre dichas aplicaciones.
TERCERA FASE
Pruebas a los controles PED. De aplicacin obligatoria cuando la importancia de los

sistemas sujetos sea tal en cuanto a las transformaciones y al grado de confianza que el
auditor depositar en el control interno, que el no efectuar pruebas de cumplimiento a los
controles PED limita el alcance del trabajo del auditor al no tener evidencia suficiente y
competente.
Existen casos en que el auditor, tenga necesariamente que confiar en el control interno
del PED y, por lo tanto, tenga que evaluarlo y despus probarlo en forma completa e
integral a travs de pruebas de cumplimiento. Tambin habr casos que por el resultado
esperado de sus pruebas sustantivas, de importancia relativa y de riesgo probable, el
auditor obtendr la necesaria evidencia suficiente y competente que le permita solamente
evaluar ciertos controles internos importantes de entrada y salida, y por lo tanto
solamente cumplir con la primera fase, segn las circunstancias, cubrir parcialmente la
segunda y omitir la tercera.
Es importante sealar que desde la primera fase se requiere de experiencia en auditora
PED por parte del auditor y conforme se vayan pasando a las siguientes fases se
requerir de mayor capacitacin.
3.4
OBJETIVOS Y PROCEDIMIENTOS POR FASE DE AUDITORA
a. ESTUDIO PRELIMINAR
4 Determinar las principales aplicaciones y su efecto en la informacin financiera
4 Conocer las caractersticas del equipo PED.
4 Concluir sobre el efecto del PED en la informacin financiera y en su caso, pasar a la
segunda fase
91
4 Documentar sta, de tal forma que respalde la decisin del auditor de continuar o no
a la segunda fase.
b. AMPLIACIN DEL ESTUDIO DEL CONTROL INTERNO
4 Evaluar la organizacin del centro de computo y los controles generales
establecidos.
4 Conocer las caractersticas de las aplicaciones y evaluar los controles de aplicacin o
especficos inherentes a las mismas, considerando el grado de transformacin de la
informacin y el volumen de operaciones que dependen del PED, a efecto de poder
juzgar si se deben efectuar pruebas de cumplimiento a los controles PED.
4 Formarse un juicio sobre la eficacia del control interno existente en PED que permita
determinar la naturaleza, el alcance y oportunidad de los procedimientos de
auditora, tanto en cumplimiento como sustantivos.
4 Concluir sobre los resultados obtenidos y en su caso, pasar a la tercera fase,
considerando que el no probar los controles PED resultara en una limitacin
importante en el trabajo de auditor, pues no se obtendr la necesaria evidencia
suficiente y competente.
c. PRUEBA DE CONTROLES
4 Probar los controles especficos de las aplicaciones mediante pruebas de
cumplimiento
3.4.1
PROCEDIMIENTOS RECOMENDADOS
El estudio preliminar est enfocado a determinar la importancia que el PED tiene en la

informacin financiera y al conocimiento general del equipo
a. Descripcin de las Aplicaciones
92
Consiste en conocer y documentar en papeles de trabajo las principales aplicaciones,

volmenes de operacin, objetivos del sistema y de sus aplicaciones, identificando la
entrada, proceso y salida de la informacin por cada aplicacin, teleprocesos, etc.
Pudiendo con ello determinar la informacin que se obtiene y procesa a travs del PED y
su repercusin en los estados financieros.
b. Estudio General del Equipo de Cmputo
Descripcin de la unidad central de proceso y de las unidades perifricas, incluyendo
datos tales como capacidad de memoria, sistema operativo, base de datos,
comunicaciones, capacidad en pantalla remotas, modelo, antigedad, etc.
c. Conclusin
3.4.2
SEGUNDA FASE AMPLIACIN DEL ESTUDIO DEL CONTROL INTERNO
La ampliacin del estudio de control interno est enfocada a conocer con ms detalle las
caractersticas de los sistemas y de formarse un juicio sobre la eficiencia de los controles
internos.
a. Revisin de los Estudios de Viabilidad
De esta forma se conocer si la seleccin del equipo fue hecha en forma cuidadosa y si
responde a las necesidades particulares de la empresa.
b. Anlisis de la Organizacin del Centro de Computo.
Cercirese de que no exista incompatibilidad de funciones, que tenga un buen soporte
tcnico, que existan lneas de autoridad definidas, que haya una planeacin a corto y
largo plazo; en general, se cuenten con polticas bien definidas y acorde a la importancia
del departamento. Tambin se debe revisar que existan procedimientos, autorizar
cambios a los sistemas y fijar los estndares para el desarrollo de los sistemas. En
sistemas pequeos donde no es posible la existencia de todos los controles, deber
determinarse la existencia de controles compensatorios que cubran dicha deficiencia.
93
c. Anlisis de los Sistemas.

Verificar que el anlisis, diseo, programacin prueba de datos y mantenimiento de los
sistemas est documentado y de acuerdo a los estndares establecidos, juzgando a su vez
lo apropiado de dichos estndares y del flujo de informacin.
d. Existencia de Manuales Operativos
Comprobar que existan manuales actualizados de operacin del equipo y de los sistemas
de operacin y de que exista una historia de los cambios en los manuales y sus causas,
etc.
e. Existencia de Copias de los Manuales Operativos
Verificar que se cuente con copias de manuales operativos debidamente protegidas fuera
de la sala de cmputo.
f. Controles sobre Bitcoras
Verificar que existe una bitcora del centro de cmputo donde se registren los tiempos
de proceso, cambios de programas, descomposturas, mantenimiento, operadores, etc.; y
que exista supervisin adecuada y oportuna de esta bitcora.
g. Contingencias
Cerciorarse de que existe un plan de contingencia que asegure una continuidad
razonable de la informacin.
h. Existencia de Planes contra Fallas
Investigar si en caso de fallas se cuenta con un equipo de soporte y procedimientos de
reinicio.
i. Controles sobre Proceso
Verificar que la informacin procesada est sujeta a controle que aseguren que dicha
informacin es vlida y completa y que no se procesa informacin errnea y duplicada.
94
Determinar el grado de transformacin de la informacin de la informacin y asegurar

que existan huellas o pistas que permitan la reconstruccin o seguimiento de la
informacin procesada y de su transformacin. En caso de informacin rechazada, que
sta sea analizada, corregida y evitada para el futuro y, en su caso, vuelva a se
oportunamente procesada. Asimismo, debe verificarse que toda la informacin
procesada est previamente autorizada.
j. Documentacin de los Programas
Comprobar que la documentacin que soporta los programas est de acuerdo con los
estndares establecidos, que se encuentra completa y que exista evidencia y autorizacin
de los cambios efectuados.
k. Existencia de Manuales con los Usuarios
Verificar la existencia de manuales actualizados para los usuarios.
l. Proteccin de Sistemas
Verificar que copias actualizadas de las documentacin de los sistemas estn
debidamente protegidos.
m. Proteccin de los Archivos
Cerciorarse de que existen copias actualizadas de los archivos maestros y de las
transacciones, conservndose por un tiempo razonable en un lugar seguro, tanto en un
edificio distinto al del centro de cmputo, como una copia en el mismo centro.
n. Elementos de Seguridad Fsica
Comprobar la seguridad fsica del centro de computo y determinar si el equipo est en
un lugar que asegure la separacin de funciones entre el personal y el acceso restringido
al rea. Que se cuente con extintores, detectores de humo y medidas razonables contra
posibles sabotajes y cobertura adecuada de seguros mediante una evaluacin profesional
de los riesgos a que est sujeto tanto el equipo como la informacin.
95
o. Auditoria Interna
Evaluar el trabajo de auditora interna y revisar sus reportes.
p. Controles cuando Existe un Centro de Computo Externo
Cuando el PED se realice en un centro de computo externo, los procedimientos
aplicables son los siguientes:
4 Revisin del contrato para comprobar que es adecuado a las circunstancias de la
empresa y que se est cumpliendo con las condiciones estipuladas, as como si existe
una revisin peridica del mismo para adecuarlo a las necesidades de la empresa.
4 Recabar informes sobre el soporte tcnico y la solvencia del centro de computo, con
el objeto de evaluar la confidencialidad.
4 Investigar sobre las alternativas que se ofrecen en caso de que el centro no pueda
procesar la informacin.
4 Verificar el flujo de la informacin del y al centro de computo y de los informes
obtenidos, as como la actualizacin de los archivos maestros y de transacciones y de
la seguridad de los mismos.
4 Verificar los procedimientos que ha seguido la empresa para asegurarse de la validez
de la informacin.
4 Cuando las aplicaciones son de importancia, debe evaluarse la necesidad de efectuar
una revisin directa del auditor en el centro de computo.
Tercera Fase Pruebas a los controles PED
Las pruebas a los controles PED estn enfocadas a que el auditor obtenga evidencia de
que los sistemas PED funcionan como los determin en la fase II. Es importante
mencionar que a partir de esta fase es imprescindible que el auditor tenga la debida
96
especializacin y conocimiento de computo electrnico que le permita juzgar sobre los

controles establecidos y efectuar pruebas en la computadora.
En caso de apoyarse en otras personas, el auditor deber tener suficientes conocimientos
de PED para dirigir, supervisar y revisar el trabajo de sus asistentes o para obtener la
certeza razonable de que el trabajo hecho por expertos externos con conocimientos de
PED, es adecuado en las circunstancias. Ms aun, cuando el PED es parte integrante del
sistema contable y del control interno relativo, el auditor no debe delegar en un experto
en PED su responsabilidad sobre las conclusiones importantes de su trabajo.
a. Anlisis de los Sistemas
Los procedimientos de auditoria deben enfocarse al conocimiento detallado de los
sistemas que se hayan seleccionado para prueba. Este conocimiento se logr en la Fase
II mediante el estudio y evaluacin de los sistemas a travs de los diagramas de flujos de
datos y que se describen los controles existentes en la entrada, proceso y salida de la
informacin, as como a travs de entrevistas con los analistas y personal del centro de
computo y de sus usuarios.
b. Anlisis de los controles de aplicacin especficos.
Sobre los sistemas seleccionados se verificar que los controles establecidos sean los
adecuados a travs de pruebas de seguimiento o de reestructuracin para verificar que
funcionan satisfactoriamente. Estos controles se mencionan en la seleccin de controles
de aplicacin o especficos.
c. Determinacin y Desarrollo de la Pruebas de Auditoria
El auditor debe seleccionar las pruebas de cumplimiento a efectuar al sistema y, en
algunos casos excepcionales, puede lograrse a travs de pruebas tradicionales; sin
embargo, debido a que la mayora de los controles internos importantes estn dentro de
los sistemas, y stos solamente podrn probarse utilizando ciertas tcnicas que se aplican
usando el mismo computador.
97
d. Anlisis y Evaluacin de las Pruebas de Cumplimiento

