RC Auditoria 1

Auditoría en entornos informáticos
CAPITULO 1
Conceptos básicos
1. INTRODUCCION
Etimológicamente la palabra “auditoría” deriva del latin audire que significa oir, el
sustantivo latino auditor significa "el que oye". Los primeros auditores ejercían
sus funciones principalmente oyendo, juzgando la verdad o falsedad de lo que
les era sometido a su verificación. 1
Muchas pueden ser las definiciones de auditoría, dependen del enfoque

disciplinario de quienes la elaboran; en nuestro caso proponemos la siguiente:
Auditoría es un control selectivo, efectuado por un grupo independiente del
sistema a auditar, con el objetivo de obtener información suficiente para evaluar
el funcionamiento del sistema bajo análisis.
Auditar es efectuar el control y la revisión de una situación pasada. Es observar

lo que pasó en una entidad y contrastarlo con normas predefinidas.
1
Federación Argentina de Profesionales en Ciencias Económicas, CECYT, Informe N° 5, Area
Auditoría, Manual de Auditoría, 1985. pág. 33.
3
2. CLASES DE AUDITORIA
De acuerdo a la naturaleza del trabajo, hay distintas clasificaciones de auditoría:
2.1. Según el campo de actuación
En este caso, clasificamos los trabajos de auditoría según el ámbito donde se

aplique. Tenemos así: auditorías contables, administrativas, sociales, médicas,
informáticas, militares, etc. Veamos ahora cuáles son los alcances de algunas
de ellas.
• Auditoría contable
Es el examen independiente de los estados financieros de una entidad con la
finalidad de expresar una opinión sobre ellos. En este marco el auditor investiga
críticamente los estados contables de una organización para formarse un juicio
sobre la veracidad de tal información y comunicarlo a la comunidad.
El objetivo principal de una auditoría contable consiste en examinar los estados

contables de una organización, aplicando “normas de actuación generalmente
aceptadas”, de forma que permita al profesional encargado de su realización
informar sobre la veracidad y razonabilidad de la situación patrimonial
examinada, al tiempo que se pronuncia sobre si los mismos están
confeccionados de acuerdo con las normas contables, y si éstas han sido
aplicadas de manera uniforme con respecto a los ejercicios anteriores. Las
características controladas son las transacciones y el patrimonio en cuanto a su
existencia, propiedad, integridad, valuación y exposición. De este objetivo se
desprenden dos actividades2:
a) Comparar las transacciones del período y el patrimonio al final del ejercicio
registrados en la contabilidad.
b) Comparar la valuación asignada a las transacciones y al patrimonio.
Una auditoría contable persigue además otros propósitos referidos a la

protección de los activos; el control de los datos en cuanto a su integridad,
exactitud, oportunidad; la reducción de riesgos por pérdida de información; la
2
Federación Argentina de Profesionales en Ciencias Económicas, CECYT, Informe N° 5, Area
Auditoría, Manual de Auditoría, Capítulo 1, 1985.
4
evaluación de la calidad y eficiencia de los controles y la vigilancia de su

aplicación en la práctica.
• Auditoría administrativa
Es el control de la actividad desarrollada por los administradores de una
organización; evalúa el desempeño de los mismos como ejecutivos, el
cumplimiento de las metas programadas, la eficiencia en el uso de los recursos
disponibles, el éxito o fracaso en las misiones encomendadas.
Se la denomina, también, "auditoría operativa" y puede ser definida como el

examen de la gestión de un ente con el propósito de evaluar la eficiencia de sus
resultados. Toma como referencia las metas fijadas a la empresa; los recursos
humanos, financieros y materiales empleados; la organización, utilización y
coordinación de dichos recursos y los controles establecidos sobre dicha
gestión. En general busca controlar la calidad de los sistemas de gestión de una
empresa.
• Auditoría Social
Es el examen o evaluación sistemática sobre algún campo de acción
significativo, definible, de actividades con repercusión social.
• Auditoría médica
Es el examen o evaluación de la calidad de los servicios médicos efectuados
por los prestadores de salud. En Argentina este tipo de auditorías es efectuada
por profesionales especializados vinculados a las obras sociales.
• Auditoría informática
En este marco, podemos adelantar el concepto de auditoría informática: es el
estudio que se realiza para comprobar la fiabilidad de la herramienta informática
y la utilización que se hace de ella en una organización. En forma más amplia
se analiza la aplicación de recursos informáticos a los sistemas de información
existentes en las empresas, en especial los orientados a automatizar las tareas
administrativo-contables, financieras, de gestión, de soporte de decisiones, etc.
5
2.2. Según la relación de dependencia del auditor
• Auditoría interna
Es una función de evaluación interna, ejercida por personal perteneciente a los
cuadros de la empresa. Actúa como un servicio independiente de la línea
jerárquica corriente, por lo que depende directamente de la Dirección de la
organización. La auditoría interna mide y evalúa la confiabilidad y eficacia del
sistema de control interno de la entidad con miras a lograr su mejoramiento.
• Auditoría externa
Es una función de evaluación externa, ejecutada por un ente externo e
independiente de la línea jerárquica establecida. Actúa controlando algún
aspecto particular de las operaciones o procedimientos establecidos en la
organización.
Si comparamos las auditorías internas con las externas, vemos que las primeras
tienen como ventaja el conocimiento por parte del auditor de la “cultura” de la
organización y el hecho de que al pertenecer a la plantilla de la empresa el
profesional no es visto como un cuerpo extraño y, por consiguiente, no se le
retacea información; las externas, en cambio, cuentan como ventaja la
independencia del auditor, quién puede aplicar sus propios criterios, libre del
“sentimiento de pertenencia” a la estructura de la entidad.. Veamos en el
siguiente cuadro3, una comparación de los alcances de la auditoría externa e
interna cuando se evalúan los estados contables de una entidad:
3
Consejo Profesional de Ciencias Económicas de la Capital Federal, Comisión de Estudio de
Auditoría, INFORME N° 18, “La tarea de auditoría contable y su relación con la auditoría interna del
ente”, , Bs. As., julio de 1992.
6
Aspecto Auditoría externa Auditoría interna

considerado
OBJETIVO Opinar sobre la razonabilidad de la Medir y evaluar la eficiencia de la
información reflejada en los operatoria del ente, así como la
Estados Contables, y si fueron confiabilidad del control interno del
elaborados de acuerdo con las mismo, proveyendo análisis y
Normas de Auditoría Vigentes recomendaciones que tiendan a su
mejoramiento
SUJETO Contador Público Preferentemente profesional de

Ciencias Económicas.
INDEPENDENCIA Total Profesional en relación de

dependencia
OBJETO PRINCIPAL Estados contables anuales o Actividades de control interno del

DE SU EXAMEN intermedios ente, circuitos administrativos,
manual de procedimientos y
organigramas.
NORMAS DE Normas profesionales vigentes. Normas de auditoría interna.

APLICACION Exigencias legales de órganos de No obligatorias.
control.
PRODUCTO FINAL Informe sobre Estados Contables Informes sobre control interno,
anuales o intermedios. gestión, desvíos presupuestarios.
RESPONSABILIDAD Profesional Profesional

Civil Laboral
Penal
CONDICIONES Independencia de criterio (respecto Independencia de criterio

PERSONALES del ente auditado). (dependiendo del máximo nivel
Título habilitante. decisorio de la empresa).
Cuidado profesional. Capacidad técnica.
Cualidades personales.
7
3. CONTROL Y AUDITORIA
3.1. Concepto de control
Existen varias definiciones del término control. Difieren debido a distinciones

conceptuales o bien respecto al objeto del mismo (dónde será aplicado). El
Informe N° 5 del CECYT4 lo define como “el proceso de ejercitar una influencia
directiva o restrictiva”, es decir, las posibilidades de dirigir actividades hacia
objetivos buscados o de evitar que se produzcan resultados no deseados.
En general, se reconoce al control como una función administrativa básica;

consiste en verificar que las diferentes actividades que se realizan en una
organización tiendan a alcanzar sus objetivos. Se considera que el control
produce dos tipos de acciones según sea el ámbito donde se aplique:
• Influencia directiva, intenta que las actividades del sistema se realicen de

modo tal que produzcan determinados resultados o alcancen objetivos
específicos predefinidos.
• Influencia restrictiva, la acción se ejerce de modo tal que evite que las
actividades de un sistema produzcan resultados no deseados.
Elementos del control
Los elementos necesarios para implementar un sistema de control son5:

• Elemento, característica o condición a controlar.
• Sensor: artefacto o método para medir las características o condiciones
controladas, es decir instrumento para medir el rendimiento.
• Grupo de control: unidad o equipo de control para comparar los datos
medidos con el rendimiento planeado. Determina la necesidad de corrección
y envía la información a los mecanismos que deben normalizar o corregir la
producción del sistema.
4
FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES DE CIENCIAS ECONOMICAS,
CECYT, Area Auditoría, Informe N° 5, Manual de Auditoría, 1985, pág. 35.
5
Idem 4, pág. 37.
8
• Grupo activante: mecanismo activador que es capaz de producir un cambio

en el sistema operante, es decir, realizar la acción correctiva
correspondiente.
En síntesis, el control es un proceso y consiste en una comparación, un

contraste de un resultado (ocurrido o proyectado) con otro (esperado o
deseable) y, por lo tanto, implica una medición.
3.2. Tipos de control
Dijimos que auditoría es una actividad de control, por lo tanto vamos a

profundizar un poco, clasificando a estos últimos:
a) De acuerdo a su objetivo, en esta categoría tenemos:

• Correctivos, son aquellos que cuentan en su estructura con los elementos
para medir las desviaciones e informar sobre ellas. Implican la determinación
de los desvíos y su informe a quien debe actuar sobre éstos. Los controles
correctivos, también, pueden ser retroalimentados (datos del pasado) o
prealimentados, por ejemplo: presupuestos, ratios.
• No correctivos, son los que prescinden de la medición e información de los
desvíos que se pueden producir, como es el caso de controles de separación
por funciones y oposición de intereses.
b) De acuerdo a su marco temporal, en este caso tenemos:

• Retroalimentados, pues operan sobre hechos sucedidos. Comparan los
resultados ocurridos con los esperados.
• Prealimentados, pues operan sobre eventos futuros (en los procesos
industriales se denominan “control anticipante”) y previenen la ocurrencia de
resultados indeseados.
c) De acuerdo a su pertenencia al sistema operante, tenemos:

• De secuencia abierta, donde el grupo de control no pertenece al sistema
operante; es independiente del mismo.
• De secuencia cerrada, en el que todos los elementos del control pertenecen
al propio sistema operante.
9
Un enfoque más cercano a nuestra problemática es analizar los tipos de

controles relacionados con la administración de una organización. En este caso
vamos a agruparlos en:
− Control interno: es el conjunto de reglas y normas de procedimiento que

regulan el funcionamiento administrativo de una organización. Tienen el
propósito de preservar al patrimonio de la empresa de los posibles errorres u
omisiones, maniobras fraudulentas o daño intencional que pudieran llegar a
afectarla.
− Control presupuestario: es el cotejo periódico de los ingresos y de los gastos
reales de un período con el fin de poner en evidencia las desviaciones a lo
presupuestado.
− Control de gestión: proceso mediante el cual los directivos se aseguran la
obtención de recursos y el empleo eficaz y eficiente de los mismos en el
cumplimiento de los objetivos fijados a la organización.
3.3. Etapas del control
Las etapas para establecer un sistema de control son las siguientes:
1. Establecimiento de estándares: es la acción de determinar el/los parámetro/s

sobre los cuales se ejercerá el control y, posteriormente, el estado o valor de
esos parámetros considerado deseable. Este es el primer elemento a
establecer para instrumentar un sistema de control. En esta especificación se
deberán incluir, entre otros, la precisión con que se medirá el parámetro a
verificar, el método de medición y el instrumento sensible que se aplicará, la
periodicidad en la aplicación y hasta los responsables de esta tarea.
2. Comparación o diagnóstico: implica el cotejo entre los resultados reales con

los deseables. En esta etapa se investiga (más o menos extensamente)
acerca de las causas de las desviaciones que acompañarán un informe con
las discrepancias detectadas, para ser fuente de información de la siguiente
fase.
3. La determinación de acciones correctivas es la tercera etapa. Lleva implícita

una decisión: corregir o dejar como está. Obviamente será más certera y
10
económica la solución de la discrepancia mientras más correcto sea el

diagnóstico hecho en la etapa anterior.
4. La ejecución de las acciones correctivas es el último paso. Sin éste, el

control será estéril, inútil e incompleto. Más aún, infinitamente caro como
respuesta al problema que intentó solucionar. Por ello, se considera que sin
esta etapa simplemente no ha existido una acción de control.
3.4. Principio de economicidad del control
Un principio básico a tener en cuenta cuando se quiere implementar un control,

es analizar el costo de la instrumentación del mismo. Se considera que este
costo debe ser menor al beneficio (potencial o real) que se obtiene con su
implementación. Por ello no se evalúan todas las características o parámetros
posibles, sino sólo aquellos que dan un ratio positivo a la relación costo de
implementar la medida-beneficio esperado (por estas razones se dice que el
control es selectivo).
3.5. Auditoría y control
En este marco, la auditoría es una función de control, con las siguientes

características:
• Es del tipo retroalimentado, porque se refiere a hechos sucedidos.

• Es correctiva, ya que está orientada a la medición e información de los
desvíos.
• Es de secuencia abierta, ya que el grupo de control es independiente (no
debe pertenecer al sistema operante, aunque puede ser parte de la
empresa).
• Es selectiva.
11
4. PISTAS DE AUDITORIA
¿Qué son las pistas de auditoría? Son elementos que permiten certificar la
existencia de una operación, la validez de sus cifras, la identidad de los sujetos
involucrados, el momento de su acaecimiento, etc. Es decir, son la prueba de
una transacción. Las podemos definir como:
“... documentos originarios, diarios, mayores, y papeles de trabajo que posibilitan

al auditor rastrear una operación, desde el resumen hacia la fuente primitiva. Sólo
por tal procedimiento el auditor puede determinar que los resúmenes reflejan la
operatoria real transcurrida.”6
El sistema de información debería conservar las pistas de auditoría para permitir

al auditor el rastreo del flujo de operaciones dentro de la empresa, y la
comprobación de la ocurrencia y exactitud de las registraciones realizadas.
A partir del empleo de computadores como herramienta base donde se

procesan las operaciones de un sistema de información, comenzaron a
advertirse modificaciones significativas en las pistas de auditoría, motivados por
las continuas modificaciones de los equipamientos, y el cambio de las
modalidades de procesamiento. Por esta causa se ha arribado a una situación
en la cual las pistas de auditoría existen pero en condiciones y con
características totalmente diferentes a las imperantes en los sistemas de
información manuales (en "soporte papel").
6
NCR CORPORATION, Customer Support Training - System Analist Design, Dayton (Ohio), NCR
Corporation, 1989.
12
5. AUDITORIA Y CONSULTORIA
Creemos importante diferenciar las tareas comprendidas en una misión de

auditoría de aquéllas que corresponden a una consultoría, dado que es habitual
confundirlas en los trabajos que involucran equipamiento y sistemas
informáticos. Los límites entre una y otra se relacionan más con los objetivos del
trabajo que con las tareas que efectivamente se prestan.
Como ya lo expresáramos anteriormente, la auditoría comprende la realización

del control y la revisión de una situación pasada, observando lo actuado y
contrastándolo con normas predefinidas. La efectividad de un trabajo de
auditoría se refleja en las mejoras recomendadas al sistema de control interno
de la empresa y a la seguridad.
En tanto, la consultoría tiene como misión implementar las recomendaciones

propuestas en una auditoría previa o por un ejecutivo, con el propósito de
mejorar la productividad de la empresa. Es una perspectiva de asesoramiento
con visión de futuro. Es frecuente que una consultoría sea consecuencia o el
resultado de una auditoría.
Esto último supone que la consultoría se sustenta en un esfuerzo previo de

conocimiento y diagnóstico de la organización (resultado de una auditoría), para
luego elaborar las bases de la reorganización del ente y la tecnología de
implementación. La efectividad de la labor de consultoría se podrá medir a
medida que transcurra el tiempo desde la puesta en práctica de las soluciones.
Objetivo Momento
Auditoría Controlar el desempeño Posterior a los eventos
Consultoría Optimizar el desempeño Previo a los eventos
13
6. PROGRAMA DE AUDITORIA
Podemos afirmar que un trabajo de auditoría es un proyecto ¿porqué? Para

explicar esta afirmación, recordemos algunos conceptos relacionados con los
proyectos:
Concepto de proyecto
Los proyectos son un conjunto de actividades a realizar con un objetivo

claramente definido, en un marco de recursos limitados y dentro de un plazo
determinado. Las tareas involucradas en un proyecto normalmente no serán
repetidas en el tiempo, son emprendimientos particulares con fechas de
inicio y terminación fijadas. Se caracterizan por disponer de equipos de
trabajo formados ad-hoc para desarrollar las tareas en cuestión.
Características de un proyecto:
• Existe un objetivo o beneficio a conseguir.
• Tiene un principio y un fin.
• Es no recurrente, es único y diferente a los demás.
• Consta de una sucesión de actividades o fases y requiere la
concurrencia y coordinación de diferentes recursos.
• Dispone de un conjunto limitado de recursos.
• Se desarrolla en un ambiente caracterizado por el conflicto,
frecuentemente “cruza” departamentos y líneas de autoridad.
Uno de los elementos a tener en cuenta para asegurar el éxito de un

proyecto es analizar los riesgos del mismo. Las causas más frecuentes de
su fracaso son las siguientes:
• Objetivos inadecuados, confusos, mal definidos, poco realistas,

exageradamente ambiciosos, no consensuados.
• Comunicación escasa entre los involucrados en el proyecto, conflictos
de poder entre los líderes, mala o nula comunicación.
• Recursos insuficientes, inadecuados.
• Mala planificación e incapacidad para prever la marcha del proyecto,
subestimación de los problemas (o sobrestimación), visión parcializada.
• Administradores del proyecto permeables a las presiones externas.
• Problemas políticos, luchas de poder, falta de compromiso por parte de
los integrantes del proyecto.
Etapas de un proyecto
1. Fijación del objetivo: debe clarificarse adecuadamente el objetivo con

indicación del alcance.
2. Planificación: consiste en planificar y programar actividades definiendo
recursos, plazos y calidad.
3. Ejecución: es la puesta en marcha del proyecto, para lo cual hay que
procurar una ejecución eficaz.
4. Control: implica evaluar la marcha del proyecto, negociar y redefinir.
14
Como vemos, entonces, un trabajo de auditoría es un proyecto, ya que no forma

parte del trabajo habitual de una organización (aunque las auditorías internas
puedan desmentir esta afirmación); están a cargo de un equipo de trabajo
formado especialmente, tienen plazo de incio y finalización fijados, disponen de
recursos limitados y tienen un objetivo propio y específico (los trabajos de
auditoría no siempre buscan lo mismo). Analizando las características de un
proyecto y sus etapas, podemos hacernos una idea más cercana sobre cuáles
son las tareas a realizar en un trabajo o "pograma" de auditoría.
6.1. Etapas de un programa de auditoría
Un programa de auditoría es el documento que nos dice cómo se efectúa el

trabajo. Debe contemplar cómo, cuándo, quiénes y dónde se efectuarán las
tareas. Podemos entonces agrupar los pasos para realizar una auditoría en:7
1) Definición del objetivo:
En los casos de trabajos de auditorías contables las posibilidades para

seleccionar el objetivo de la mismas están bastante limitadas y son previsibles;
en el caso de otros tipos de trabajos de auditoría, como las de sistemas, el
objetivo se determina en función de las necesidades demandadas por quien
solicita el servicio.
2) Definición del alcance:
El alcance de una auditoría es determinado siempre en forma específica para

cada trabajo; en particular, lo fijan las necesidades y expectativas del comitente.
En la determinación del alcance influye de manera decisiva el grado de certeza
requerido a los datos que figuren en el informe. Por ejemplo, si debe controlarse
toda la población o puede hacerse un muestreo sobre el item que se está
auditando.
Un elemento distintivo de los proyectos de auditoría es que a la fijación del

objetivo sigue la determinación del alcance, pero son dos parámetros que deben
establecerse separadamente. El alcance puede ser asociado a la palabra
7
ALIJO, JORGE, Apuntes del Seminario “Auditoría en Entornos Computarizados” , C.P.C.E. de
Córdoba, 1994.
15
“profundidad” y comprende la especificación de “hasta dónde” se realizará (se

avanzará en) el trabajo de investigación, cuáles serán los hechos y elementos
que se tomarán en cuenta, cuáles serán los que no se controlorán. En los
trabajos de auditoría la delimitación del alcance es fundamental para poder
establecer con claridad los “límites” del informe y, por consiguiente, los límites
de la responsabilidad del auditor.
Este concepto es de suma importancia ya que define con precisión el entorno y

los límites en que va a desarrollarse el trabajo; complementa el marco
expresado en los objetivos de la auditoría. Por ejemplo:
• ¿Se verificará la totalidad de los documentos grabados, o solamente una
muestra? En este último caso, ¿cómo se define la muestra?
• ¿Se someterán los registros grabados a un control de integridad exhaustivo?
• ¿Se probarán los controles de validación?
Es evidente la necesidad de precisar los límites de un trabajo de auditoría, hasta

el punto de que su indefinición compromete el éxito de la misma.
El alcance de la auditoría ha de figurar expresamente (junto con el objetivo) en

el informe final, de modo que quede perfectamente determinado no solamente
hasta qué puntos se ha llegado, sino qué materias fronterizas han sido omitidas.
Igualmente habrán de expresarse las excepciones del alcance, cuando exista
alguna cuestión que pudiera suponerse incluida, sin estarlo.
Dentro de este paso debe contemplarse, también, la fijación de los

interlocutores del equipo auditor, es decir, determinar quiénes tendrán poder de
decisión y de validación dentro de la empresa en el proyecto de auditoría.
Igualmente, en esta instancia, deben determinarse los destinatarios del Informe
Final.
3) Relevamiento e investigación:
Esta etapa es la que demanda mayor esfuerzo, tiempo y recursos de un

programa de auditoría; en ella el auditor debe involucrarse en forma personal
procurando obtener la mayor cantidad posible de información de "primera
mano". Comprende las siguientes actividades:
16
-Elaboración del Plan de Auditoría y de los Programas de Trabajo: Una vez

hecho el estudio inicial y asignados los recursos necesarios para la auditoría, el
responsable de la misma y sus colaboradores establecen el Plan de Auditoría,
donde el encargado de cada grupo de trabajo programa las actividades que le
corresponden y las eleva al responsable general del proyecto para ser
compatibilizadas.
Características del Plan de Auditoría:

• Establece los recursos globales que van a ser necesarios para el
trabajo.
• Establece las prioridades de evaluación sobre el material auditable (de
acuerdo con las indicaciones del cliente).
• Establece la disponibilidad requerida del personal y de los demás
recursos a controlar.
• Describe las tareas a realizar y las responsabilidades de cada integrante
del equipo de trabajo.
• Establece las ayudas que el auditor debe recibir por parte del auditado.
• No se consideran calendarios porque en esta instancia se manejan
recursos genéricos y no específicos.
Una vez elaborado el Plan de Auditoría, se procede a la programación detallada

de sus actividades. En esta instancia se elaboran los Programas de Trabajo que
son las cuantificaciones del Plan de Auditoría. En ellos se asignan los recursos
humanos y materiales concretos para cada segmento del plan general. En los
Programas de Trabajo se establece el calendario real de actividades a realizar;
estos documentos sirven para controlar el grado de avance del proyecto de
auditoría.
-Ejecución de las actividades de relevamiento: En este punto el auditor debe

documentarse sobre cómo trabaja el área o sistema que se está auditando. En
cuando se realizan las actividades concretas -in situ- del trabajo de auditoría:
observación del ambiente de trabajo, entrevistas, encuestas, análisis de
documentación, etc. Las técnicas y/o herramientas a utilizadar serán descriptas
en la próxima unidad.
4) Análisis:
17
Realizadas las tareas de relevamiento e investigación, las actividades de esta

etapa consisten en procesar la información recabada, evaluar la calidad de los
controles y sacar las conclusiones pertinentes; es decir clasificar, elaborar,
ordenar los “papeles de trabajo” obtenidos en la etapa anterior. El objetivo es
obtener la información documentada necesaria para avalar el resultado del
trabajo, es decir respaldar el Informe de Auditoría.
5) Elaboración del Informe:
La elaboración del Informe Final es el último paso de una auditoría. Es el

exponente de la calidad del trabajo y el lugar donde el auditor avala personal y
profesionalmente su juicio en forma documental.
Es el resultado tangible del trabajo de auditoría. Todo lo que se vuelque en el

informe debe estar avalado por los papeles de trabajo, constancias
documentales o pruebas tangibles y objetivas; de otra manera éste puede ser
objetado y hasta desechado.
Los hechos a incluir en un informe de auditoría implican la existencia de una

debilidad detectada que ha de ser corregida o puntos de control que deben ser
fortalecidos. El Informe debe incluir solamente hechos importantes. La inclusión
de hechos poco relevantes o accesorios desvía la atención del lector y desvirtúa
el informe en su conjunto.
Resulta evidente la necesidad de reactar borradores e informes parciales y

previos del Informe Final, ya que es el método más adecuado para equilibrar las
técnicas analíticas utilizadas durante el trabajo de relevamiento, con las
sintéticas que exige la confección de este informe. Los borradores e informes
parciales pueden ser usados como elementos de contraste de opiniones entre
auditor y auditado, y pueden descubrir fallos de apreciación por parte de los
especialistas al evaluar las materias auditadas.
18
Estructura del Informe Final
El documento que formaliza la ejecución del trabajo de auditoría es el

Informe Final. Según Acha Iturmendi8, sus capítulos son:
1) Marco de ejecución del trabajo de auditoría. El informe se inicia

especificando las fechas de comienzo de la auditoría y de redacción
del documento. Se incluyen asimismo los nombres de los especialistas
integrantes del equipo auditor y los nombres de todas las personas
entrevistadas (con indicación de la posición, responsabilidad o puesto
de trabajo que ostenten).
2) Definición de objetivos y alcance de la auditoría.
3) Enumeración de temas considerados. Antes de tratarlos en

profundidad, se enumerarán lo más exhaustivamente posible todos los
temas objeto de la auditoría.
4) Cuerpo expositivo (Observaciones). Para cada tema objeto de

auditoría se sigue el siguiente orden:
−Situación actual. Cuando se trate de una revisión periódica, en la que
se analiza no solamente una situación, sino además su evolucion en
el tiempo, se expondrá la situación prevista y la situación real.
−Tendencias. Se tratarán de hallar parámetros de correlación que
permitan establecer tendencias de situación futura; no siempre es
posible tal pretensión.
−Puntos débiles y amenazas. Deberán explicarse por sí mismos, sin
referencias a otros lugares del informe.
5) Recomendaciones y Planes de Acción. Constituyen, junto con la

exposición de puntos débiles, el verdadero objeto de una auditoría.
Consejos:
• Siempre se explicitará la palabra “recomendación”, y ninguna otra.
• Deberán entenderse por sí solas, por su simple lectura.
• Deberán ser concretas y exactas en el tiempo, para que puedan ser
seguidas y verificadas en su implementación.
• Las recomendaciones se redactarán de forma tal que vayan dirigidas
expresamente a la persona o personas que puedan implementarlas.
• Deberán evitarse las recomendaciones demasiado generales.
6) Redacción de la “Carta de Introducción” o “Presentación”. Este

documento tiene especial importancia porque en pocas hojas resume
la auditoría realizada, de manera que el cliente pueda formarse una
idea aproximada de la situación final con la sola lectura de este informe
sintético. Así como pueden existir tantas copias del Informe Final como
solicite el cliente, no deberían hacerse copias de este documento, ya
que la información que contiene es de naturaleza confidencial. Su
destinatario debe ser la autoridad máxima de la empresa (o a quien
ella delegue expresamente).
8
ACHA ITURMENDI, J.JOSE, “Auditoría Informática de la empresa”, Editorial Paraninfo, Madrid,
1994. Capítulo 6.
19
7. ANTECEDENTES
Al hablar de auditoría en una empresa se piensa en un contador revisando el

sistema de información contable. Los primeros sistemas de procesamiento
electrónico de datos (computadores) fueron aplicados para automatizar las
tareas administrativo-contables de las empresas. Por consiguiente, los primeros
trabajos de auditoría que se realizaron en los entornos informáticos fueron
auditorías al sistema de información contable o económico-financiero y fueron
entonces ejecutados por los mismos especialistas que ya estaban controlando
dichas actividades: los contadores-auditores. En principio tomaron al
computador como una "caja negra", es decir se limitaron a analizar la entrada y
salida de los datos sin preocuparse de cómo se procesaban, dando origen a las
técnicas de auditoría “alrededor del computador”.
Luego, los auditores contables comprendieron que necesitaban conocer cómo

se procesaba la información, para ello se informaron respecto de los principales
aspectos técnicos relacionados con la nueva herramienta, dando lugar al
desarrollo de las técnicas de auditoría “a través del computador”. Como una
extensión del alcance de su trabajo, también se ocuparon de analizar el
funcionamiento (la gestión) del entorno donde residía la información objeto de
análisis, es decir auditar el ambiente informático en sus aspectos técnicos:
equipamiento, programas, comunicación de datos, etc., enmarcados en trabajos
de “auditorías operativas” al Centro de Cómputos. De esta manera, ejecutaron
trabajos de auditoría informática o de sistemas, según la óptica de los
especialistas en sistemas.
7.1.¿Equivalentes?
Muchos autores consideran a los términos Auditoría de Sistemas y Auditoría

Informática como equivalentes; sin embargo, creemos oportuno hacer algunas
consideraciones al respecto:
20
Auditoría de sistemas es un término con varias acepciones y abarca ámbitos

más amplios. En general, se refiere a las actividades de evaluación y control de
los sistemas de información de una organización.
Sin perjuicio de otros trabajos también rotulados como “auditoría de sistemas”,

se suelen denominar así a tres tipos de auditorías:
- las que evalúan la operatividad de los sistemas de gestión de la

organización, llamadas también “auditorías operativas”.
- las que evalúan la eficiencia de los sistemas de información de la empresa.
- las que evalúan la funcionalidad de los paquetes aplicativos implementados,
incluídas también dentro de una auditoría informática.
Históricamente, el sistema de información de una empresa sobre el que se

hacían auditorías era el contable, que reflejaba la situación económico-
financiera de la empresa. La irrupción de tecnologías de procesamiento
electrónico de datos facilitó el desarrollo y automatización de otros sistemas de
información en la empresa, los que completan y complementan el contable. Esta
situación justifica la necesidad de auditar todos los sistemas de información de
la entidad, incluyendo los de gestión de ventas, gestión de compras,
administración de activos fijos, administración de inventarios, etc.
Auditoría infomática, en cambio, se ocupa sólo de evaluar cómo se utilizan los

recursos informáticos que dispone la organización. Es un análisis de eficiencia y
puede llegar, incluso, a considerar las nuevas tecnologías disponibles en el
mercado (los recursos potenciales) aplicables al procesamiento de datos.
La auditoría informática de una entidad, en algunos casos, incluye la evaluación

de los sistemas de aplicación en producción, tareas comprendidas también en
una auditoría de sistemas. A su vez, una auditoría de sistemas puede incluir la
evaluación de los recursos informáticos que se usan para mantenerlo operativo.
De ahí que sus ámbitos de actuación se crucen, confundan y nos lleven a
considerar ambos términos como equivalentes.
21
7.2.Otras auditorías en entornos informáticos
Otra tipo de trabajo de auditoría posible en estos ambientes es el relacionado

con seguridad informática. Los estudios sobre este tema suelen estar incluídos
como un item más dentro de los trabajos de auditoría realizados en un entorno
de procesamiento de datos. Sin embargo, el mercado está requiriendo de
especialistas exclusivos en seguridad informática. La complejidad e importancia
del tema exige y justifica que actúen técnicos específicos en seguridad y
prevención de cada uno de los aspectos involucrados: comercio electrónico,
bases de datos, comunicación de datos, etc. La seguridad del sistema
informático afecta en forma directa al control interno de los sistemas financiero-
contables. Actualmente los mayores demandantes de herramientas de
seguridad informática provienen del ambiente bancario, de seguros y de
defensa y, últimamente, de los sistemas de comercio electrónico y tarjetas de
crédito.
Por último, consideremos otro tipo de trabajos de auditoría posibles en un

entorno computarizado, las auditorías de proyectos informáticos. Al respecto
podemos decir que son poco frecuentes, sólo proyectos informáticos con
grandes presupuestos o muy complejos los justifican y son normalmente
realizados por especialistas en sistemas. En este material no desarrollaremos
los aspectos relacionados con este tipo de trabajos de auditoría; sin embargo,
sugerimos asemejarlas a las tareas de control que se realizan a la ejecución de
cualquier tipo de proyecto.
22
CUESTIONARIO DE REVISION
¿Qué es auditoría?
¿Qué es control y qué comprende el control interno?
¿Qué son las pistas de auditoría?
23
¿Cuáles son las diferencias entre auditoría y consultoría?
¿Qué tipos de trabajos de auditoría se pueden realizar en un

entorno informático y cuáles son los objetivos de cada uno
de ellos? Descríbalos
24
UNIDAD 2
Auditoría de
Sistemas de
Información
25
26
CAPITULO 2
Auditoría de sistemas de información
1. INTRODUCCION
En este capítulo trataremos los trabajos de auditorías de sistemas o auditoría de

