República Bolivariana de Venezuela

Ministerio del Poder Popular para la Defensa

Universidad Nacional Experimental Politécnica de las Fuerzas Armadas

UNEFA – Núcleo Puerto Cabello

MÉTODO DE AUDITORÍA

Profesor(a): Alumno:

Elvis Vanegas Hector Bolívar

C.I: 28.099.623

Ing. Sistemas 8vo semestre

Puerto Cabello, octubre de 2022

 INTRODUCCIÓN

En el mundo globalizado de la actualidad se debe incrementar es la

productividad, el control, la seguridad y la confidencialidad, para tener la información
necesaria en el tiempo y en el lugar adecuado para poder tomar las mejores
decisiones en los procedimientos de la auditoria que han sido necesarios para las
empresas, instituciones públicas o privadas, ya que todos esos tipos de
organizaciones cuenten con un sistema documental de sus procedimientos,
técnicas y funciones. A la utilización de las computadoras para llevarla en la
ejecución de la auditoria, se debe tomar en cuenta las herramientas que permitirán
ampliar la cobertura y así poder reducir el tiempo, costo de las pruebas y
procedimientos del muestro, para que nos permita elaborar una auditorías a
sistemas financiero y contables. Ya que es el soporte del sistema de gestión de la
calidad y planificación, pues en ella se plasman no solo las formas de operar de la
organización sino toda la información que permite el desarrollo de todos los
procesos.

Sin embargo, en muchas organizaciones, los sistemas de información

basados en computadoras son el corazón de las actividades cotidianas y objeto de
gran consideración en la toma de decisiones, las empresas consideran con mucho
cuidado las capacidades de sus sistemas de información cuando deciden ingresar
o no en nuevos mercados o cuando planean la respuesta que darán a la
competencia.
Metodología de una auditoría de apoyo

Existen algunas metodologías de auditorías de sistemas y todas dependen

de lo que se pretenda revisar o analizar, o de acuerdo con la filosofía y técnica de
cada organización y departamento de auditoría en particular. Sin embargo, existen
ciertas técnicas o procedimientos para una auditoria de apoyo, pero como estándar
podemos nombrar algunas fases básicas:

Estudio preliminar efectuando observaciones a la unidad informática para

conocer datos de la misma, solicitando el plan de actividades, manuales de políticas,
reglamentos, entrevistas con los principales funcionarios. si están operando
sistemas avanzados de computación, como procedimientos en línea, base de datos,
se podría evaluar el sistema empleando técnicas avanzadas de auditoría, revisión
y evaluación de controles y seguridades revisando procesos de documentación y
archivos, realizando y examen detallado de áreas críticas estableciendo los motivos,
objetivos, alcance de recursos la duración de la auditoria, y seguidamente
comunicación de resultados elaborando un borrador del informe a ser discutido con
los ejecutivos de la empresa hasta llegar al informe definitivo, destacando los
problemas encontrados, los efectos y las recomendaciones de la auditoría.
Auditoría de aplicaciones

Es la revisión que se dirige a evaluar los métodos y procedimientos de uso

de aplicaciones o sistemas de información en una entidad, con el propósito de
determinar si su diseño y aplicación son correctos y comprobar el sistema de
procesamiento de información como parte de la evaluación de control interno; con
el fin de identificar aspectos susceptibles para mejorar o eliminarse. Las
aplicaciones o sistemas de información son uno de los productos finales que genera
la infraestructura de la Tecnología Informática en las organizaciones y por ende son
el aspecto de mayor visibilidad desde la perspectiva de negocio. La importancia de
una auditoria de aplicaciones radica en el control, eficiencia y eficacia de los
sistemas informáticos.
En el terreno de una aplicación informática, el control interno se materializa
fundamentalmente en controles de dos tipos:

 Controles manuales: a realizar normalmente por parte de personal del área

usuaria.
 Controles automáticos: Incorporados a los programas de la aplicación.
Controles que, según su finalidad, se suelen clasificar en:
o Controles preventivos: Tratan de ayudar a evitar la producción de
errores a base de exigir el ajuste de los datos.
o Controles detectivos: Tratan de descubrir a posteriores errores que
no haya sido posible evitar.
o Controles correctivos: Tratan de asegurar que se subsanen todos
los errores identificados mediante controles detectivos.