Los resultados de las pruebas de cumplimiento deben ser analizados a fin de evaluar si
estos dieron resultados esperados y que, por lo tanto, confirmar que los controles
funcionan como el auditor los conoci en las fases anteriores. En caso de que existan
deficiencias o desviaciones no esperadas, stas debern ser evaluadas para definir como
su efecto transcendi a la informacin financiera y, en su caso, necesariamente ampliar
los procedimientos sustantivos de auditora hasta llegar a una conclusin, cabe
mencionar que el auditor tambin puede probar el contenido y correccin de los archivos
que mantienen los anlisis de saldos.
Puede darse el caso de que el auditor, aun cuando tuviera la certeza de obtener evidencia
suficiente y competente por otros medios, pudiera decidir llevar a cabo pruebas de
cumplimiento y sustantivas usando el computadora para lograr pruebas de auditora ms
efectivas, extensas, precisas y con un menor esfuerzo de tiempo en el trabajo.
98
3.5
SECUENCIA DE LA AUDITORA EN INFORMTICA
Hay computador
Hacer auditoria tradicional
Primera Fase
Estudio Preliminar
Hay aplicacin de importancia,

hay grado de importancia en la
transformacin y existe necesidad
de confiar en el control interno
Segunda Fase
Implicacin del Control Interno
La falta de aplicacin de pruebas

de cumplimiento limita el alcance
de la auditora?
Tercera Fase
Pruebas a los controles PED
NO
Se obtendr evidencia suficiente y

competente a travs de pruebas
sustantivas
Se desea usar el computador para

realizar pruebas adicionales de
auditora:
4
4
4
4
Efectivas
Extensas
Precisas
Econmicas
Tercera Fase
Pruebas de los controles PED para
incrementar la eficiencia de la
auditoria
99
Los resultados obtenidos son tales

que garantizan que las cifras de fin
de ao son razonables, con el
alcance mnimo deseado en las
pruebas sustantivas
Hacer pruebas sustantivas de fin

de ao o de doble propsito
conforme a lo planeado
NO
Resultados Satisfactorios
Ampliar pruebas sustantivas
SI
Resultado Satisfactoria
Delimitar el alcance, redactar

informe.
3.5.1 Planeacin de la Evaluacin del Control Interno en Informtica.

Los sistemas de computadora generalmente tienen reas comunes de control y
procedimientos relacionados a las reas de aplicacin, los tipo de control tienen por
objeto proporcionar asesora para planear y llevar a cabo las pruebas de controles de la
computadora. Para la evaluacin del control interno se elaborarn Cuestionarios que
consideren las reas principales.
100
Dentro de las principales reas de control interno a evaluar se consideran:

a. Planificacin
< Sistemas de Informacin
< Recursos Humanos
< Generales
< Desarrollo
b. Organizacin y Administracin
< Estructura
< Organizacin y Planificacin
< Formacin
< Estndares y Metodologa
< Documentacin
< Informes
< Segregacin de Funciones
c. Entorno Operativo Hardware
< Seguridad Fsica
< Accesos Lgicos
< Accesos Fsicos
d. Construccin de Sistemas
< Desarrollo
< Pruebas
< Implantacin
e. Entorno Operativo Software
< Utilidades de Software
< Proteccin de Ficheros Produccin
101
< Copias de Respaldo (Backup)

< Adquisicin de Paquetes
3.5.2 Entrevista con el personal de informtica
Se deben efectuar entrevistas con el personal de procesamiento de datos, para lo cual
pueden entrevistar a un grupo de personas elegidas quienes podrn exteriorizar sus
opiniones lo servir para determinar:
a. Grado de cumplimiento de la estructura organizacional administrativa
b. Grado de cumplimiento de las polticas y procedimientos administrativos
c. Satisfaccin o insatisfaccin
d. Capacitacin
e. Observaciones generales
Gua de entrevista:
a. Nombre del puesto
b. Puesto del jefe inmediato
c. Puesto a que reporta
d. Puesto de las personas que reportan al entrevistado
e. Actividades peridicas
f. Actividades eventuales
g. Sealar vacos que considera existen en la organizacin
3.6
NARRATIVAS
A continuacin se presentan las narrativas formuladas con base a la inspeccin realizada

a las instalaciones de la unidad de informtica y a las entrevistas sostenidas con personal
ejecutivo y de operacin, esta es la recopilacin de informacin previa a la evaluacin
del control interno.
102
3.6.1
Consultores Cisneros Beltrn y Asociados
AUDITORIA INFORMTICA
Colonia Flor Blanca 51 Av. Sur # 430

San Salvador. Telefax 298-4034
NARRATIVAS
DESCRIPCIN
1 El Departamento de cmputo se encuentra en un lugar separado del rea

operativa de la empresa, en una habitacin de sistema mixto, con ventana de
vidrio y cortinas de plstico. Dentro de esta habitacin se mantienen extintores,
que se renuevan cada seis meses.
1 El seor gerente administrativo financiero de la empresa no ha accedido sobre
adquirir un seguro contra incendio, robo y lneas aleadas; se puede observar que
el lugar se encuentra seguro contra inundaciones, pero no as el techo, lo cual
presenta pequeas grietas, por lo que se filtra agua en poca lluviosa,
ocasionando inconvenientes en el trabajo que ah se desarrolla.
1 Es de hacer notar que existe alarma contra robo, el cual se activa al momento de
tratar de desplazar alguna mquina de su ubicacin.
1 Al empleado nuevo, segn lo informa el jefe de informtica, se le da una
induccin de 15 das para el cuido y uso de la computadora, ya que no existe
manual de procedimientos. Adems del personal del personal de informtica
nicamente tiene acceso el personal de servicios generales con autorizacin del
gerente administrativo, siendo stos los nicos que tienen las llaves del centro
de computo.
REFERENCIA
______________
OBSERVACIONES
Y COMENTARIOS
103
3.6.2

NARRATIVAS
DESCRIPCIN
1 El programa no cuenta con un manual de procedimientos para el usuario, lo

cual complica el procesamiento de la informacin cuando se cambia de
personal, ya que se vuelve indispensable que la persona que se encarga de los
procesos de la informacin se encuentre presente para explicar o describir el
procedimiento a seguir.
1 El programa adquirido no cuenta con una pliza de servicio de mantenimiento,
ni de adiestramiento a los usuarios por parte del proveedor. El mantenimiento al
hardware lo realiza una empresa diferente a la empresa a quienes se les compro
el programa.
1 El mantenimiento preventivo que se le da al programa es vigilado por el jefe del
departamento de informtica, quien supervisa que el equipo no sea maltratado.
1 Las modificaciones al sistema son autorizados por el contador, a la fecha no se
han hecho modificaciones desde su instalacin.
1 Para accesar al sistema el usuario debe digitar un passward o contrasea,
compuesto por ocho caracteres.
1 El gerente administrativo y el jefe del departamento de computo son las nicas
personas que poseen el listado de los passward de los usuarios.
1 Aunque el programa carece de manual de procedimientos para el usuario, el
programa cuenta con pasos comprensibles para su ejecucin, al ingresar a la
carpeta del programa, ste muestra el men de sistemas y otras opciones, para
las cuales el programa requiere la clave de acceso
REFERENCIA
______________
OBSERVACIONES
Y COMENTARIOS
104

NARRATIVAS
DESCRIPCIN
1 El programa cuenta con un men principal, en el cual se detallan todas las

opciones de todas las operaciones que ste realiza, ejemplo: formula preguntas
de si o no desea continuar.
1 Para evitar duplicidad al procesar la informacin a todo documento que se
ingreso al programa se le estampa el sello de PROCESADO
1 El gerente administrativo y jefe de informtica supervisa y autoriza el ingreso
de personas al departamento de computo.
1 Cada terminal cuenta con passward de acceso para el usuario diferente a la del
programa.
1 El proceso de actualizacin, es una rutina que nicamente la realiza el jefe de
informtica.
1 Las opciones de modificar, agregar y borrar informacin que posee el sistema
SISCONTA solo son ejecutadas por el jefe de informtica.
1 Se realiza un bloqueo al sistema para evitar el ingreso de informacin por
personas no autorizadas.
1 Si se procesa un documento y al ingresarlo no queda balanceado el programa
muestra un mensaje indicando que el documento est descuadrado. Este
mensaje consiste en que al final del registro, aparece solamente la cantidad por
la que no se cuadra el registro.
REFERENCIA
______________
OBSERVACIONES
Y COMENTARIOS
105
3.6.3