sistemas de información. Tomaremos como caso el sistema de información más
desarrollado, difundido y con mayor historia dentro de las organizaciones: "la
contabilidad" o sistema de información económico-financiero. Este sistema de
información fue el primero en formalizarse y estandarizarse, sirve tanto para
registrar el desempeño de una entidad o persona en lo que respecta a los
aspectos económicos-financieros como para efectuar comparaciones entre
entidades de la economía, obtener cifras globales (consolidación entre
empresas) de un sector de la economía, etc.
El sistema de información contable se desarrolló en una primera instancia para

trabajar en un entorno manual (libros contables, documentación escrita,
comprobantes, etc.) y así permaneció por varios siglos; en las últimas décadas
del siglo XX fue cuando sufrió las mayores transformaciones, a partir de las
máquinas de "registro directo" primero y, posteriormente, las computadoras
cambiaron por completo el ambiente de trabajo.
En este material, entonces, vamos a tomar al sistema de información contable

como ejemplo de un sistema de información y sobre él desarrollaremos las
técnicas y procedimientos para efectuar "auditoría de sistemas". Las razones
son varias y poderosas: es el sistema más estandarizado, está vigente en todas
las organizaciones, tiene mayor cantidad de especialistas, etc. Sin embargo, ello
no obsta para que aclaremos que en una organización existen muchos sistemas
de información que se interrelacionan y complementan con el contable y que,
quizá, son aún más importantes para la entidad que éste último y, por lo tanto,
deben considerarse también candidatos firmes para una "auditoría de sistemas".
Comenzaremos, entonces, por repasar algunos conceptos de contabilidad,
elementos que nos ayudarán a entender cómo realizar un trabajo de auditoría
en este tipo de sistema de información.
27
1.1. El sistema de información contable
Recordemos el concepto de contabilidad: proceso de identificación, medición,

registro y comunicación de los datos económicos de una entidad. Incluye el
sistema de información económico-financiero de la misma. La finalidad que
persigue es permitir a los administradores de la organización emitir juicios y
tomar decisiones basadas en datos reales.
Una vez producido un hecho económico, se refleja en los diferentes estados del
sistema contable, en distintos momentos. Primero se registra en el diario, luego
puede “mayorizarse” y, por último, al fin del ejercicio se refleja en el balance.
Así, los pasos para el registro de una transacción son:9
Ciclo de registración contable
Documentos
Examen y formulación contable

1
Clasificación cronológica
2 DIARIO
Clasificación sistemática
3
MAYOR
Síntesis
4 BALANCE
9
RIVAS, GONZALO A., Auditoría informática,, Madrid, Edic. Díaz de Santos, 1989, pág.30.
28
Objetivos de una auditoría contable
“Auditoría contable es el examen independiente de los estados financieros de una

entidad, con la finalidad de emitir o expresar una opinión sobre los mismos”.10
El objetivo es:
• Comparar las transacciones del período y el patrimonio al final del

ejercicio registrados en la contabilidad.
• Comparar la valuación asignada a las transacciones y al patrimonio.
Sin embargo, es necesario destacar que:
“... existe un conflicto de intereses. La empresa es quien compila sus propios

estados contables, y la comunidad con el objeto de conseguir la compatibilidad
necesaria de ellos, establece un control denominado auditoría externa de estados
contables...”4
“El objetivo principal de una auditoría, consiste en examinar los estados
financieros de una empresa o institución, aplicando unas normas de actuación
generalmente aceptadas de forma que permita al profesional encargado de su
realización informar sobre la veracidad y razonabilidad de la situación financiera
examinada, al tiempo que se pronuncia sobre si los mismos están confeccionados
de acuerdo con principios de contabilidad generalmente admitidos, y si han sido
aplicados de manera uniforme en ejercicios anteriores”.11
Para ello:
“El auditor, contador público independiente, lleva a cabo una investigación crítica
de los estados contables con el objetivo de formarse un juicio sobre la veracidad
de tal información y comunicarlo a la comunidad. Esta es la tarea del auditor y lo
que se denomina auditoría externa de estados contables.”12
10
GABRIEL GUTIERREZ VIVAS, "Auditoría e Informática", en: CENTRO REGIONAL DEL IBI
PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunión de expertos
sobre "AUDITORIA INFORMATICA", Madrid,1987, pág. 87.
11
PEREZ GOMEZ, JOSE MANUEL , "Auditoría Informática de las Organizaciones", en: CENTRO
REGIONAL DEL IBI PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA,
Reunión de expertos sobre "AUDITORIA INFORMATICA", Madrid,1987, pág. 17
12
FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES EN CIENCIAS ECONOMICAS.
CENTRO DE ESTUDIOS CIENTIFICOS Y TECNICOS (CECYT), Area Auditoría - Informe Nº 5 -
MANUAL DE AUDITORIA, Buenos Aires, 1985, pág 42.
29
Normas para la ejecución de un trabajo de auditoría contable en

un entorno computarizado
En general, los autores coinciden en que las normas de auditoría vigentes han
sido creadas para examinar los registros de los sistemas contables en
ambientes manual-mecánicos. Sin embargo, proponen que también son válidas
para la ejecución de este tipo de trabajos en un entorno computarizado. Es
decir, se pueden aplicar sin importar el ámbito donde ésta se realice.
Gutiérrez Vivas señala al respecto que:

“Las Normas de Auditoría a tener en cuenta en la ejecución de un trabajo de
auditoría en un entorno informático no tienen variación alguna, modificándose los
procedimientos y medios utilizados por el auditor para el cumplimiento de dichas
normas”.13
Sin embargo, el mismo autor destaca que existe conciencia de que algunas
acciones deberían tomarse para adecuar la auditoría al nuevo ambiente; por eso
propone que:
“El Instituto de Censores Jurados de Cuentas ... participa igualmente de la opinión
de considerar a la informática como una herramienta de la auditoría y como tal
tiene el proyecto de emitir una Norma de Auditoría que contemple las
consideraciones a tener en cuenta por el auditor en la ejecución del trabajo en un
contexto informatizado”.14
En nuestro país se aplica el Informe N° 615 como norma para regular la

ejecución de Auditorías Contables en un "contexto computarizado"
1.2. Evolución y alcance de la auditoría contable
Los objetivos perseguidos por la auditoría contable y su campo de acción han

evolucionado gradualmente; desde la cautela de los activos (bienes) y la forma
en que éstos son administrados para poder emitir una opinión sobre la
razonabilidad de los estados financieros de la empresa, hasta pronunciarse
respecto del comportamiento de los restantes sistemas de información en
producción, los procedimientos administrativos de los mismos, la evaluación de
13
GABRIEL GUTIERREZ VIVAS, "Auditoría e Informática", en: CENTRO REGIONAL DEL IBI
PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunión de expertos
sobre "AUDITORIA INFORMATICA", Madrid,1987, pág. 89.
14
Idem 7, pág. 93.
15
CENTRO DE ESTUDIOS CIENTIFICOS Y TECNICOS (CECYT), Informe Nº 6 - Pautas para el
examen de estados contables en un contexto computarizado, Buenos Aires, s. f.
30
la eficiencia y economía con que se administran y consumen los recursos, e

incluso, el logro de las metas y objetivos establecidos por la institución.
"Independientemente del campo de acción o del objeto o materia de examen,

aspectos que han derivado en los diversos apellidos de la Auditoría, lo que debe
quedar en claro es que la Auditoría es una técnica moderna de control que
comprende un examen o revisión de carácter CRITICO (exige pruebas
evidenciales), SISTEMATICO (se basa en normas, métodos, procedimientos y
técnicas), y SELECTIVO (sobre la base de encuestas representativas) de
funciones, operaciones e informes, con la finalidad de emitir una OPINION
profesional, OBJETIVA, FUNDAMENTADA, e IMPARCIAL del OBJETO de su
examen".16
Para poder efectuar en forma eficaz su tarea el auditor debe realizar un

sinnúmero de actividades, en muchos casos ajenas a la actividad contable, por
lo que el profesional contable actuante necesita la colaboración de diversos
especialistas y técnicos; de allí que se estila el desarrollo de trabajos de
auditoría sobre la base de equipos multidisciplinarios.
16
JORGE MERIDA MUÑOZ, "Auditoría Informática: Conceptos, evolución y perspectivas", en:
CENTRO REGIONAL DEL IBI PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), ACTAS, I
Congreso Iberoamericano de Informática y Auditoría, San Juan de Puerto Rico, Madrid, 1988, pág.
72.
31
2. DIFICULTADES APORTADAS POR EL AMBIENTE

INFORMATICO
Características de un computador
Nardelli17, nos señala las características más importantes de un computador en

su relación con la auditoría. Ellas son:
• Automatismo del computador. El computador como un autómata nos

libera del comportamiento probabilístico de los seres humanos.
• Determinismo del algoritmo. El computador trabaja mediante un proceso

exactamente definido que fija la secuencia estricta en que ha de
realizarse una serie de operaciones para arribar a un resultado
prefijado. Esto lo realiza un programa que en realidad se trata de un
modelo determinístico.
Se podría resumir en que un computador actúa siempre igual ante iguales

situaciones; su comportamento no es autónomo, sino que debe ser previamente
determinado por el hombre (a través de un programa). Como corolario, el riesgo
no está en el instrumento en sí (el computador), sino en quién lo maneja y
controla (el programador u operador).
¿Qué opinan los especialistas?
Cuando se realizan trabajos de auditoría en un entorno computarizado el auditor

se encuentra con problemas propios del ambiente. A modo de ejemplo
reproducimos a continuación opiniones de autores especializados, quienes
destacan en forma coincidente algunas de esas dificultades.
17
JORGE NARDELLI, Auditoría y Seguridad de los Sistemas de Computación, Buenos Aires,
Editorial Cangallo, 1984.
32
J.M. Pérez Gómez18, destaca:
• La información (los registros en general) no está visible al ojo humano.

Los datos del sistema de información contable residen en un medio no
visible y sólo accesible por el computador.
• En la elaboración de la información se realiza todo tipo de operaciones
intermedias sin dejar rastros o constancias de las mismas. Así, esta
información resulta más vulnerable a su modificación, en comparación
con los sistemas manuales.
• Gran parte de la tarea de procesamiento y control de la información que
se realizaba en forma manual, es sustituida por el programa.
Nardelli19, cuando trata el “Impacto de los computadores sobre las tareas de

auditoría”, enuncia los siguientes problemas:
• Cambios de las pistas de auditoría. Cita como ejemplo las

transacciones generadas dentro de un sistema de “transferencia
electrónica de fondos” (ej.: operaciones realizadas por cajeros
automáticos), donde es el propio sistema informático el que genera
(la fuente) de las transacciones, en este caso en forma electrónica,
es decir, sin el soporte papel que las avala y documenta.
• Necesidad de adecuar las normas de auditoría a una operatoria
electrónica.
• Necesidad de proveer pericia técnica adecuada al auditor.
18
JOSE MANUEL PEREZ GOMEZ, "Auditoría de las organizaciones”, en CENTRO REGIONAL
DEL IBI PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunión de
expertos sobre "AUDITORIA INFORMATICA", Madrid,1987, pág. 17.
19
JORGE NARDELLI, Auditoría y Seguridad de los Sistemas de Computación, Buenos Aires,
Editorial Cangallo, 1984.
33
Jorge Mérida Muñoz20, cuando habla sobre los efectos de la computación en el