Objetivos de auditoría de aplicaciones.

 Emitir opinión sobre el cumplimiento de los objetivos, planes y presupuestos

13. Evaluar el nivel de satisfacción de los usuarios del sistema
 Emitir opinión sobre la idoneidad del sistema de la aplicación. 15. Verificar el
grado de fiabilidad de la información.

Actividades de aplicación (entradas, procesos, salidas)

Tienen por objeto probar la integridad y la exactitud de las transacciones

procesadas mediante la tecnología de la información, así como garantizar la
confiabilidad de la salida de esta tecnología, la conciliación de los totales de control
generados por el sistema con los obtenidos en la fase de entrada constituye un
aspecto importante. En algunos sistemas, con un repaso y pruebas exhaustivas el
departamento de usuario mide la confiabilidad de la salida proveniente del
departamento de los sistemas de información.

Procedimientos de control entrada:

 Controles de acceso: asegura que los datos inscritos al sistema son los
autorizados y están las responsabilidades para el cambio de datos, la
 responsabilidad de los datos es conjuntamente compartida por alguna
organización y la dirección de informática.
 Control de secuencia: los registros de las transacciones llevaran un número
para identificarlos que sean consecutivos, por lo que no pueden haber
duplicados principalmente en el caso de redes y de bancos de datos, no
puede haber intervalos vacíos de secuencia.
 Control de límite: se verifican los límites de valores que puede asumir una
variable de entrada y que se rechazara o advertirá en caso no cumpla con
los límites establecidos.
 Control de rango: es similar al anterior, pero se trata de un par de límites.
 Control de paridad: se utiliza para verificar una transmisión de datos (que
puede ser la fuente para el ingreso de datos a otro sistema).
 Control de validez: consiste en suponer como válidos aquellos campos
codificados con valores establecidos.
 Control de razonabilidad: los datos inscritos se contrastan con límites de
razonabilidad.
 Control de existencia: es un control que sirve para validar un dato que
ingresa al sistema y además asegura que el proceso sea con un orden
establecido.
 Control de integridad: consiste en que un campo siempre debe contener
datos, no puede estar vacío, etc.

Procedimientos de control de procesos:

 Recálcalos manuales: consiste en re calcular manualmente una muestra de

las transacciones a fin de asegurar que el procesamiento está realizando la
tarea esperada.
 Edición: consiste en comprobar que el input de datos es correcto, aquí se
interpreta el paso de input como parte del proceso.
 Verificación de razonabilidad de cifras calculadas: consiste en probar la
razonabilidad de los resultados de las transacciones para asegurarse de la
adecuación a criterios predeterminados.
  Verificación de la cantidad de registros procesados probando los resultados
producidos en la aplicación con datos de prueba contra los resultados que
fueron obtenidos inicialmente.
 Manejo de archivo de errores para su posterior investigación.
 Verificación por rangos de fechas o períodos.
 Aprobación electrónica: para que un determinado registro pase de un
estado a otro por la autorización de un usuario diferente al que genero el
registro.
 Archivos de seguimiento: que permiten identificar el status de una
determinada operación en un momento determinado.

Procedimientos de salida:

 Resguardo de formularios negociables, sensibles o críticos: deben ser

debidamente controlados en un listado de formularios recibidos, utilizados y
dando razón de las excepciones, rechazos y para protegerlos de robo o daño.
 Autorización de distribución: las opciones de reporte del sistema deben
estar de acuerdo con las funciones que tiene el usuario en el sistema y ser
controlado por los accesos definidos en el sistema.
 Estructura estándar de los formatos de los reportes: como son el número
de páginas, la hora, fecha, nombre del programa que lo produce, cabeceras,
etc.