NARRATIVAS
DESCRIPCIN
1 El programa SISCONTA
no cuenta con un manual de aplicaciones y
procedimientos ya que fue diseado por un ingeniero y no por un proveedor de

sistemas. El conocimiento del programa fue basndose en asesora
personalizada por parte del ingeniero en informtica.
1 Para ingresar al programa se ha asignado un passward que es utilizado
nicamente por el personal del departamento, esta clave puede rectificarse
peridicamente para evitar que personas no autorizadas ingresen al sistema.
1 El men principal del programa es el siguiente:
Seleccin de la empresa
Movimiento en archivos
Listado de cuentas
Utilera del sistema
Salirse de Foxbase
Men de proyectos
Finalizar trabajo
1 El catlogo de cuentas, as como los movimientos contables cuentan con la
opcin de Eliminar o modificar opciones que no tienen ninguna restriccin
para evitar la susceptibilidad de la informacin a cambios no autorizados.
1 Los reportes con que cuneta son: El libro diario, libro de caja, diario mayor
movimiento por cuentas, balance de comprobacin, anexos al balance de
comprobacin, balance general y estados de resultados.
REFERENCIA
______________
OBSERVACIONES
Y COMENTARIOS
106
3.6.4
REA DE RESGUARDO Y RECUPERACIN

NARRATIVAS
REA RESGUARDO Y RECUPERACIN
DESCRIPCIN
1 La informacin procesada se guarda en disquetes de 3.5 de alta densidad, se

utiliza siete juegos de disquetes para almacenar el movimiento diario (Backup
externo) rotulados uno para cada da de la semana (lunes a sbado), detallando
mes y ao a que corresponde la informacin. Se realizan dos backup diarios,
uno a medioda y otro al finalizar las labores diarias. Los backup son realizados
por el contador de la empresa.
1 Si por algn motivo se daa la base de datos, o se pierde informacin, se enva
el ltimo backup actualizado al proveedor del programa para su revisin.
1 Se posee un backup externo del catlogo de cuentas. Ante de efectuar un cierre
de mes, se realiza un backup general.
1 En el disco duro se mantienen los archivos de la informacin contable de los
ltimos tres aos, y el ao actual; los aos anteriores son almacenados en
disquetes, a efecto de liberar espacio y cuando se desean consultar son
restaurados al disco duro.
REFERENCIA
______________
OBSERVACIONES
Y COMENTARIOS
107
3.7
CUESTIONARIOS DE CONTROL INTERNO
3.7.1 Cuestionarios de Evaluacin de la Planificacin

CUESTIONARIO DE CONTROL INTERNO
PREGUNTAS
REA DE PLANIFICACIN
Respuestas
Si
No
REFERENCIA
A
______________
OBSERVACIONES
Y COMENTARIOS
SISTEMAS DE INFORMACION
1.
La direccin general y ejecutiva ha considerado la importancia que tiene el

estudio del sistema de informacin?
2.
Se establecen los requerimientos de informacin a largo plazo?
3.
Se ha realizado una planeacin estratgica del sistema de informacin para la

empresa?
4.
Existe una metodologa para llevar a cabo tal planificacin?
5.
Se ha establecido requerimientos de informacin por departamentos

usuarios?
6.
Est definida la funcin del director del departamento PED?
7.
Existe un plan estratgico del departamento del sistema de informacin?
8.
Hay algn estudio sobre alternativas de soporte del sistema de informacin?
9.
Existe la funcin de arquitectura de sistemas

NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
108

PREGUNTAS
REA DE PLANIFICACIN
Respuestas
Si
No
REFERENCIA
A
______________
OBSERVACIONES
Y COMENTARIOS
RECURSOS HUMANOS
1.
Es suficiente el nmero de personal para el desarrollo de las funciones del

rea de informtica?
2.
Se deja de realizar alguna actividad por falta de personal?
3.
Est capacitado el personal para realizar con eficiencia sus funciones?
4.
Se estudia la evolucin del mercado de computadores y la adaptacin del

personal a esa evolucin?
5.
El personal de informtica recibe noticias del momento tecnolgico por

revistas, notas tcnicas, etc.?
6.
Se recibe informacin y se planifica sta mediante asistencia a cursos

seminarios etc.?
7.
Se planifica los recursos humanos y tcnicos para cumplir los requerimientos

del usuario?
8.
Es idneo el personal que tiene acceso al hardware y software de la

empresa?
9.
El responsable del rea de informtica conoce la clave de acceso de los

usuarios?
10. Se efectan con cierta periodicidad la rotacin del personal del rea de
informtica?
11. La empresa capacita peridicamente al personal de informtica?
12. Existen polticas de motivacin para el rea de informtica?
13. Cundo hay nuevos empleados stos son objetos de una atencin especial, en
cuanto a capacitacin?
NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
109

PREGUNTAS
REA DE PLANIFICACIN
Respuestas
Si
No
REFERENCIA
A
______________
OBSERVACIONES
Y COMENTARIOS
GENERALES
1.
Se ha elaborado un presupuesto del rea de informtica?
2.
Se justifican sistemticamente el incremento en los costos del rea de

informtica?
3.
Los involucrados tienen conocimiento de los objetivos incluidos en los

planes?
1.
Los planes sobre procesos de datos estn integrados en los planes

estratgicos para toda la empresa?
2.
Los cambios en los sistemas informticos son consecuencia de la

planificacin ms que de la presin por necesidades operativas?
3.
Estn planificados los servicios externos tanto de hardware como de

software?
4.
Se solicitan demostraciones sobre nuevos artculos a los proveedores?
5.
Existen estudios de disponibilidad comercial de paquetes de aplicacin

adecuados en cada momento?
6.
Se consideran en las estimaciones de costos, los recursos adicionales que

pueden ser necesarios para la evolucin del sistema?
7.
El equipo de informtica es utilizado para generar informacin ajena a la

actividad normal de la empresa?
NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
110

PREGUNTAS
REA DE PLANIFICACIN
Respuestas
Si
No
REFERENCIA
A
______________
OBSERVACIONES
Y COMENTARIOS
DESARROLLO
1.
Se sabe si existe un adecuado paquete de software que pueda adquirirse

como una alternativa conveniente y oportuna al desarrollo interno de un nuevo
sistema?
2.
Se ha desarrollado un plan de aplicaciones que cubra las necesidades de

informacin durante el periodo tctico?
3.
Se ha desarrollado un plan de proyectos que cubra las necesidades de los

planes tcticos de datos y aplicaciones?
4.
Participan los usuarios, que corresponda en cada caso en la definicin de la

cartera de aplicaciones?
5.
Cmo parte de la aceptacin del proyecto, el gerente de PED da su

aprobacin, haciendo constar que la documentacin est completa y
actualizada?
NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
111
3.7.2 Cuestionarios de Evaluacin de la Organizacin y Administracin

PREGUNTAS
ORGANIZACIN Y ADMINISTRACIN
Respuestas
Si
No
REFERENCIA
B
______________
OBSERVACIONES
Y COMENTARIOS
ESTRUCTURA
1.
Existe una persona encargada del rea de informtica?
2.
Una vez fijada la posicin del departamento informtico dentro del

organigrama general de la empresa?
3.
Se ha diseado un plan de trabajo del rea de informtica?
4.
Se ha detectado las unidades funcionales ms afectadas por la existencia del

PED?
5.
Las aplicaciones planificadas o en desarrollo son susceptibles de introducir

algn cambio en la organizacin?
6.
Existe una buena opinin generalizada del PED?
7.
Estn definidas las dependencias funcionales en un organigrama del

departamento?
8.
Existen manuales de funciones para cada una de las personas del

departamento?
9.
La gerencia del PED administra realmente el departamento usando tcnicas

apropiadas para planear, programar y supervisar el trabajo?
10. Es personal de desarrollo tiene prohibido el operar la Unidad Central de

Proceso?
11. Hay seguimiento a la calidad del servicio informtico?
12. Se efectan regularmente misiones de auditoria de la actividad de
informtica?
NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
112

PREGUNTAS
Respuestas
Si
No
REFERENCIA
B
______________
OBSERVACIONES
Y COMENTARIOS
ORGANIZACIN Y PLANIFICACIN
1.
Estn equilibrados los recursos con los objetivos a cubrir?
2.
Se asignan prioridades en desarrollo de proyectos?
3.
Si es as, en funcin de que se hace?

Por la relacin costo beneficio
Por estudios de viabilidad
Por imposicin de departamentos usuarios
4.
Son adecuados los procedimientos?
5.
Se utilizan correctos procedimientos presupuestarios para la imputacin de

costos en el departamento?
6.
Existe una clara definicin de objetivos?
7.
Hay algn servicio informtico no previsto en la organizacin del

departamento?
8.
Se ejecutan con regularidad los controles de calidad de los software?

NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
113

PREGUNTAS
Respuestas
Si
No
REFERENCIA
B
______________
OBSERVACIONES
Y COMENTARIOS
FORMACIN
1.
El desarrollo de aplicaciones tiene en cuenta el nivel de adecuacin y

formacin de personal?
2.
Existen proyectos planificados o en desarrollo que requieran el uso de

categoras por encima del nivel del personal?
3.
Se ha evaluado el grado de conocimiento del personal en las siguientes

reas?
Sistemas operativos
Nuevos equipos
Sistema general de base de datos
Comunicaciones
Metodologa de anlisis y programacin
4.
5.
Existe un importante nmero de personal condicionado por sus limitaciones

tcnicas?
Hay presupuestos de tiempo y dinero para el departamento de informtica
NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
114

PREGUNTAS
Respuestas
Si
No
REFERENCIA
B
______________
OBSERVACIONES
Y COMENTARIOS
DOCUMENTACIN
1.
Hay normas que definen el modo de documentar aplicaciones?
2.
Se estn formulando manuales de usuario con el suficiente nivel de

comprensin?
3.
Se documentan todas y cada una de las fases del desarrollo de una

aplicacin?
4.
Se utilizan herramientas de ayuda o soporte a la documentacin?
5.
Los cambios en los programas quedan reflejados en la documentacin?
6.
Hay copia de toda la documentacin?