control señala:
• Una participación cada vez menor de las personas en la

transformación de los datos; esto incide en el control preventivo de
errores u omisiones.
• El almacenamiento de los datos -en medios magnéticos- es invisible
al ojo humano.
• Se genera una dependencia de personal especializado para
manipular la información interna de la empresa.
Rafael Ruano Diez21, expresa: "La dificultad principal para el auditor estriba en
que cada vez más se perderá la pista de la generación de información" (la pista
de auditoría), esto es, no son verificables manualmente por el auditor. Además,
el hecho de que las transacciones vitales sean producidas por el computador,
hace posible que los archivos magnéticos conteniendo esta información pueden
ser alterados o copiados sin que quede pista de lo que ha ocurrido.
Enrique Fernández Bargués22, nos dice que:
"la verificación del sistema y sus procesos se hace más compleja a medida que
nos enfrentamos con sistemas más integrados, donde la realización a través del
ordenador de las transacciones elementales del negocio genera los
correspondientes asientos contables de forma automática, e incluso operaciones
tradicionalmente efectuadas por el Departamento Contable como las
amortizaciones, se efectúan sin intervención manual alguna”
20
MERIDA MUÑOZ, JORGE, “Auditoría informática: conceptos, evolución y perspectivas”,
CENTRO REGIONAL DEL IBI PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), ACTAS, I
Congreso Iberoamericano de Informática y Auditoría, San Juan de Puerto Rico, Madrid, 1988, pág.
72.
21
RUANO DIEZ, R., "La evolución de la tecnología y su efecto en la Auditoría Informatizada", en:
CENTRO REGIONAL DEL IBI PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), PAPELES
DE AVILA, Reunión de expertos sobre "AUDITORIA INFORMATICA", Madrid,1987, pág. 117.
22
FERNANDEZ BARGUES, E., "Auditoría e informática", en CENTRO REGIONAL DEL IBI PARA
LA ENSEÑANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunión de expertos sobre
"AUDITORIA INFORMATICA", Madrid,1987, pág. 66.
34
En síntesis, podemos afirmar que los problemas generados por la aplicación de

tecnología informática en el tratamiento de datos son:
• La información ya no es accesible directamente al ojo humano.
• Se depende para el acceso a la información de especialistas en

informática, ajenos a la profesión del auditor.
• Facilidad para modificar la información que reside en los medios

de almacenamiento magnéticos sin dejar rastros; esta
característica es conocida como fenómeno de “volatilidad” de los
datos y es un aspecto que afecta especialmente a las pistas de
auditoría registradas por los sistemas. El próximo capítulo se
dedica en forma completa a tratar esta problemática
• Gran parte de los controles se delegan al propio sistema

informático, dando lugar a la instrumentación de los llamados
“controles programados”.
35
3. SISTEMA DE CONTROL INTERNO
Uno de los aspectos que más interesa en la evaluación (auditoría) de los

sistemas de información es la comprobación de la existencia de “puntos de
control interno”. La finalidad es que éstos sean suficientemente confiables,
independientemente de quienes los operen.
Control interno es el conjunto de normas, reglas, directivas e instrucciones que

los responsables de una organización establecen a fin de coordinar, dirigir y
controlar a sus subordinados en la ejecución de las tareas que se realizan23.
El control interno también puede ser definido como “el conjunto de medidas que
contribuyen al dominio de la empresa. Tiene como finalidad, por un lado,
asegurar la protección y salvaguarda del patrimonio y la calidad de la
información, y por otro, la aplicación de las instrucciones de la dirección y
favorecer la mejora de las actuaciones. Se manifiesta por medio de la
organización, los métodos y procedimientos de algunas de las actividades de la
empresa para mantener la perennidad de la misma”.24
Control interno es también el conjunto de normas, reglas directivas e

instrucciones que forman el plan de la organización y todos los métodos y
procedimientos que, en forma coordinada, se adoptan para asegurar que las
amenazas sean mitigadas o detenidas y que los componentes sean
resguardados, restringidos o protegidos.
Como vemos, el control interno se refiere a los métodos, políticas y

procedimientos adoptados dentro de una organización para asegurar la
salvaguarda de los activos, la exactitud y confiabilidad de la información
gerencial y los registros financieros, la promoción de eficiencia administrativa y
la adherencia a los estándares de la gerencia.
23
Para ampliar conceptos sobre control interno recomendamos: VOLPENTESTA, Jorge Roberto,
Estudio de Sistemas de Información para la Administración, Ed. O.D.Buyattii, Bs.As., 1993. pág.
155 a 173.
24
DERRIEN, YANN, “Técnicas de la auditoría informática”, Marcombo, España, 1994, pág. 7.
36
El control interno se refiere a los procesos y las prácticas por las cuales la
gerencia intenta asegurar que las decisiones y actividades aprobadas y
apropiadas son hechas y llevadas a cabo. Estas decisiones y actividades
pueden estar gobernadas por “fuerzas” externas: leyes y regulaciones, éticas
profesionales y estándares de auditoría; o por factores internos: controles
implementados para asegurar a la Dirección que el negocio funciona de la
manera esperada.
El control interno apunta a prevenir que funcionarios, empleados y gente externa

a la organización puedan involucrarse en actividades prohibidas o inapropiadas.
De esta manera, el control interno provee el mecanismo para prevenir el caos, la
crisis gerencial, y otros eventos anormales que interfieren en el manejo eficiente
de una organización. Sin los controles apropiados, cada decisión se convierte
en una adivinanza.
Al igual que cualquier procedimiento estándar, para ser efectivos, los controles
deben ser revisados y mantenidos; cuando ello ocurre, los controles trabajan en
beneficio del negocio. Dichos controles no deberían ser tan rígidos como para
hacer difícil cualquier acción, pero no pueden ser tan flexibles que sean la causa
de que nada trabaje bien.
Otro autor25 nos dice: un sistema de control interno es un proceso llevado a

cabo por la Dirección de la organización (Directorio, Gerencia) a los efectos de
brindar una seguridad razonable para el logro de los objetivos de la empresa en
lo que hace a:
• Eficacia y eficiencia de la entidad

• Confiabilidad de la información financiera
• Cumplimiento de las leyes y normas aplicables
La primera categoría se relaciona con los objetivos del negocio de una empresa,
incluyendo la rentabilidad; la segunda con la preparación de información
financiera confiable, incluyendo sus estados contables, mientras que la tercera
se refiere al cumplimiento de las leyes y normas a las que está sujeta.
25
NAVEYRA, JULIO P. y BARBAFINA, MARTIN, “Principios básicos de control interno”.
37
Características del control interno
• Es preventivo.
• Está indisolublemente unido a los sistemas administrativos y contables de la
organización, incorporado al diseño de la estructura, de los procedimientos y
sistemas administrativos.
• No es esporádico ni externo al sistema que sirve, ni a la empresa u
organización en que éste opera. Es continuo.
• Implica eficacia en los procedimientos y controles, eficiencia operativa y
seguridad en materia de información.
• Busca optimizar la relación costo/beneficio para determinar la configuración y
profundidad (alcance) de los controles a efectuar, es decir, tiene en cuenta el
concepto de economicidad del control.
3.1. Impacto de la tecnología en el Control Interno
Pérez Gómez26, especialista en el tema, afirma que:

• El ordenador no afecta los objetivos del trabajo del auditor, pero sí afecta al
sistema de control interno de la empresa, así como a las técnicas de
comprobación o rastreo.
Y recomienda examinar y comprender la circulación de los datos económico-

financieros de una empresa, desde su aparición, continuando con las
transformaciones realizadas hasta su registro como información de salida. Para
ello es necesario conocer cuáles son:
- Las fuentes de la información elemental (documentación).
- Las distintas combinaciones de esta información elemental a lo
largo del procesamiento de la misma.
- Las pistas de auditoría.
- Los controles tanto manuales como informáticos (automáticos)
establecidos a lo largo del recorrido.
Es decir, los objetivos del trabajo siguen manteniéndose, el cambio respecto a la

auditoría tradicional es el entorno. Por ello, los auditores insisten en privilegiar la
26
JOSE MANUEL PEREZ GOMEZ, "Auditoría Informática de las Organizaciones", en: CENTRO
REGIONAL DEL IBI PARA LA ENSEÑANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA,
Reunión de expertos sobre "AUDITORIA INFORMATICA", Madrid,1987, pág. 17.
38
revisión del sistema de control interno: satisfechos con las medidas de control
interno implementadas, dan por buenos los datos que genera el sistema de
información económico-financiero.
En general, se coincide que al efectuar la revisión del sistema de control interno

en un ambiente computarizado dentro del marco de una auditoría a un sistema
de información deben controlarse especialmente los siguientes aspectos:
• Adecuada segregación de funciones. En un sistema de información

computarizado la segregación de funciones pasa a ser administrada por
herramientas informáticas a través de grupos de usuarios (control de
accesos) y perfiles de seguridad (permisos y derechos).
También los auditores se ocupan de la separación entre operadores y

programadores porque tiene consecuencias directas sobre la calidad de los
datos. En general se procura implementar controles para que sólo puedan
modificar programas quienes estén autorizados, y con la precaución de dejar
registros de su identidad y de los cambios realizados. Esto implica
instrumentar mecanismos para mantener actualizada la documentación de
los programas de aplicación, incluyendo las modificaciones que se efectúan
sobre los mismos. En este aspecto, tienen suma importancia las
metodologías y los productos que se utilizan para el desarrollo y
mantenimiento de los sistemas de aplicación, por ejemplo, las herramientas
CASE aseguran un ambiente de desarrollo bajo control con documentación
actualizada.
• Control del acceso a los datos críticos y funciones de procesamiento. Se

sugiere implementar controles para asegurar que sólo las personas
debidamente autorizadas puedan activar procesos que impliquen cambios en
la información económico-financiera de la organización. También es
importante implementar mecanismos de control para asegurar la
confidencialidad de la información, es decir, controlar a quienes acceden a
los datos: sólo deberían acceder a la información quienes estén autorizados.
• Acceso general al sistema. A veces, éste es el primer aspecto que el auditor

tiene en consideración al analizar el sistema de control interno de un
ambiente computarizado. Algunos de los controles de esta categoría están
39
provistos por el sistema operativo del equipo, otros son controles más
convencionales, como verificar quiénes acceden al área de Cómputos. En
general, se ocupan de la "identificación" de usuarios (aseguran que sólo
ingresen al sistema los usuarios autorizados) y de la "autenticación" de
usuarios (validan la identidad utilizando contraseñas o passwords secretas,
combinadas algunas veces con la posesión de elementos físicos como
tarjetas magnéticas o tarjetas inteligentes o midiendo características
biométricas como huellas digitales).
3.2. Objetivos del control interno
El objetivo del sistema de control interno es asegurar que los activos de la

organización no se expongan a riesgos innecesarios, verificar la razonabilidad y
confiabilidad de la información financiera, promover la eficiencia operacional y
provocar la adherencia a las políticas prescriptas por la administración. Al existir
un sistema de control interno adecuado, tanto las amenazas como el grado de
riesgo o exposición se reducen a un nivel aceptable.
Por lo tanto, el objetivo del sistema de control interno es prevenir y no detectar

situaciones irregulares una vez que éstas han sido cometidas. En general, los
principios del control interno tienden a la satisfacción de las siguientes metas:
• Adecuada protección de los activos. Debe instrumentar medidas para
salvaguardar el patrimonio o bienes de la organización -tanto tangibles como
intangibles- contra errores e irregularidades. Los errores son fallas no
intencionadas, ocurridas durante el normal desempeño de las actividades, y
las irregularidades son actos intencionales, tendientes a ejecutar un fraude o
alguna otra actividad ilícita contra los bienes de la organización.
• Proveer información confiable. Considera el control sobre la exactitud,
confiabilidad y oportunidad de los datos que se procesan, a fin de obtener
información confiable -tanto para la toma de decisiones como para la
ejecución del resto de las actividades-.
• Promover la eficiencia operativa y la seguridad general de la organización.
3.3. Importancia del control interno
La necesidad de un adecuado sistema de control interno es creciente conforme
40
aumenta el tamaño y la complejidad de una organización, por eso es