Cuando la información es necesaria, puede localizarse y recobrarse

manualmente del área de almacenamiento físico. En las aplicaciones
computarizadas la mayoría de los archivos están en medios magnéticos deben
utilizarse programas extractivos para recobrar la información de tales medios, los
cuales son normalmente muy rápidos y exactos, por ejemplo, en el caso de base de
datos.

Actividades sujetas a control (captura, registro, codificación, transcripción,

entre otros)
 Estas actividades se usan al procesar una aplicación. Se relacionan con la
utilización de la tecnología de la información para iniciar, registrar, procesar y
comunicar las transacciones u otros datos financieros. Inician con los requisitos de
la autorización apropiada de las transacciones a procesar. Cuando los datos
correspondientes se registrar originalmente en documentos fuentes de hojas
impresas ventas, por ejemplo, quien lo inicialice pueden indicar la autorización. En
sistema en línea, los datos referentes a las transacciones pueden introducirse
directamente al usuario de las terminales una identificación que se introduce antes
que el sistema acepte datos. El sistema operativo a de conservar un registro de
actividades en cada terminal que será revisada después por el grupo de control en
busca de evidencia de uso no autorizado.

 Captura: es la entrada de datos originales al sistema. Puede ser un nuevo

registro de un archivo computarizado, o tomando datos de documentos.
Puede tener errores humanos, que afectaran la producción de información.
 Transcripción: radica en copiar manualmente los datos antes capturados,
pero este tiene posibilidades de contener errores y si es automáticamente
mediante programas de computación, es más fácil que no contenga error y
si lo hubiere no es por transcripción, es que los datos fueron capturados así.
 Codificación: simbolizamos datos mediante números, letras, caracteres
especiales o una mezcla de ellos, llamados códigos.
 Registro: pruebas de los registros de los archivos para verificar la
consistencia lógica, la validación de condiciones y la razonabilidad de los
montos de las operaciones.

Controles en aplicaciones

Control interno

Desempeña una importante función al participar en los planes a largo plazo

y en el diseño detallado de los sistemas y su implantación, detecta las
irregularidades y errores, contribuyendo a la seguridad del sistema contable que se
utiliza en la empresa, fijando y evaluando los procedimientos administrativos,
contables y financieros que ayudan a que la empresa realice su objeto, propugna
por la solución factible de tal manera que se asegure que los procedimientos de
auditoría y de seguridad sean incorporados a todas y cada una de las fases del
sistema.

Control externo

Es realizada por una persona u organismo externo a la empresa que realiza

exámenes de los estados financieros realizado de acuerdo con ciertas normas,
independiente con el fin de expresar su opinión sobre ellos.

Objetividad de los controles

La objetividad es una actitud mental neutral que permite a los auditores

internos desempeñar su trabajo con honesta confianza en el producto de su labor y
sin comprometer su calidad. La objetividad requiere que los auditores internos no
subordinen su juicio sobre asuntos de auditoría a otras personas. Las amenazas a
la objetividad deben contemplarse en todos los niveles, del auditor individual, de
cada trabajo, funcional y organizacional.

En resumen:

 La objetividad es la cualidad de estar libre de sesgos personales.

 La objetividad se trata de evaluar una situación prescindiendo de las
consideraciones y los criterios personales o subjetivos.
 La objetividad es ser imparcial, se supone que, para ser objetivo, a la hora
de expresar un juicio, el auditor interno debe abandonar todo aquello que le
es propio (ideas, creencias o preferencias personales).
 La objetividad es el valor de ver el mundo como es (solamente los hechos y
la evidencia).

Responsables del control

Es el gerente, director general o cualquier otra denominación que se le da

dentro de una empresa, es el máximo responsable de la implementación y
mantenimiento del sistema de control interno; influye de una manera importante en
la integridad, la ética y demás factores definitivos para la consecución de unos
controles favorables al cumplimiento de los objetivos, además, lidera y dirige el
equipo directivo.

Igualmente, le corresponde designar los responsables que cumplirán las

funciones dentro de cada uno de los niveles directivo, ejecutivo, profesional y otros,
de los diferentes procesos que realiza la compañía y establece políticas y
procedimientos de control interno. De igual forma, el gerente o director responde
ante la junta de socios o junta directiva y ante terceros, por las deficiencias que
presente el sistema de control interno.