NOMBRE
FIRMA
FECHA
ELABORADO POR:
REVISADO POR:
PREGUNTAS
Respuestas
Si
No
REFERENCIA
B
______________
OBSERVACIONES
Y COMENTARIOS
INFORMES
1.
Son efectivos los informes, que se elevan a la jefatura informtica y a las

altas instancias de la direccin?
2.
Estos informes incorporan suficientes elementos como para que la direccin

emprenda medidas correctivas, si es el caso?
3.
Son adecuados los informes utilizados para controlar la actividad de anlisis?
4.
Son destruidas las impresiones no utilizadas?

NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
115

Respuestas
PREGUNTAS
Si
No
REFERENCIA
B
______________
OBSERVACIONES
Y COMENTARIOS
SEGREGACIN DE FUNCIONES
1.
Son apropiados los grupos de trabajo definidos?
2.
Se utilizan sin ningn mtodo estos grupos de trabajo?
3.
La utilizacin se hace en funcin de la naturaleza del trabajo a realizar?
4.
Estn bien distribuidas las responsabilidades dentro del departamento?
5.
Esta distribucin est documentada?

NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
116
3.7.3 Cuestionarios de Evaluacin del Entorno Operativo de Hardware

PREGUNTAS
ENTORNO OPERATIVO HARDWARE

Respuestas
Si
No
REFERENCIA
C
______________
OBSERVACIONES
Y COMENTARIOS
SEGURIDAD FSICA
1.
Se han dispuesto dispositivos de proteccin de la unidad central de proceso y

de la memoria central?
2.
Se han detectado una especial concentracin de riesgos naturales que puedan

afectar al local PED?
3.
La sala dispone de las medidas necesarias de acondicionamiento de aire,

suelo falso, ventilacin, etc.?
4.
Hay dispositivos para minimizar el efecto de una inundacin en la sala?
5.
El equipo de informtica est protegido con bateras y reguladores de voltaje

por fallas elctricas inesperadas?
6.
Est polarizado el sistema elctrico, al cual estn conectadas las

computadores?
7.
El almacenamiento de cintas, discos, disquetes, etc. Ofrece los suficientes

elementos de seguridad?
8.
El equipo est asegurado contra cualquier eventualidad?
9.
Existe un seguro especfico para cubrir el equipo de la unidad central de

proceso?
10. Existe personal de seguridad en la empresa?

11. Se protege el equipo de informtica con cubiertas especiales?
12. El rea de informtica y toda la empresa est protegida contra incendios?
13. Existe contrato de mantenimiento preventivo y correctivo para el equipo
14. Existe una poltica de depreciacin del equipo de computo?
15. Existe una poltica de que hace con el equipo de computo daado y obsoleto?
16. Existe un procedimiento para la adquisicin del nuevo equipo de computo?
NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
117

PREGUNTAS

Respuestas
Si
No
REFERENCIA
C
______________
OBSERVACIONES
Y COMENTARIOS
COMUNICACIONES
1.
Cmo se efecta la transmisin de datos?

Telefnicamente
Microondas
Satlite
2.
Los errores son detectados automticamente?
3.
Se obtiene reportes histricos de los mensajes recibidos?
4.
Se emplea cdigo y procedimientos de transmisin especiales

NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
118

PREGUNTAS

Respuestas
Si
No
REFERENCIA
C
______________
OBSERVACIONES
Y COMENTARIOS
ACCESOS LOGICOS
1.
Posee contrasea para accesar a su mquina?
2.
Posee contrasea para accesar a cada uno de los programas que utiliza?
3.
Se actualizan regularmente?
4.
Se conoce en forma precisa una lista autntica de usuarios autorizados con

sus derechos y asignaciones a cada funcin del programa?
5.
Se da seguimiento a los intentos de violacin a los intentos de violacin de

accesos a terminales?
6.
Se ha detectado una adecuada sensibilizacin de los usuarios, en lo que

respecta a la confidencialidad de los perfiles?
7.
Si el mantenimiento de los perfiles est centralizado en los responsables de la

seguridad:
Puede modificar la tabla alguna persona distinta de este responsable?
Se mantiene un log, de los cambios habidos en las tablas de perfiles?
8.
Se conoce de forma precisa la autntica lista de usuarios autorizados con sus

derechos y asignaciones, a cada funcin de programas y ficheros (perfiles de
usuario)?
9.
Se realizan seguimientos mediante un log de las diferentes violaciones de

acceso en terminales?
10. El fichero de perfiles est encriptado o goza de una proteccin adicional?

11. Existen restricciones de las funciones a realizar segn la localizacin de cada
terminal?
12. Se han establecido controles para impedir para que procesos lanzados en
batch (lotes), puedan obtener accesos mayores que los que correspondan a
una ejecucin online (interactiva)?
NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
119

PREGUNTAS

Respuestas
Si
No
REFERENCIA
C
______________
OBSERVACIONES
Y COMENTARIOS
ACCESOS FSICOS
1.
Existe una localizacin y sealizacin conveniente de las reas sensibles?
2.
Hay procedimientos de cobertura de las visitas al rea de PED?
3.
Estn restringidos los derechos de acceso a la sala del computador?
4.
Se han implantado mecanismos de identificacin del personal?
5.
La ubicacin del departamento PED es independiente del resto de los

departamentos?
NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
120
3.7.4 Cuestionarios de Evaluacin de la Construccin de Sistemas

PREGUNTAS
CONSTRUCCIN DE SISTEMAS
Respuestas
Si
No
REFERENCIA
D
______________
OBSERVACIONES
Y COMENTARIOS
DESARROLLO
1.
Existen procedimientos adecuados para el desarrollo y prueba de sistemas?
2.
Los desarrollos estn basados en un conjunto formal de requerimientos?
3.
Los datos generados por los programas sirven para la toma de decisiones de
la gerencia?
4.
El proceso de desarrollo incluye la necesidad de aprobacin por parte del

usuario, antes de proseguir, en puntos clave tales como:
Estudio de la factibilidad
Propuestas del diseo del sistema
Especificaciones del estudio
Determinacin de los controles de usuario
Realizacin de paralelos o de pruebas de aceptacin del sistema
Modificaciones al sistema anteriores a su implantacin
5.
El planeamiento de proyectos y los mtodos de control son empleados tanto

como para indicar:
Que los proyectos estn adecuadamente planeados
Que el progreso es supervisado en forma tal que asegura que las reas de
problemas son rpidamente descubiertos
NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
121

PREGUNTAS
Respuestas
Si
No
REFERENCIA
D
______________
OBSERVACIONES
Y COMENTARIOS
PRUEBAS
1.
Los procedimientos para pruebas del sistema estn incluidos en los

estndares de la instalacin?
2.
Las pruebas utilizan datos inteligibles?
3.
Se estn utilizando en las pruebas ficheros productivos?
4.
Se han definido libreras para pruebas?
5.
Se realizan pruebas del sistema completo para verificar las interacciones

entre programas?
6.
Antes de implantar un sistema se realizan paralelos adecuados?
7.
Se guardan los ficheros de pruebas para su posterior uso en el mantenimiento

del sistema?
8.
Se estn comprometiendo a los usuarios en la revisin de las pruebas del

sistema?
9.
Se ejecutan con regularidad los controles de calidad a los software?
10. Es satisfactoria la calidad del software?

NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
122

PREGUNTAS
Respuestas
Si
No
REFERENCIA
D
______________
OBSERVACIONES
Y COMENTARIOS
IMPLANTACIN
1.
Queda constancia de las autorizaciones para transferir los programas a las

libreras productivas?
2.
Verifican los usuarios que los posibles cambios han sido desarrollados
correctamente?
3.
Se efectan los oportunos entrenamientos a los futuros usuarios?

NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
123
3.5.6 Cuestionarios de Evaluacin del Entorno Operativo de Software

PREGUNTAS
ENTORNO OPERATIVO SOFTWARE

Respuestas
Si
No
REFERENCIA
E
______________
OBSERVACIONES
Y COMENTARIOS
UTILIDADES Y SOFTWARE
1.
Poseen licencia para utilizar el software?
2.
Se tiene un programa de asistencia tcnica sobre el uso y actualizacin del

software?
3.
El software posee bitcora?
4.
En caso de falla del programa existe un responsable?
5.
Existen controles sobre el uso de utilitarios:

Limitaciones en el numero de usuarios?
Autorizacin de uso?
Queda registrado su uso?
Se almacena fuera del almacenamiento principal?
Se verifican los medios magnticos antes de usarse en la computadora con
respecto a copias fraudulentas o infectados con virus
6.
Est separado el departamento de sistemas del resto de las funciones del

procedo de datos?
7.
Se controlan las modificaciones del software del sistema?
8.
Estn documentadas estas modificaciones?
9.
Se pueden detectar modificaciones?
10. Las modificaciones y procedimientos del sistema son aprobados por la

autoridad competente?
11. La solicitud de modificaciones a los programas se hacen por escrito?
12. Existe un procedimiento formal que se debe seguir antes de que un sistema o
programa sea aceptado y puesto en marcha?
NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
124

PREGUNTAS

Respuestas
Si
No
REFERENCIA
E
______________
OBSERVACIONES
Y COMENTARIOS
PROTECCION DE FICHEROS
1.
Est prohibido el acceso a las libreras productivas?
2.
En programacin es obligatoria la norma de establecer controles y

validaciones a los datos de entrada?
3.
Se establecen tambin controles de salida?
4.
Se revisa peridicamente el contenido de los ficheros?
5.
Se revisan regularmente las versiones de los programas productivos?
6.
Se recopilan los programas cuando pasan a la librera de explotacin?
7.
Existe un programa actualizado de antivirus?