inapropiado hablar de un sistema de control interno en una empresa
unipersonal.
De acuerdo a la evolución del ambiente en el cual se desarrollan las tareas de

auditoría -de manual a computarizado-, se fue haciendo cada vez más
importante el empleo de medidas de control interno. El objetivo del auditor en
estos casos es controlar la existencia de "tejidos y mallas de contención" de
conductas y procedimientos que impliquen riesgos, que ocasionen dificultades
para el normal desenvolvimiento de la organización o que impidan que ésta
opere con agilidad.
El ambiente administrativo tradicional fue modificado por la aparición del

computador; en funciones como las registraciones contables, incidió sobre las
tareas más elementales:
- cálculo, resumen, almacenamiento y clasificación de datos.
- transmisión de datos.
- integridad de los sistemas.
- generación de documentos fuentes. Observemos que en la actualidad los
sistemas informáticos tienden a prescindir de los documentos que avalan las
operaciones: facturas, remitos, recibos, etc., y hasta suprimen, a veces, su
generación.
La importancia fundamental del sistema de control interno en un entorno

informático, es que, si este control es razonablemente aceptable, se dan por
buenos los datos que genera el sistema de información computarizado. Por lo
tanto, una de las normas para la ejecución de un trabajo de auditoría en un
entorno computacional, es el estudio y evaluación del sistema de control interno.
Las normas no varían, lo que se modifica son los procedimientos y medios
utilizados por el auditor.
41
3.4. Elementos sobre los que trabaja el control interno
Un sistema de control interno opera sobre la estructura, los procedimientos y el

personal de una organización. Veamos cómo opera en cada uno:
a) En la estructura
La estructura de una entidad (reflejada en el organigrama) provee al sistema de

control interno de información sobre la división de tareas y responsabilidades, y
de los mecanismos de coordinación necesarios para el desarrollo eficiente de
las funciones. Así, la estructura aporta:
- División de funciones evitando la existencia de tierras de nadie o zonas
grises. Es decir, procurar que ningún sector pueda registrar y, a la vez,
controlar sus propias operaciones.
- Definición de misiones y funciones, y asignación de atribuciones y
responsabilidades.
- Separación en fases de una operación. Permite instrumentar mecanismos de
control por oposición de intereses.
b) En los procedimientos
Los procedimientos son las actividades programadas que utiliza una

organización para efectuar sus operaciones. En este ámbito es importante
destacar la necesidad de que existan manuales y/o documentación donde
encontrar las normas, detalle de los pasos o etapas de los procedimientos, los
registros y los documentos fuente.
Los procedimientos necesitan de:
- Manuales de procedimientos formalizados, donde las operaciones están

detalladas en forma escrita (pasos, formularios, documentos, etc.).
- Mecanismos o canales de reclamo.
Mecanismos de control que aseguren la precisión y seguimiento del
procesamiento (para ello se usan reportes automáticos de las transacciones
procesadas, formularios prenumerados, etc.
42
c) En los recursos humanos
El personal constituye dentro de la organización el elemento ejecutor de los

procedimientos. Las normas de control interno aplicables al personal se refieren
a la selección, entrenamiento y capacitación y evaluación de sus tareas.
Procuran evaluar:
– El procedimiento de búsqueda y selección de personal; procura asegurar la
calidad individual y las aptitudes necesarias para el puesto a cubrir.
– El entrenamiento y capacitación adecuado del personal.
– La rotación del personal, en especial de aquél asignado a puestos claves.
3.5. Medidas de control interno aplicables a un ambiente

computarizado
Como elemento integrante del sistema de control interno de la entidad, los

controles computarizados deben procurar potenciar los siguientes aspectos:
• Limitación de la autoridad: Busca establecer un régimen adecuado de

autorización de operaciones y actividades.
• Separación de tareas: Procura la segregación de tareas, de modo que
ninguna persona/puesto concentre las funciones de custodiar bienes,
autorizar las transacciones que los afecten y, a su vez, registrarlas.
• Protección física: Procura producir documentos y registros adecuados para
asegurar la debida contabilización y restringir el acceso de personas no
autorizadas a bienes y registros.
Las medidas de control interno aplicables a un sistema computarizado pueden

ser agrupadas en dos grandes categorías:
a) Control del entorno
Esta categoría contempla los controles aplicados sobre las actividades que se
desarrollan “alrededor” de una aplicación. Son aquéllos relacionados con la
operación de los programas. También incluye el control de las actividades de
construcción y mantenimiento de las aplicaciones; esto implica el diseño y la
43
programación de los sistemas, la puesta en marcha y uso de los programas, la

seguridad de operación y resguardo de los archivos de datos, el control de
acceso al sistema, etc.
Los controles del entorno pueden ser agrupados en aquellos orientados a:

• Operación del computador: asegura la consistencia de los procedimientos
operativos del computador, por ejemplo, implementar procedimientos y
asignar responsabilidades para las tareas de back-up, mantenimiento de
perfiles de usuarios, asignación de cuentas y password de usuarios, etc.
• Seguridad sobre archivos de datos: procura impedir accesos no autorizados
o cambios no deseados a los archivos de datos, por ejemplo, configurando
perfiles de acceso para directorios y archivos por medio de los mecanismos
de seguridad para los file system del sistema operativo.
• Mantenimiento de los programas: Comprende a los procedimientos internos
que involucran controles y autorizaciones para poner en producción nuevos
programas “ejecutables”. Se formalizan a través del uso de metodologías
para el desarrollo y procedmientos para gestionar las modificaciones; su
finalidad es impedir cambios no autorizados a los programas.
• Productos de software utilizados: procura evitar el uso incorrecto e indebido
de productos de software (sistema operativo, utilitarios, etc.) que puedan
afectar a la información sensible de la empresa. Por ejemplo, usando sólo
copias “legales” de los productos, estandarizando las herramientas de
productividad (procesadores de texto, planillas de cálculo, bases de datos
personales) que pueden utilizar los usuarios, implementando planes de
capacitación para los usuarios finales, etc.
b) Controles programados o de aplicación
Los controles de aplicación o controles programados son los mecanismos de

validación incorporados en los programas que procesan las operaciones de una
entidad, son procedimientos de verificación y validación ejecutados por los
programas de una aplicación que se ejecutan en forma automática. También
suelen incluirse en esta categoría los controles manuales realizados por los
usuarios de la aplicación antes y después de que los datos sean procesados por
el computador (controles visuales a los datos de entrada y salida).
44
Cuando los controles de una aplicación son llevados a cabo por el computador,
es decir por el programa que se está ejecutando en su memoria, reciben el
nombre de procedimientos programados o controles programados.
Es necesario asegurar que la formulación de los controles programados sea

efectuada en forma planificada y dentro del marco general de la aplicación,
evitando que se vayan incorporando sobre la marcha, en forma de remiendos.
La incorporación de controles programados en forma desordenada, fuera del
marco general del sistema o en contra de su diseño, llevan en general a un
acortamiento en su vida útil y/o a “crisis” generales en el mismo, generando la
necesidad de su reemplazo urgente, con los costos económicos y
organizacionales asociados.
3.6. Tipos de controles programados
Los controles programados a incorporar en una aplicación, serán particulares a

los problemas (controles) que se deseen resolver en el sistema de información
que estemos desarrollando. Para abordar los tipos de controles posibles de
programar, vamos a agruparlos en cuatro categorías, según el momento donde
intervienen en la transacción:
a) Controles de entrada
Son los mecanismos de control que operan sobre los datos que ingresan al
sistema. Permiten seleccionar los datos que entran al computador y aseguran
que se procesen en forma integral y correcta sólo las operaciones debidamente
autorizadas. Están relacionados con el control sobre la totalidad, exactitud,
validez y mantenimiento de los datos que ingresan al sistema. Consisten en
pruebas de validación, acumulación de totales, reconciliaciones, identificación e
informe de datos incorrectos, excepcionales o faltantes, etc.
Clasificación de los controles de entrada:

• de secuencia: verifican que las operaciones entren en el sistema en su
totalidad y en el orden correspondiente. Trabajan con documentos pre-
numerados.
45
• de comparación con datos preexistentes: impiden la aceptación de un dato si

éste no satisface las condiciones previamente establecidas por otro dato.
• por límites: rechazan o advierten que los datos de entrada que no estén
comprendidos dentro de determinados parámetros.
• por lotes: toma como elemento de control el resultado del procesamiento de
un dato correspondiente a un lote de entrada. Por ejemplo, total de venta
correspondiente a un día determinado en una sucursal (obtenido de la
planilla de Tesorería), este dato debe corresponderse con el resultado del
lote a procesar (lote de facturas) por la aplicación.
¿Cuándo se implementan los controles de entrada?

- En la preparación de la documentación fuente por parte del usuario: se
recomienda utilizar documentos de origen prenumerados y carátulas de control
para los lotes de documentos a procesar.
- En la digitación, cuando los datos contenidos en los documentos fuente se
convierten a soportes (digitales) capaces de ser leídos por el computador, es
conveniente contemplar las siguientes acciones: doble digitación de los campos
críticos, autorizar las operaciones sobre el mismo documento fuente, identificar
(marcar) los documentos fuente procesados, mantener un acceso restringido a
los documentos fuente, efectuar un control de balanceo de lotes, usar dígito
verificador, etc.
- En la consistencia de los datos: estos controles aseguran la calidad del dato.
Se agrupan en controles de: formato, falta del contenido, naturaleza del dato,
límite de razonabilidad/rango, correlación entre distintos campos, balanceo,
conciliación, items rechazados y en suspenso, apareo de registros, etc.
b) Controles de procesamiento
Los controles programados aplicados al procesamiento operan sobre las

transformaciones que se ejercen en los datos, una vez que la transacción entra
en el sistema. Por ejemplo, el control de balanceo de operación, necesario para
mantener la consistencia entre los datos de entrada y de salida. Procuran evitar
la realización de errores y/o fraudes, mejorar la seguridad y confiabilidad en el
procesamiento de los datos y la generación de información cierta.
Tipos de controles de procesamiento:

− control de límite (similares a los de entrada).
46
− prueba de sumas cruzadas (sumar desde varias fuentes el mismo item).