De igual forma, la administración es responsable directa de todos sus planes,

programas, proyectos y actividades que debe realizar para cumplir con los objetivos,
que hacen parte integral del sistema de control interno en una entidad y tendrá
diferentes niveles de responsabilidad, según el nivel jerárquico al que corresponda
y las características de cada entidad.

Herramientas y técnicas de control

Cuestionarios:

El diseño de un cuestionario debe tener una adecuada preparación, pre

evaluación y evaluación. Algunas guías generales son:

 identificar el grupo que va a ser evaluado.

 escribir una introducción clara para que el investigado conozca los objetivos
del estudio
 y el uso que se dará a la información.
 determine qué datos deben ser recopilados.
 elabore las preguntas con toda la precisión (no hagas preguntas en negativo),
de tal forma que la persona que la responda lo pueda ser con toda claridad.
Estructure las preguntas en forma lógica y secuencial de tal forma que el
tiempo de respuesta y de escritura sea breve (aunque se debe dejar abiertas
las observaciones). Elimine todas aquellas preguntas que no tengan un
objetivo claro, o que sea improcedentes.
  limite el número de preguntas para evitar que sea demasiado el tiempo de
contestación y que se pierda el interés de la persona.
 implemente un cuestionario piloto, para evaluar que todas las preguntas sean
claras y que las respuestas sean las esperadas.
 diseñe e implemente un plan de recolección de datos.
 determine el método de análisis que será usado.

Entrevistas:

Aunque la entrevista es una de las fuentes de información más importante

para saber cómo opera un sistema, no siempre tiene la efectividad que se desea,
ya que en ocasiones las personas entrevistadas pueden ser presionadas por los
analistas de sistemas, o piensan que si se hacen unos cambios, estos podrían
afectar su trabajo. El gerente debe de hacer del conocimiento de los entrevistados
en propósito del estudio.

Una guía para la entrevista puede ser la siguiente:

 prepárense para la entrevista estudiando los puestos de las personas que va

a hacer entrevistada y sus funciones.
 preséntese y de un panorama del motivo de la entrevista.
 comience con preguntas generales sobre las funciones, la organización y los
métodos de trabajo.
 haga preguntas específicas sobre los procedimientos que puedan dar como
resultado el señalamiento de mejoras.
 siga los temas tratados en la entrevista.
 limite el tomar nota a la más relevante para evitar distractores.
 al final de la entrevista ofrezca un resumen de la información obtenida y
pregunte como se le podrá dar seguimiento.

Trazas y/o huellas:

Con frecuencia, el auditor informático debe verificar que los programas, tanto
de los sistemas como de usuario, apoyándose en productos software muy potente.
 Se utilizan para comprobar la ejecución de las validaciones de datos
previstas, no deben modificar en absoluto el sistema. Si la herramienta auditora
produce incrementos apreciables de carga, se convendrá de antemano las fechas
y horas más adecuadas para su empleo.

Por lo que se refiere al análisis del sistema, los auditores informáticos

emplean productos que comprueban los valores asignados por técnica de sistemas
a cada uno de los parámetros variables de las librerías más importantes del mismo.

Software de interrogación:

Se utiliza productos software llamados genéricamente paquetes de auditoría,

capaces de generar programas.

En la actualidad, los productos software especial para la auditoría informática

se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros
y bases de datos de la empresa auditada.

Se ha desarrollado interfaces de transporte de datos entre computadoras

personales y mainframe, de modo que el auditor informático copia en su propia PC
la información más relevante para su trabajo.

El auditor se ve obligado (naturalmente, dependiendo del alcance de la

auditoría) a recabar información de los mencionados usuarios finales, lo cual puede
realizar con suma facilidad con los polivalentes productos descritos.

Finalmente, el auditor confecciona personalmente determinadas partes del

informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo de
procesadores de texto, paquetes de gráficos, hojas de cálculo, etc.