NOMBRE
FIRMA
FECHA
ELABORADO POR:
REVISADO POR:
PREGUNTAS

Respuestas
Si
No
REFERENCIA
E
______________
OBSERVACIONES
Y COMENTARIOS
COPIAS DE RESPALDO (BACKUP)

1.
Existen normas debidamente documentadas respecto de la obtencin de

copias de seguridad?
2.
Se guardan peridicamente los archivos generados y copias de respaldo?
3.
Existe y se mantiene actualizado un backup exterior?
4.
Se utilizan paquetes de ayuda en la gestin y obtencin del backup?
5.
Se realizan con cierta regularidad anlisis del contenido de los discos de

seguridad para suprimir archivos no utilizados?
6.
En caso de accidente, estn definidas las modalidades de recuperacin de

datos?
NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
125

PREGUNTAS

Respuestas
Si
No
REFERENCIA
E
______________
OBSERVACIONES
Y COMENTARIOS
BASE DE DATOS
1.
Se obtienen regularmente copias de la base de datos?
2.
Se chequean regularmente la base de datos para garantizar su integridad?
3.
Se efectan reorganizaciones peridicas de los ficheros de la base de datos?
4.
Se obtiene un registro de las terminaciones anormales de los procesos que

acceden a la base de datos?
5.
Existe y se revisa un log de las transacciones a la base de datos?
6.
Se realiza un chequeo regular de las claves y punteros para la consistencia

interna?
7.
Existe documentacin y prueba peridica de los procedimientos de

restauracin de la base de datos?
8.
Se han previsto tcnicas para evitar el bloqueo de procesos en demanda de

datos?
9.
Se facilita la adecuada formacin tcnica al staff de proceso de datos?
10. Se han definido los procedimientos de seguridad para el acceso a entidades

de datos?
11. Es necesaria autorizacin para el uso de utilidades del sistema de gestin de
la base de datos para actualizarla?
12. Se han definido inequvocamente las funciones del administrador de la base
de datos?
13. Se implica a los usuarios a la propiedad de los datos?
NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
126
3.5.7 Evaluacin del riesgo

REA
NIVEL
TIPO DE RIESGO
ALTO
MEDIO
Riesgo de deteccin
Riesgo de control
BAJO
PLANIFICACIN
Sistemas de informacin
Recursos humanos
Generales
Desarrollo
Estructura
Organizacin y Planificacin
Formacin
Documentacin
Informes
Riesgo de control
Seguridad Fsica
Accesos Lgicos
Accesos Fsicos
X
Desarrollo
Pruebas
Implantacin
Riesgo inherente
Utilidades y Software
Proteccin de Ficheros Productivos
Copias de Respaldo (Backup)
Base de datos
NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
127
3.6
EVALUACIN DE LOS PUNTOS DE CONTROL DE INFORMATICA

PREGUNTAS
EVALUACIN DE CONTROLES
Respuestas
Si
No
< CONTROLES DE LA APLICACIN POR LOS USUARIOS

Controles sobre los Datos de Entrada
4 Existen controles del usuario sobre la preparacin y aprobacin de
transacciones?
4 El usuario controla la entrada de datos?
Controles sobre los Datos Fijos

4 Existen controles del usuario sobre las modificaciones de los datos fijos
que se realicen en los archivos maestros y tablas del sistema?
4 Existen controles del usuario sobre la permanente integridad y exactitud
de los datos fijos correspondientes a archivos maestros y tablas?
4
Controles sobre tems Rechazados y en Suspenso
4 Existen controles del usuario sobre las transacciones rechazadas?
4 Son los tems en suspenso controlados por los usuarios?
Controles sobre Datos de Salida

4 Existen controles del usuario sobre los datos de salida?
< CONTROL DE APLICACIONES POR EL GRUPO DE CONTROL
DE DATOS
4 Los datos de entrada son controlados por el grupo de control de datos?
Controles sobre los Datos de Salida

4 Existen dentro del grupo de control de datos procedimientos de control
con relacin al examen y distribucin de los datos de salida?
REFERENCIA
F
______________
OBSERVACIONES
Y COMENTARIOS
128

PREGUNTAS
<
Respuestas
Si
No
CONTROL DE APLICACIONES POR EL PROCESAMIENTO DE DATOS

4 Existen controles sobre la digitacin de datos?
4 Existe consistencia y validacin de los datos de entrada?
Controles sobre los tems en Suspenso
4 Existen controles del procesamiento de datos sobre los tems en suspenso?
Controles sobre el Procesamiento
4 Existen controles de procesamiento para balancear los archivos de
transacciones y maestros?
4 Existe una adecuada evidencia de auditora?
< CONTROLES GENERALES
Separacin de Tareas y Seguridad
4 Existe una adecuada separacin de tareas dentro del rea de
procesamiento de datos?
4 Existen controles para restringir el acceso fsico no autorizado a la sala de
la computadora, terminarles, archivos en discos o cintas magnticas y
documentacin de sistemas y programas?
Controles sobre el Software de Sistema
4 Existen controles sobre modificaciones al software de sistemas?
Controles sobre las operaciones
4 Existen procedimientos para minimizar el riesgo de que se procesen
trabajos y programas no autorizados?
4 Existen controles para garantizar que se utilizan los archivos correctos?
4 El personal de operacin de la computadora est, en todos los turnos,
adecuadamente supervisado?
REFERENCIA
F
______________
OBSERVACIONES
Y COMENTARIOS
129

PREGUNTAS
Respuestas
Si
No
Controles sobre la Continuidad del Procesamiento

4 Existen procedimientos para evitar que un accidente que afecte la funcin
PED pueda interrumpir totalmente el flujo de la informacin o resulte en la
prdida del control contable?
4 La documentacin PED es lo suficientemente adecuada como para
garantizar que el cliente podr continuar operando aun en el caso de que
miembros importantes del equipo PED hagan abandono de sus cargos?
Controles Sobre el Desarrollo de Sistemas
4 Participa el usuario en el desarrollo de nuevos sistemas y en las
modificaciones a los ya existentes?
4 Existen procedimientos para la prueba de sistemas nuevos y
4 Existen procedimientos para la implantacin de nuevos sistemas y de
< CONTROLES ADICIONALES PARA SISTEMAS AVANZADOS
Controles sobre la Entrada de Datos en Lnea
Existen controles para que el uso de las terminales en lnea quede restringido
nicamente a las personas autorizadas?
Se balancean los totales de control de los datos entrados en lnea?
Existe adecuada evidencia de auditora para cada uno de los tems ingresados
para procesamiento mediante la utilizacin de terminales en lnea?
Procesamientos para Recuperacin y Reenganche en Sistemas en Lnea
Existen procedimientos de recuperacin y reenganche para el caso de una
interrupcin de la transmisin o del procesamiento?
Controles sobre la Modificacin de Programas en Lnea
Existen controles sobre la modificacin de programas en lnea?
REFERENCIA
F
______________
OBSERVACIONES
Y COMENTARIOS
130

REFERENCIA
F
______________
Controles sobre el Procesamiento Distribuido

Existen controles sobre el procesamiento distribuido?
Controles de Sistemas Integrados
Existen procedimientos para controlar la transferencia de datos entre sistemas
contables integrados?
Controles sobre la base de datos
Existen controles sobre el sistema de manejo de la base de datos?
Existe la funcin de administracin de la base de datos, o el diccionario /
gua de datos, un registro de la estructura de la base de datos?
NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
131
3.7
USO DE FLUJOGRAMAS
Se utilizan para describir movimientos de documentos, tratamientos de informacin,

pasadas o corridas de ordenador, descripciones de la lgica de los programas y sus
especificaciones detalladas.
FLUJOGRAMA SISTEMA PED PARA TRANSACCIONES DE VENTAS
DEPARTAMENTO DE
FACTURACION
GRUPO DE CONTROL
DE DATOS
ACCESO DE DATOS
De:
Depto. de
Embarque
R
Recibir y
verificar
totales de
control
Log
Ordenes de
venta ejecutadas
Forma para
transmitir batch
Ordenes de
venta ejecutadas
Entrada
batch totales
de control
Log
Agruparen
Batch o
Bloques,
preparar
totales Batch
Ordenes de
ventas
Formas para
transmitir batch
Log y
comprara
totales
Distribuir
resultados
Comparar con
cinta y verificar
Transacci
-ones de
ventas
PROCESAMIENTO DE COMPUTADORA Y
RESULTADOS EMITIDOS
Transacci
-ones de
ventas
132
CORRIDA 1
Seleccin y Edit
Transacci
-ones de
ventas
validas
Archivo
maestro
precios de
venta
Totales de
diferencia y
control
CORRIDA 2
Imprimir lecturas y
diario de ventas,
actualizar archivo
maestro de Cuentas
por cobrar
Archivo
maestro de
Cuentas
por cobrar
Archivo
maestro
actualizado de
cuentas por
cobrar
Log y
totales
Distribuir
resultados
Facturas de
ventas
Control clave
Diario de ventas
Totales de
Excepcin y de
control
133
FLUJOGRAMA SISTEMA PED PARA TRANSACCIONES DE COMPRAS Y