− prueba de balanceo cero (asegura que los créditos son iguales a los débitos).
− control de procesamiento duplicado (aseguran que una transacción no se
procese dos veces).
− control de items en suspenso
Los items en suspenso se generan en los casos de operaciones que, por algún
motivo, no han satisfecho los requisitos de entrada. En estos casos, se
recomienda que las operaciones incompletas ingresen (se graben) en un
archivo especial, de transacciones en suspenso. Posteriormente, cuando los
requisitos para procesar dichas transacciones estén cumplidos, podrán ser
“levantadas” desde dicho archivo y finalizar su procesamiento normalmente.
Por último, en los casos de sistemas on-line, los controles recomendados de

procesamiento aconsejan que las operaciones de borrado de registros no
ejecuten la baja física de los mismos, sino que los marquen, para ser
posteriormente depurados. También, aconsejan registrar los datos básicos de
las operaciones procesadas a medida que éstas se producen, en un archivo de
movimientos (log de transacciones).
c) Controles de salida
Los controles programados para la salida de datos procuran proteger la

información que genera el sistema de los potenciales errores y/o irregularidades
que pueden llegar a detectarse cuando se los lea. El sistema deberá establecer
los mecanismos que garanticen la exactitud de la información de salida, la cual
debe poder conciliarse con los datos fuentes.
Tienen como objetivo asegurar que:

− la información de salida sea completa y no pueda ser alterada por fuera del
sistema.
− la información se distribuya a las personas autorizadas, en tiempo y forma.
− se identifiquen convenientemente los soportes (en caso de ser magnéticos)
para facilitar el acceso a la información. Esto es especialmente importante
cuando los datos a guardar en formato digital tienen probabilidad de perdurar
47
en el tiempo (imagine Ud. datos guardados hace 15 años en disquetes de 8";

¿dónde puede leerlos ahora?).
d) Controles sobre los archivos
Los controles programados sobre los archivos operan tanto sobre los datos
permanentes del sistema, grabados en los archivos maestros, como sobre los
que guardan datos transitorios, en archivos de movimientos. Procuran proteger
los archivos grabados en soporte digital. Estos controles son ejercidos
principalmente por el sector de Operación o Explotación del departamento de
Sistemas y, también, por los propios usuarios.
Ejemplos de este tipo de controles programados son los listados emitidos

automáticamente por las aplicaciones, informando a los usuarios respecto a las
modificaciones efectuadas a datos críticos de los archivos maestros. Por
ejemplo:
− número de registros dados de alta, baja o modificados.
− número de registros existentes en los archivos antes y después de las
modificaciones.
− sumatoria del contenido de campos significativos que se deseen controlar,
etc.
Si bien la responsabilidad sobre los datos de un sistema recae en el usuario

final, el personal del área de Sistemas que apoya la gestión de las aplicaciones
debe cuidar de no procesar altas, bajas y modificaciones sobre datos críticos
que no se encuentren acompañados de las respectivas autorizaciones.
La oportunidad y alcance de estos controles deben ser fijados por el área de

auditoría interna y los sectores usuarios, conjuntamente con los responsables
del departamento de Sistemas de la entidad.
48
4. RELEVAMIENTO DEL SISTEMA DE CONTROL

INTERNO
En este apartado trataremos los aspectos relacionados con las tareas de

Relevamiento e investigación, tercera etapa del "Programa de Auditoría"
(descripto en la unidad anterior). Esta etapa es habitualmente la que demanda
mayor esfuerzo y recursos y es clave para determinar la calidad de un trabajo
de auditoría.
En general, para efectuar las tareas correspondientes a la etapa de

relevamiento, en el marco de un trabajo de auditoría de un sistema de
información que funciona en un entorno computarizado, se siguen tres fases;
cada una de ellas agrupa un conjunto de actividades:
1) Estudio preliminar: tarea previa a encarar de lleno el relevamiento e

investigación en detalle del área.
Los objetivos de esta fase son:
a) Determinar las principales aplicaciones del área o sistema que se audita,

y sus efectos en la información.
b) Conocer las características del equipamiento disponible.
c) Establecer el efecto del sistema computarizado en la información de la
empresa. En caso de que sea determinante, se pasa a la siguiente etapa.
2) Estudio del sistema de control interno: actividad obligatoria cuando

en el estudio preliminar se ha determinado que intervienen aplicaciones
informáticas en la obtención de la información de la entidad bajo estudio.
49
Los objetivos de esta fase son:
• Evaluar la estructura organizacional del área de Sistemas (Centro de

Cómputos o departamento de Sistemas) y los controles generales
establecidos en dicha área.
• Conocer las características de las aplicaciones, el grado de intervención

en la transformación de los datos y el volumen de operaciones que
dependen del sistema de computación. El objetivo es poder juzgar si se
deben efectuar pruebas de cumplimiento a los controles implementados
en el ambiente de procesamiento de datos, situación en la que se pasa
a la siguiente etapa.
3) Prueba de los controles del sistema de información: actividad

obligatoria cuando los sistemas computarizados sujetos a revisión son de tal
importancia, que la omisión del cumplimiento de los controles limita la
calidad de las pruebas de auditoría consideradas “válidas y suficientes”.
Hecho el estudio preliminar y vista la necesidad de evaluar el sistema de control

interno, vamos a ocuparnos ahora de las tareas involucradas en esta etapa del
relevamiento. Para realizar esta tarea es conveniente seguir una metodología
(procedimiento de trabajo). Una metodología de relevamiento nos asegura que
se cumplan todos los pasos necesarios para hacer un completo y riguroso
estudio del sistema de control interno
50
5. METODOLOGÍAS PARA EVALUAR EL SISTEMA DE

CONTROL INTERNO
En este apartado vamos a ocuparnos de cómo realizar el relevamiento

detallado. Existen varias metodologías para evaluar el sistema de control interno
de un sistema de información que funciona en un contexto computarizado. En
nuestro caso vamos a considerar tres propuestas: la utilizada en el Informe N°
627, la desarrollada en el Informe COSO28 y la propuesta por la firma Price
Waterhouse29. Estas tres no son las únicas metodologías reconocidas, existen
otras, por ejemplo: COCO (Canadá), Cadbury (Inglaterra), etc.
a) Informe N° 6
La metodología de trabajo propuesta por el Informe N° 6, es la oficialmente

avalada por la Federación Argentina de Profesionales en Ciencias Económicas
para realizar auditorías de balance, considera tres grandes pasos o etapas:
I. Relevamiento de las actividades formales de control
II. Evaluación de las actividades de control relevadas
III. Pruebas de funcionamiento de los controles seleccionados
Sugerimos al lector leer el documento de referencia (material de uso público

actualmente en revisión) para ampliar o acceder al detalle del mismo.
b) Informe COSO
El informe COSO consta de cinco componentes o etapas para efectuar el

análisis del sistema de Control Interno. Estos componentes están relacionados
entre sí, son derivados del estilo de la dirección y están integrados al proceso de
gestión. Ellos son:
27
CENTRO DE ESTUDIOS CIENTIFICOS Y TECNICOS (CECYT), Informe Nº 6 - Pautas para el
examen de estados contables en un contexto computarizado, Buenos Aires, s. f.
28
Metodología desarrollada por la firma Cooper & Lybrand y adoptada como estándar por las
asociaciones americanas de contabilidad y auditoría. Publicada en 1992.
29
Apuntes del Seminario de Auditoría de Sistemas, INFO´95. Disertante Cr. Sergio Tubio, Price
Waterhouse. Córdoba, 1995.
51
I. Ambiente de Control
II. Evaluación de Riesgos
III. Actividades de Control
iV. Información y Comunicación
V. Supervisión
El ambiente de control refleja el espíritu ético vigente en una entidad respecto

del comportamiento de los agentes, la responsabilidad con que encaran sus
actividades, y la importancia que le asignan al control interno. Sirve de base a
los otros componentes, ya que es dentro del ambiente reinante donde se
evalúan los riesgos y se definen las actividades de control tendientes a
neutralizarlos. Simultáneamente se capta la información relevante y se realizan
las comunicaciones pertinentes, dentro de un proceso supervisado y corregido
de acuerdo con las circunstancias.
En el Anexo I se describe esta metodología.
c) Metodología de Price Waterhouse
La metodología seguida por Price Waterhouse propone también una forma

sencilla y ordenada para analizar la eficacia de las medidas de control interno
implementadas en un sistema de información computarizado; los pasos son:
I. Relevamiento de las actividades que afectan el control, partiendo de una

categorización previa de riesgos
II. Evaluación de las actividades de control relevadas (detectar controles)
III. Pruebas y evaluación de funcionamiento de controles seleccionados
(probarlos)
Sintéticamente este enfoque propone primero identificar los controles

implementados para proteger al sistema de aquelos riesgos previstos por la
metodología y luego probar los controles implementados para mitigarlos con la
finalidad de determinar su eficacia.
Quizá el aporte más importante de esta propuesta sea la clasificación de los

riesgos y el orden de prelación que sugiere para su análisis. Sintéticamente la
metodología propone efectuar el relevamiento de los riesgos asociados a las
actividades del sistema bajo estudio en el siguiente orden:
52
1.- Acceso a las funciones de procesamiento Riesgos relacionados

con los sistemas de
2.- Ingreso de datos aplicación en
producción
3.- Items rechazados o en suspenso
4.- Procesamiento inadecuado de las transacciones
5.- Estructura organizativa del departamento de Sistemas.

Riesgos
6.- Cambios a los programas relacionados con el
área de Sistemas
7.- Acceso general al sistema informático
Riesgos relacionados
8.- Riesgo de continuidad de procesamiento con el negocio en
general
Los cuatro primeros corresponden a riesgos a nivel de las aplicaciones de la

empresa, por ejemplo: Cuentas a Pagar, Cuentas a Cobrar, etc.; los siguientes
tres corresponden al departamento de Sistemas como área específica; el último
es un riesgo general de la empresa, propio del negocio.
La consigna es que para cada uno de los riesgos analizados, el auditor debe
formular planes de contingencia que los administre.
En el Anexo II se describe en detalle esta metodología..
53
6. PRUEBA DE LOS CONTROLES
Las pruebas de los controles proporcionan evidencias en el sentido de que

éstos existen y operan eficazmente. Existen dos grandes grupos de técnicas
para verificar el funcionamiento de los controles operativos en un entorno
computarizado: técnicas manuales o de observación directa y técnicas
computarizadas (también llamadas “de re-ejecución del procesamiento”).
6.1. Técnicas manuales o de observación directa
Se aplica en los casos en que el funcionamiento de los controles pueda ser

visualizado por el auditor. Ejemplos de estas técnicas son los controles
aplicados al ingreso de personas en áreas restringidas, verificación visual de los
resguardos o copias de seguridad, etc. Englobadas en esta categoría,
disponemos también de las entrevistas y los cuestionarios (o checklist):
a) Entrevista
La entrevista es una de las actividades personales más importantes del auditor,

quien suele recoger más información -acaso mejor detallada- que la
proporcionada por medios puramente técnicos o por respuestas escritas a
cuestionarios.
La técnica de entrevista se basa fundamentalmente en el concepto de

interrogatorio. Básicamente, lo que el auditor hace en esta situación es
interrogar e interrogarse a sí mismo.
El auditor experto interroga al auditado siguiendo un cuidadoso plan

previamente establecido. Sin embargo, el desarrollo de la entrevista debe
hacerse bajo la forma de una conversación corriente y lo menos tensa posible,
procurando que el entrevistado genere respuestas sencillas y claras a las
preguntas realizadas (que también deben ser claras y sencillas). Lograr esta
54
sencillez no es fácil, exige una preparación muy seria a fin de producir un

paquete sistemático. Para ello, es preciso que a su vez el auditor se pregunte:
qué información necesito, quién me la puede proporcionar, quién es el
entrevistado que tengo enfrente (cargo, funciones, conocimiento del tema, etc.)
y cuál es el mejor modo de realizar las preguntas.
b) Cuestionario
Es un conjunto de preguntas “cerradas” destinadas a identificar los puntos

débiles y fuertes de un sistema de control interno. El conjunto de estas
preguntas recibe también el nombre de checklist.
“Existen opiniones que descalifican el uso de checklist. Sin duda se refieren a las
situaciones de auditores inexpertos que recitan preguntas y esperan respuestas
esquematizadas. Pero esto no es utilizar checklists, esto es una evidente falta de
profesionalidad.”30
Salvo excepciones, se aconseja formular las preguntas en forma personal,