DESEMBOLSOS EN EFECTIVO
REGISTRO DE
DATOS
GRUPO DE CONTROL
DE DATOS
De:
Cuentas
por pagar
De
control de
datos
Facturas y
comprobantes por
pagar autorizados
Facturas y
comprobantes por
pagar autorizados
Formas para
transmitir
batch
Formas para
transmitir
batch
Verificar
totales y
bitcora
Relacionar con
cinta y
verificar
Cinta de
transaccin
de compra
Facturas por
pagar autorizadas
Forma batch de
transmisin
Totales Batch y
bitcora
CORRIDA 1
Seleccin y Edit
Bitcora y
comparacin
de totales
Distribuir
listados
A:
Registro
de datos
Control clave
134
PROCEDIMIENTOS POR COMPUTADORA Y

LISTADOS EMITIDOS
R
Cinta de
transaccin
de compra
CORRIDA 1
CORRIDA 3
Archivo
maestro de
cuentas por
cobrar
Seleccin y Edit
Leer y seleccionar
R
Divergencias y
totales de
control
Transaccio
nes de
compras
validas
Cintas de
facturas
venidas
Totales de
control
CORRIDA 4
Archivo
maestro de
inventarios
CORRIDA 2
Archivo
maestro de
Cuentas
por pagar
Afectar registros de
cuentas por pagar
actualizar archivo
maestro
Preparar e imprimir
cheques y afectar
registro de cheques,
actualizar archivo de
cuentas por pagar
Archivo
actualizado
de cuentas
por pagar
Archivo de
Inventario
actualizado
Archivo
actualizado
de Cuentas
por pagar
Registro de
cuentas por
pagar
Diferencias y
totales para
control
Bitcora y
comparacin
de totales
Distribuir
listados
R
Totales de
control
Cheque y aviso
de remesa
Control Clave
Registro de
cheques
135
FLUJOGRAMA SISTEMA PED PARA TRANSACCIONES DEL PAGO DE NOMINA

DEPARTAMENTO DE
NOMINAS
CONTROL DE DATOS
DATOS DE ENTRADA
Recibe,
verifica y
registra en
log totales
batch
De:
Toma de
Tiempo
Tarjetas de
tiempo
Tarjetas de reloj
Forma de
transmisin de
batch
Tarjetas de
tiempo
Log de total de
control
Tarjetas de reloj
R
R
Agrupar
en batch y
preparar
totales
batch
Llave a cinta y
verificacin
R
Log y
comparar
totales
Distribuir los
resultados
Transacci
ones de
nminas
Tarjetas de
tiempo
Tarjetas de reloj
Forma de
transmisin de
batch
CORRIDA 1
Seleccin y Edit
136
PROCEDIMIENTOS POR COMPUTADORA Y
LISTADOS EMITIDOS
Autorizacin de
cambios
CORRIDA 1
Transacc
iones de
nminas
Seleccin y Edit
R
R
Reportes de
control y
diferencias
Transacci
ones
validas de
nominas
Procesador datos de
cambios de personal
Registrar datos de
cambios de
personal
CORRIDA 1
Archivo
maestro de
remuneraciones
de empleados
Preparar registro de
nmina y cheques de
nminas, actualizar
archivo maestro de
empleados
Archivo
maestro de
datos del
personal
Cheques de
nminas
Reporte de
excepcin y
control
Registro de
nminas
Control clave
Autorizacin de
cambios
137
Sistema PED para Transacciones de Activo Fijo

DEPARTAMENTO DE
COMPRAS
De:
Toma de
Tiempo
Orden de compra
GRUPO DE CONTROL DE ACCESO

DE DATOS
Se
verifica
Orden de
Compra
Forma de
informar la
Compra
Entrada de
Control
Comparar con
Archivos y verificar
con listado
Preparar
total
Comparar
CCF
cuando se
recibe
Transacci
ones de
compra
Orden de compra
Forma para
tramitarla
compra
Mtodo de
depreciacin
CORRIDA 1
Seleccin y Edit
138
PROCESAMIENTO DE COMPUTADORA Y
RESULTADOS EMITIDOS
Mtodo de
depreciacin
CORRIDA 1
Seleccin y Edit
Total de control
Archivo
maestro de
precios de
compra
Transacci
ones de
compras
validas
CORRIDA 2
Imprimir reporte y
actualizar archivo
maestro de cuentas
por pagar
Archivo
maestro de
cuentas por
pagar
Documento de
Compra
Control clave
Archivo
maestro
actualizado de
cuentas por
pagar
Diarios de
compra
Total de control
139
3.7.1 Evaluacin del riesgo de los puntos de control de informtica.

TIPO DE CONTROL
TIPO DE RIESGO
CONTROLES DE APLICACIN POR LOS

USUARIOS
NIVEL
ALTO
Riesgo de Deteccion
MEDIO
BAJO
Controles sobre datos de entrada

Controles sobre los datos fijos
Controles sobre tems rechazados y en suspenso
Controles sobre los datos de salida
CONTROL DE APLICACIONES POR EL GRUPO
DE CONTROL DE DATOS
Riesgo de Control
Controles sobre los datos de entrada

Controles sobre los datos de salida
CONTROLES DE APLICACIONES POR EL
PROCESAMIENTO DE DATOS
Controles sobre los datos de entrada

Controles sobre los tems en suspenso
Controles sobre el procesamiento
CONTROLES GENERALES
Riesgo inherente
Separacin de tareas y seguridad

Controles sobre el software de sistemas
Controles sobre las operaciones
Controles sobre la continuidad del procesamiento
Controles Sobre el desarrollo de sistemas
CONTROLES ADICIONALES PARA SISTEMAS
AVANZADOS
Riesgo de Deteccion
Controles sobre la entrada de datos en lnea

Procedimientos para recuperacin y reenganche en
sistemas en lnea
Controles sobre la modificacin de programas en
lnea
Controles sobre el procesamiento distribuido
Controles de sistemas integrados
Controles sobre la base de datos
NOMBRE
ELABORADO POR:
REVISADO POR:
FIRMA
FECHA
140
3.8
INFORME DE CONTROL INTERNO
(CARTA DE GERENCIA)
San salvador, 23 de marzo de 2002.
Seores
Junta Directiva
DRUPY S.A. de C.V.
Presente
Estimados seores:
Hacemos de su conocimiento que este despacho de Auditoria y Consultora ha realizado
la evaluacin del control interno, mediante cuestionarios con el objeto de establecer los
alcances para examen del rea de informtica para el ao 2002. De dicha evaluacin se
determinaron observaciones y recomendaciones en los puntos que se presentan a
continuacin:
OBSERVACIONES Y RECOMENDACIONES
1. Existe poca seguridad contra riesgos inesperados.

Se recomienda suscribir las plizas de seguro de fidelidad y otras pertinentes para
garantizar la seguridad tanto del equipo como del software instalado.
2. El sistema elctrico de las computadoras no esta polarizado.
Por lo delicado del caso se vuelve necesario efectuar un estudio tcnico a fin de
superar esta deficiencia para la seguridad fsica del equipo y de los empleados que
laboran en la unidad.
3. El equipo no es protegido con cubiertas especiales, siendo esta actividad necesaria
para la vida til del equipo de computo.
141
Es recomendable mandar a confeccionar cubiertas para la proteccin del equipo,

para evitar el deterioro del mismo y reducir gastos en mantenimiento.
4. No existe restriccin de acceso al lugar donde se guardan las copias de respaldo.
Debe ser restringido el acceso fsico para evitar cualquier extravo o fuga de
informacin, esto a travs de un estudio del personal que ponga de manifiesto, cual
es el personal con afinidad para el acceso a la unidad
5. No existe contrato de mantenimiento preventivo y correctivo para el equipo
informtico
Es necesario los contratos de servicios pertinentes para evitar fallas en el equipo y
prolongar la vida de los mismos.
6. No existe rotacin del personal del rea de informtica.
Esto dificultar el desarrollo de las actividades de la empresa si en un determinado
momento faltare un miembro del personal, probablemente no se encuentre un
sustituto. Por lo que se recomienda disear un plan de rotacin de personal.
7. El personal de informtica no es capacitado peridicamente, lo cual llama la
atencin, puesto que por lo dinmico del rea de informtica, es necesario capacitar
al personal de tal manera que este desarrolle su trabajo de manera eficiente.
8. No existen polticas de motivacin para el rea de informtica
La motivacin no es para toda el personal, lo cual podra ocasionar conflictos y
descontentos en el personal. Se recomienda que todas las polticas de motivacin
sean equitativas para el personal de acuerdo al puesto desempeado
9. La induccin de nuevos empleados es deficiente y algunas veces nula
Esto podra generar problemas de prdida de archivos, daos en equipo y
revelacin inadecuada de la informacin; por lo tanto se recomienda elaborar un
instructivo de bienvenida el cual contenga la induccin necesario al personal de
nuevo ingreso.
142
10. No se posee contrasea para accesar a cada uno de los programas que se utilizan
Es necesario que todo el personal involucrado posea claves de acceso a todos los
programas que utiliza en el rea de produccin.
11. No estn definidas las modalidades de recuperacin de datos en caso de accidente
Se considera necesario implantar este tipo de modalidad dentro de esta rea, a fin
de evitar la perdida de informacin que se vuelva irrecuperable
12. Las impresiones no utilizadas, no son destruidas
Se recomienda girar instrucciones e incorporar al manual de procedimientos, el
hecho de destruir todos los reportes generados y no utilizados, incluyendo cualquier
impresin que comprometa a la unidad de informtica y consecuentemente a la
empresa.
13. La unidad de informtica no posee actualizado el manual escrito de procedimientos.
Lo que se hace necesario para el buen funcionamiento de dicha unidad. Se
recomienda actualizar todos los manuales diseados para la unidad de informtica
por lo menos una vez cada seis meses debido a la dinmica de la unidad
14. No se ha diseado un plan de trabajo en el rea de informtica
Se recomienda formular anualmente un plan de trabajo a fin de evaluar y controlar
el avance y el cumplimiento de metas.
15. No se efectan misiones de auditoria a la unidad de informtica.
Esto recomendable realizar auditorias, para mejorar esta rea porque el personal
de esta unidad sabe que son supervisadas sus actividades.
16. No se ha elaborado un presupuesto en esta rea
Se recomienda la elaboracin anual del presupuesto a fin de conocer si los gastos
incurridos son razonables a las actividades basndose en los objetivos y metas de la
unidad.
143
17. No se ejecutan con regularidad los controles de calidad a los software

Se recomienda revisar lo controle de calidad por lo menos cada seis meses a fin de
reformular el diseo de los mismos para su efectividad
18. No se analiza el contenido de los discos de seguridad para suprimir archivos no
utilizados.
Debe revisarse peridicamente cada tres meses los archivos; los que son de utilidad
para los usuarios y aquellos que contienen informacin que algn momento dado
pueden ser de utilidad a fin de eliminar el volumen de archivos en desuso.
19. No existen copias de seguridad de los archivos informticos fuera de la empresa
Se estima conveniente que por prevencin a cualquier eventualidad se mantenga
copia de archivos fuera del centro de computo de preferencia fuera de la empresa.
En espera de nuestras observaciones y recomendaciones sean de utilidad a su empresa,

atentamente,
Maritza Elizabeth Argueta Arano

Jefe de Auditoria de sistemas
CISNEROS BELTN Y ASOCIADOS
144
CAPITULO IV
4.
CONCLUSIONES Y RECOMENDACIONES
4.1.
CONCLUSIONES
4.2.1. Los despachos que prestan el servicio de Auditoria en Informtica no contemplan

en su estructura organizativa el servicio en el rea de Informtica.
4.2.2. En el desarrollo de la auditoria en informtica, no se da la debida importancia a la

Evaluacin del Control Interno.
4.2.3. Es poca la importancia que se da a la evaluacin de la direccin del departamento

de informtica.
4.2.4. No se realiza un estudio preliminar de las operaciones PED para la obtencin de

informacin financiera.
4.2.5. Es de poca importancia la evaluacin de as como la organizacin y la evaluacin

de los estndares operacionales.
4.2.6. La opinin de los usuarios y la evaluacin del avance de los sistemas en desarrollo
es casi nula.
4.2.7. No se utiliza la tcnica de flujogramacin como base tcnica de la evaluacin del

control interno.
4.2.8. La evaluacin del control interno la realiza empricamente, es decir, de acuerdo

con al experiencia adquirida en el desarrollo de su trabajo.
145
4.2
RECOMENDACIONES
4.2.1. Los despachos que prestan el servicio de Auditoria en Informtica deben considerar
dentro su organizacin la seccin de auditora en informtica a fin de no quedar
fuera de este mercado y lograr una especializacin en esta rama.
4.2.2. Los despachos deben considerar la Evaluacin del Control Interno, ya que esta es
la base para la ejecucin de toda auditora, y la auditora en informtica no es la
excepcin.
4.2.3. La direccin de la unidad de informtica es uno de los componentes de mayor

importancia en la evolucin y manejo del sistema PED, por lo tanto, es necesario
que los despachos consideren este factor.
4.2.4. Siempre debe realizarse el estudio preliminar de las operaciones PED para la
obtencin de informacin financiera, ya que con este procedimiento se mide la
efectividad de la unidad de informtica.
4.2.5. Los estndares en las unidades de informtica son base, ya que esto refleja el estilo
y la efectividad del trabajo que ah se desarrolla.
4.2.6. Se recomienda a los despachos tomar en cuenta la opinin de los usuarios ya que
ellos proporcionan de manera formal o informal la realidad de los sistemas, que a
veces son difciles de detectar.
4.2.7. Dentro de la cambiante dinmica de la auditoria los despachos deben utilizar la

flujogramacin par efectos de la evaluacin del control interno, ya que este queda
reflejado en forma grfica mostrando las debilidades o puntos de control efectivos.
146
4.2.8. Es recomendable que los despachos adopten una gua de procedimientos para la
evaluacin del control interno, para obtener resultados de una forma profesional
que respalde sus informes.
BIBLIOGRAFIA
1 ENRIQUE HERNNDEZ HERNNDEZ
AUDITARA EN INFORMTICA
Un Enfoque Metodolgico y Prctico

COMPAA EDITORIAL CONTINENTAL,
Primera Impresin 1998
1 RICARDO MNDEZ
DICCIONARIO DEL LENGUAJE DE LAS COMPUTADORAS
IMPRESORA MNDEZ
San Salvador, El Salvador, C.A. 1997
1 ROBERT J. THIERAUF
AUDITORA ADMINISTRATIVA
Evaluacin del Sistema de Informacin

EDITORIAL LIMUSA, 1986
1 HABRAHAM PERDOMO MORENO
FUNDAMENTOS DE CONTROL INTERNO
Segunda edicin
Mxico D.F
ECASA, Segunda reimpresin 1987
1 GUSTAVO CEPEDA ALONSO
AUDITORA Y CONTROL INTERNO
McGraw-Hill, 1998
1 WALTER G. KELL WILLIAN C. BOYNTON

AUDITORA MODERNA
CECASA, Segunda impresin

Mexico, 1997.
1 CASTELLANOS, J. L. Y OTROS,
Texto de Auditara de Sistemas
Universidad Centroamericana
San Salvador, El Salvador. 1996
1 DELGADO, A. F. Y ARRIAZA, R.A
Tcnicas y Herramientas de la Auditoria de Sistemas
Universidad de El Salvador 1997
San Salvador, El Salvador
1 GONZALEZ MANZANO, ALVARO BALMORE
Evaluacin de Puntos Crticos
Trabajo de Graduacin
Universidad de El Salvador 1996
1 GOMEZ GIRON, JOS ALFREDO Y OTROS
Diseo de un Modelo de Evaluacin de los Niveles de Riesgo en la Auditara de
Sistemas de Procesamiento Electrnico de datos
Trabajo de Graduacin 1995
Universidad de El Salvador

Contrato de Auditoria en Informtica
Contrato de prestacin de servicios profesionales de auditoria en informtica que

celebran por una parte DRUPY S.A. de C.V., representado por Csar Rodrguez en su
carcter de Representante Legal y en lo sucesivo se denominar cliente, por otra parte
Despacho de Auditara Cisneros Beltrn y Asociados, representado por Maritza
Elizabeth Argueta Arano a quien se le denominar auditor, de conformidad con las
declaraciones y clusulas siguientes:
DECLARACIONES
I.
El Cliente declara:
a) Que es una empresa comercial

b) Que est representado para acto por Csar Rodrguez y tiene como su domicilio la
ciudad de San Salvador.
c) Que requiere tener servicios en informtica, por lo que ha decidido contratar los
servicios del auditor.
II.
Declara el Auditor:
a) Que es una Sociedad Anonima, constituida y existente de acuerdo con las leyes y
que dentro de sus objetivos primordiales est el de prestar auditora en informtica
Despacho de Auditoria Cisneros Beltrn y Asociados.
b) Que est constituida legalmente segn escritura 18472 de fecha 14 de julio de
1986, ante notario pblico N 256-4, Lic. Rolando Larn.
c) Que seala como su domicilio la ciudad de San Salvador.
III.
Declaran ambas partes:
a) Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan

otorgando el presente contrato que contiene lo siguiente:
CLAUSULAS
PRIMERA. OBJETO
El auditor se obliga a prestar al cliente los servicios de auditoria informtica para llevar
a cabo la evaluacin de la direccin de informtica del cliente, que se detallan en la
propuesta de servicio anexa, firmada por las partes, forma parte integral del contrato.
SEGUNDA. ALCANCE DEL TRABAJO
El alcance de los trabajos que llevar a cabo el auditor dentro de este contrato son:
a) Evaluacin de la direccin de informtica en lo que corresponde a:

4 Su organizacin
4 Su estructura
4 Recurso Humano
4 Normas y Polticas
4 Capacitacin
4 Planes de Trabajo
4 Controles Estndares
b) Evaluacin de los sistemas:

4 Opinin de los usuarios de los diferentes sistemas
4 Evaluacin de los usuarios de los diferentes sistemas
FACULTAD DE CIENCIAS ECONOMICAS
DEPARTAMENTO DE CONTADURIA PUBLICA
ENCUESTA
OBJETIVO:
Estudiar las situaciones reales del acontecer en el mbito de las actividades de Auditoria en
Informtica ejercida por los Despachos de Auditoria
y Consultora, manejados por los
profesionales de la Contadura Pblica; as como conocer y diagnosticar sobre la actual funcin,

organizacin y desarrollo profesional de la Auditoria en Informtica, que puedan servir de
parmetros para la elaboracin de un documento que contenga tcnicas y procedimientos para la
Evaluacin del Control Interno en la Auditoria en Informtica; Los datos que se obtengan sern
utilizados exclusivamente con fines acadmicos.
CUESTIONARIO ORIENTADO A LOS DESPACHOS DE AUDITORA Y CONSULTORA DE
EL SALVADOR.
NOMBRE DE LA EMPRESA CONSULTORA O NOMBRE DEL PROFESIONAL CONSULTOR:
_____________________________________________________________________________________
INDICACIONES: Marque con una (x), o complete, segn sea el caso, las preguntas que se le
presentan a continuacin:
1. Cuntos aos tiene de operar su despacho?
1
1
1
a) De 0 a 3 aos
b) De 3 a 5 aos
c) Ms de 5 aos
2. Segn su criterio Cmo considera el tamao de su despacho?

a) Pequeo
b) Mediano
c) Grande
1
1
1
3. A cunto asciende el total de empleados de su despacho?

a) Entre 2 y 10 empleados
b) Entre 11 y 20 empleados
c) Ms de 20 empleados
1
1
1
4. En trminos porcentuales, Cmo est estratificada su cartera de clientes?

a) Clientes pequeos
b) Clientes medianos
c) Clientes grandes
1
1
1
%
%
%
5. De acuerdo con la actividad econmica, en trminos porcentuales, Cmo clasifica su cartera

de clientes?
a)
b)
c)
d)
e)
Banca
Comercio
Industria
Agropecuaria
Otros
%
%
%
%
%.
1
1
1
1
1
6. Dentro de los servicios que oferta su despacho Cules poseen mayor demanda?
a)
b)
c)
d)
Auditoria Financiera
Auditoria Fiscal
Auditoria de Sistemas
Otros Servicios
1
1
1
1
7. Ante los cambios en la demanda de servicios de la poca, Cul es la alternativa de

competitividad que su Despacho considera ms viable?
a)
b)
c)
d)
Efectuar alianzas estratgicas con otros despachos

Contratacin de especialistas
Capacitacin permanente al personal tcnico
Otros
1
1
1
1
8. Ha Trabajado su despacho en Auditoria de Sistemas?

a) Si
b) No
1
1
9. Si su respuesta a la pregunta anterior es No, Porqu no la desarrolla?

a) Desconocimiento de la Auditoria de Sistemas
b) No posee los recursos necesarios
c) Otros
1
1
1
10. En su firma de consultora, existe una unidad especializada en materia de Auditoria en

Informatica?
a) Si
b) No
1
1
11. En el proceso de la Auditoria en Informtica desarrolladas las etapas de: Planificacin,

diagnstico, evaluacin y presentacin del informe final, sobre los resultados de los estudios
que desarrolla su firma?
a)
b)
c)
d)
Planificacin
Evaluacin
Diagnstico
Informe final
1
1
1
1
12. Si su respuesta a la pregunta anterior es s, Cmo desarrolla su despacho la Evaluacin de

la Estructura del Control Interno?
a)
b)
c)
d)
Evaluacin de la direccin de Informtica

Evaluacin de los Sistemas
Evaluacin de los Equipos
Evaluacin del Software
1
1
1
1
13. En la ejecucin de la auditoria en informtica se desarrollan las fases siguientes?

a) Estudio preliminar de las operaciones PED,
para la obtencin de informacin financiera
b) Estudio del Control Interno
c) Transformaciones Importantes en la Informacin
d) Evaluacin del Riesgo
e) Prueba de Controles PED
1
1
1
1
1
14. La evaluacin de la direccin de informtica consta de los elementos siguientes?

a)
b)
c)
d)
e)
f)
g)
h)
Organizacin
Estructura
Recurso Humano
Normas y Polticas
Capacitacin
Planes de Trabajo
Controles
Estndares
1
1
1
1
1
1
1
1
15. La evaluacin de los Sistemas consta de los elementos siguientes?

a) Opinin de los usuarios de los diferentes Sistemas
b) Evaluacin de avance de los sistemas en desarrollo
y congruencia con diseo general
c) Evaluacin de prioridades y recursos asignados
d) Seguridad fsica y lgica de los sistemas, su
Confidencialidad y respaldo
1
1
1
1
16. La evaluacin de los equipos incluye los elementos siguientes?

a)
b)
c)
d)
e)
f)
g)
h)
Capacidades
Utilizacin
Nuevos Proyectos
Seguridad Fsica y Lgica
Respaldo de Equipos
Seguros
Contratos
Proyecciones
1
1
1
1
1
1
1
1
17. Se elaboran informes que contengan conclusiones y recomendaciones por cada uno de los
trabajos realizados?
a) Informe inicial
b) Informes intermedios
c) Solamente informe final
1
1
1
18. Cul es el soporte tcnico en que basa la Evaluacin de la Estructura del Control Interno?
a)
b)
c)
d)
e)
Entrevistas con el Personal Involucrado

Cuestionarios de Control Interno
Narrativas de Procedimientos
Flujogramacin de los Procedimientos y Operaciones
Grficos
1
1
1
1
1
19. En que reas capacita a su personal tcnico?

a)
b)
c)
d)
rea de Seguridad Fsica de los Sistemas Informticos, Respaldo y Recuperacin

Desempeo del Recurso Humano del rea de Sistemas de Informacin
Sistemas de Cmputo, Produccin y Confidencialidad de los Datos
rea Organizacional del Servicio Informtico
20. Usted como auditor en informtica ha aplicado alguna clase de procedimientos tcnicos que
respalden la Evaluacin de la Estructura del Control Interno?
a) Si
b) No
1
1
21. En el desarrollo de la auditora en informtica un una empresa que lo contrata, aplica algn
tipo de gua que sirva para la Evaluacin de la Estructura del Control Interno?
a) Si
b) No
1
1
22. Considera usted que la elaboracin de un manual para la Evaluacin de la Estructura del
Control Interno para el desarrollo de la Auditoria en Informtica?
c) Si
d) No
1
1

Tesis Control Interno de Auditoria Informatica

Cargado por

Copyright:

Formatos disponibles

Tesis Control Interno de Auditoria Informatica

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tesis Control Interno de Auditoria Informatica

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD DE EL SALVADOR

FACULTAD DE CIENCIAS ECONMICAS

GUA PRACTICA PARA LA EVALUACIN DEL CONTROL

MARA ESTELA CISNEROS MANZANO

PARA OPTAR AL GRADO DE:

LICENCIADO EN CONTADURA PBLICA

CIUDAD UNIVERSITARIA, SAN SALVADOR, EL SALVADOR, CENTROAMRICA

: Dra. Mara Isabel Rodrguez

: Licda. Lidia Margarita Muoz Vela

: MSc Roberto Enrique Mena

: Lic. Jos Wilfredo Zelaya Franco

: Licda. Glendy Ruth Garca de Araniva

: Lic. Ricardo Alberto Jimnez

A MIS PADRES: que me brindaron y haber entregado incondicionalmente, todo su

COMPAEROS, Y AMIGOS: que siempre me apoyaron lo cual contribuy a sentirme

MARCO TEORICO CONCEPTUAL O DE REFERENCIA

UN POCO DE HISTORIA Y UN POCO DE ACTUALIDAD

NATURALEZA Y PROPSITOS DE LA AUDITORA.

LA AUDITORIA DEL SISTEMA INFORMTICO

CONTROL INTERNO ADMINISTRATIVO

CONTROL INTERNO FINANCIERO

CONTROL INTERNO EN AMBIENTE COMPUTARIZADO

LOS TRES ELEMENTOS DE LA ESTRUCTURA DE CONTROL

CARACTERSTICAS ESPECFICAS DE LOS SISTEMAS COMPUTARIZADOS

CONTROL INTERNO E INFORMTICA

EVALUACIN DEL SISTEMA DE CONTROL INTERNO

EVALUACIN PRELIMINAR DEL RIESGO

EVALUACIN DEL RIESGO Y CONTROL INTERNO EN LA AUDITORA

EVALUACIN DEL RIESGO INHERENTE Y DE CONTROL

CUESTIONARIOS DE CONTROL INTERNO COMO MTODO DE EVALUACIN 24

CUESTIONARIOS PARA AUDITORA EN INFORMTICA

VENTAJAS DE LOS CUESTIONARIOS

AUDITORIA DE INFORMATICA Y SISTEMAS CON COMPUTADOR

ORGANIZACIN DEL DEPARTAMENTO PED.

PROCEDIMIENTOS DE DOCUMENTACIN DENTRO DEL DEPARTAMENTO

CONTROLES DE ACCESO Y OTRAS MEDIDAS DE SEGURIDAD

TCNICAS DE AUDITORA EN SISTEMAS COMPUTARIZADOS

TCNICAS DE AUDITORA APOYADAS POR COMPUTADORAS

USO DE LA INFORMACIN DE PRUEBA

USO DE PROGRAMAS GENERALIZADOS DE AUDITARA

AUDITORIA EN UN AMBIENTE DE SISTEMAS DE INFORMACIN POR

EVALUACIN DEL RIESGO.

1.10. AUDITORIA EN INFORMTICA

1.10.1 CAMPO DE ACCIN

1.10.2 EVALUACIN ADMINISTRATIVA DEL DEPARTAMENTO DE INFORMTICA 44

1.10.4 EVALUACIN DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE CMPUTO. 45

1.10.6 ELEMENTOS DE AUDITORA EN INFORMTICA

1.10.7 PROCESO DE UNA AUDITORIA EN INFORMTICA

OBJETIVOS DE LOS PROCEDIMIENTOS DE LA AUDITORIA EN

1.11. PROCEDIMIENTOS DE EVALUACIN DE AUDITORIA EN INFORMTICA

1.11.1 PRIMERA FASE ESTUDIO PRELIMINAR

1.11.2 SEGUNDA FASE AMPLIACIN DEL ESTUDIO DEL CONTROL INTERNO.

1.11.3 TERCERA FASE - PRUEBAS A LOS CONTROLES PED

1.11.4 TERCERA FASE ALTERNA - PRUEBAS A LOS CONTROLES PED PARA

DEFINICIN DEL TIPO DE ESTUDIO

MTODOS E INSTRUMENTOS PARA RECOLECCIN DE DATOS.

INTERPRETACIN DE LOS RESULTADOS

ANALISIS E INTERPRETACION DE LA INVESTIGACION DE CAMPO

GUA PRCTICA PARA LA EVALUACIN DEL CONTROL INTERNO EN LA