dentro de una conversación cotidiana y corriente:
“Según la claridad de las preguntas y el talante del auditor, el auditado

responderá desde posiciones muy distintas y con disposición muy variable. El
auditado, habitualmente un experto, percibe con cierta facilidad el perfil técnico y
los conocimientos del auditor, precisamente a través de las preguntas que éste le
formula. Esta percepción configura el principio de autoridad y prestigio que el
auditor debe poseer.”
“Por ello, aun siendo muy importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo
y el orden de su formulación... ”
“El auditor deberá aplicar el checklist de modo que el auditado responda clara y
escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los
casos en que las respuestas se aparten sustancialmente de la pregunta. En
algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor
amplitud un tema concreto, y en cualquier caso se deberá evitar absolutamente la
presión sobre el mismo.”31
....
“El entrevistado no debe percibir un excesivo formalismo en las preguntas. El
auditor, por su parte, tomará las notas imprescindibles en presencia del auditado,
y nunca escribirá cruces ni marcará cuestionarios en su presencia.”32
30
ACHA ITURMENDI, JUAN JOSE. Auditoría informática en la empresa. Ed. Paraninfo, Madrid,
1994, pág. 68.
31
ACHA ITURMENDI, JUAN JOSE, idem anterior, pág. 69.
32
ACHA ITURMENDI, JUAN JOSE, idem anterior, pág. 70.
55
A veces, algunas de las preguntas de los cuestionarios podrán ser repetidas,

pero deberán ser elaboradas de manera distinta. En estos casos, el auditor
confeccionará preguntas equivalentes para ser formuladas a distintas personas
(o a las mismas), en fechas iguales o diferentes. De este modo, podrá descubrir
los puntos contradictorios, analizar los matices de las respuestas, etc. Cuando
perciba dudas, contradicciones, o incoherencias, deberá reelaborar las
preguntas, formular otras nuevas, complementarias.
56
6.2. Técnicas computarizadas
En su mayoría, estas técnicas se basan en verificar por medio de una muestra

de transacciones (reales o ficticias) las funciones de procesamiento con la
finalidad de permitir al auditor comparar los resultados de “su” procesamiento
con los reportes brindados por el sistema real. A continuación detallamos
algunas de las más utilizadas en entornos computarizados.
a) Ejecución manual del procesamiento
Se re-ejecuta el proceso que se quiere controlar en forma manual, a partir de los

datos reales (para lo cual se toman muestras de los mismos). Los resultados
obtenidos se comparan manualmente con los que oportunamente generó el
computador.
Solamente se podrá aplicar esta técnica, en tanto y en cuanto exista

documentación o fuente de obtención que provea los datos requeridos para la
re-ejecución con cierta facilidad.
b) Lotes de prueba
Consiste en formar un conjunto de datos de entrada, reales o ficticios, para

hacerlos ingresar en grupo al computador a fin de ser procesados con el mismo
programa que se encuentra en operación. Trabaja con una copia de los
programas y de los archivos en uso (en producción) y tiene por objetivo
comprobar el funcionamiento de los programas. Esta técnica no está diseñada
para controlar el contenido de los archivos, por ello raras veces permite detectar
operaciones fraudulentas33.
En el lote a procesar en el computador se deben incluir todas los posibles casos

(con características distintivas) de los registros a procesar. Por ejemplo, si
estamos auditando un sistema de personal, contemplar los casos de
empleados, directivos, socios, obreros temporarios, operarios permanentes, etc.
33
Frecuentemente los delitos informáticos son llevados a cabo por los operadores del sistema,
modificando en forma directa los datos grabados en los archivos, o bien, haciendo una
modificicación temporal a los programas en ejecución; ambos casos no son detectados con esta
técnica de auditoría.
57
A posteriori, los resultados se compararán con los que haya arrojado el

procesamiento en forma manual de los mismos datos. Es sumamente
importante considerar que el lote de prueba incluya todas las posibles
situaciones que pudieran ocurrir durante las operaciones reales.
c) Simulación paralela
En esta técnica se utilizan los archivos reales de la entidad y se simula el

procesamiento de la aplicación mediante programas especialmente preparados.
El auditor elabora sus propios programas; éstos deben procesar los mismos
datos que los programas de la aplicación a auditar. Luego ambos resultados son
comparados.
Para lograr su cometido, la simulación necesita disponer de los datos reales de

entrada y los archivos usados en su procesamiento. Con estos elementos se
efectúa la ejecución del proceso (on line) o la la ”corrida” (batchj) de simulación,
comparando a continuación los resultados con los que produjo el procesamiento
real. Más tarde se evaluarán las excepciones obtenidas de la corrida de
simulación, entendiéndose por tales, las anomalías detectadas en el proceso de
reconciliación. Estas excepciones se tendrán en cuenta a la hora de hacer las
recomendaciones.
Requisitos para realizar una simulación paralela
1. Relevamiento de la aplicación para obtener un conocimiento general de la

misma y definir áreas o aspectos a verificar.
2. Relevamiento detallado de la lógica del programa con el objetivo de
obtener información sobre:
-Formato de los archivos
-Significado de los códigos empleados en los archivos
-Fórmulas específicas o criterios de decisión
3. Obtención de los archivos necesarios.
4. Con el conocimiento de la lógica de la aplicación y los archivos, el auditor
podrá preparar los programas para efectuar la simulación paralela.
5. Preparación de los datos de entrada y archivos para realizar la simulación.
6. Procesamiento y reconciliación. En esta etapa se realiza la corrida de
simulación y los resultados se comparan con los producidos por el
procesamiento real.
7. Evaluación de las excepciones. Se evalúan las excepciones resultantes de
las corridas y a partir de ellas se determinan las recomendaciones.
d) Procesamiento paralelo
58
En este caso se busca verificar el funcionamiento de una aplicación sin afectar

la información residente en sus bases de datos, ni el procesamiento normal de
las transacciones que debe atender.
Para instrumentar esta técnica, se debe obtener una copia de los programas,
extraer una muestra representativa de la información residente en los archivos
de datos, luego, realizar el reprocesamiento usando datos de transacciones
reales, seleccionadas por el auditor. El reprocesamiento se realiza usando los
mismos programas y bases de datos, pero en otro computador.
Por su modalidad esta técnica es apta para auditar sistemas de procesamiento

batch (diferido), más que aquéllos del tipo on line. También debe tenerse en
cuenta que esta técnica no está diseñada para medir tiempos de respuesta, ni la
flexibilidad de adaptación a situaciones complejas.
e) Pruebas integradas (“minicompañía”)
Esta técnica consiste en la creación de un ente ficticio dentro del sistema de

procesamiento en operación; por ejemplo crear una división, un departamento,
una sucursal, una empresa, un empleado, etc. ficticios, insertados como registro
dentro de los archivos reales que utilizan las aplicaciones en producción. A este
ente ficticio se le aplicarán registros de transacciones de prueba,
confeccionados en forma especial por el auditor. Debe destacarse que se utiliza
el mismo sistema que está en producción, dentro de los tiempos de
funcionamiento normal del mismo.
Este ente, al estar contemplado dentro de las aplicaciones en producción,

permite que su procesamiento no altere los registros reales de la empresa y los
resultados de sus informes. En contrapartida, es necesario programar
procedimientos especiales para depurar las transacciones ficticias efectuadas
por el auditor contra dicha entidad.
La aplicación de esta técnica exige que, además de adaptar los programas, se

declare el procedimiento ante los órganos de control institucional
correspondientes, como el Banco Central en caso de instituciones financieras, la
59
DGI, la Bolsa de Valores en caso de cotizar en bolsa, etc. Esta medida procura
evitar problemas de índole legal.
Requisitos para instrumentar las pruebas de minicompañía
1. Explicación previa a nivel de Dirección sobre las características, finalidades y

modalidades de la misma. Deben demostrarse los beneficios.
2. Aprobación preliminar de la Dirección.
3. Determinación de los subsistemas a abarcar, si la prueba se aplicará en forma
integral o parcial.
4. Identificación de los registros especiales a crear y la forma en que se depurarán
las transacciones ingresadas con fines de auditoría.
5. Fijación de la forma en que actuará el auditor para simular el comportamiento del
sistema, por ejemplo ¿se procesarán las transacciones desde el origen?
6. Modelo de los papeles de trabajo en los cuales se volcará el estado inicial de los
registros y las modificaciones.
7. Aprobación final de la Dirección.
8. Información periódica a la Dirección sobre los resultados del sistema de auditoría.
f) Pistas de transacciones
Esta técnica consiste en establecer rastros (datos especiales), con la finalidad

exclusiva de servir como pista de auditoría, en los registros de movimiento que
se generan a partir de las transacciones. Los rastros, marcas (tagging) o pistas
de auditoría son grabados -como campos ad-hoc- en los registros durante el
procesamiento de las operaciones que ingresan al sistema.
A estos registros se les incorpora un atributo (campo) especial, por ejemplo, el

número de legajo del empleado, la fecha y hora de la operación, el número de
terminal, etc. Estos datos sirven para identificar quién y cuándo se realizó la
operación. La idea es guardar información que permita realizar un seguimiento
de las distintas etapas que siguió el procesamiento de una transacción en
particular.
Puntos a tener en cuenta:

- El Auditor debe proporcionar sus requerimientos durante la etapa de
desarrollo del sistema. Al respecto, para su incorporación en los programas
se recomienda incluir auditores dentro de los equipos de desarrollo de las
aplicaciones. En estos casos, la tarea del auditor consistirá en especificar los
controles a incluir en los programas en construcción.
60
- La información elegida como pista de auditoría no debe ser susceptible de

afectación por el normal procesamiento de las transacciones.
Las pistas o marcas pueden ser "físicas" o "lógicas". Una marca “física” se
realiza mediante el agregado de un código (dato) especial al registro, por
ejemplo agregándole un asterisco al comienzo del mismo. La marca “lógica” es
un dato inherente a la información que guarda normalmente el registro, por
ejemplo el monto de la operación; luego, es posible seguir las operaciones
mayores a $100.000 cuando se examina este campo del registro.
Esta técnica permite rastrear las operaciones reales a partir del examen de los
archivos de movimiento que guardan los registros de las operaciones
procesadas por el sistema.
g) Comparación de programas
Esta técnica consiste en el empleo de utilitarios del sistema operativo para

comparar dos o más versiones de un mismo programa ejecutable (archivo
objeto) de una aplicación. La finalidad es verificar si existen diferencias entre las
distintas copias y versiones de los “ejecutables”. Si son diferentes se presume
que hubo cambios al programa, por ejemplo, desde la última visita del auditor.
En estos casos, el auditor puede pedir que se le informe respecto de dichos
cambios y se le proporcione la documentación relacionada (solicitud de
modificación, autorizaciones, especificaciones, pruebas, orden de puesta en
operación, etc.).
Requisitos para realizar una comparación de programas
a) Selección de las aplicaciones cuyos programas serán sometidos a

revisión, es decir elegir los programas a auditar.
b) Corte de programas. A la fecha y hora fijada se procede al “vuelco” de las
bibliotecas de programas y de los ejecutables corrientes. Con esta acción
el auditor obtiene las versiones de los programas corrientes al momento
del corte en lenguaje objeto y puede compararlos con el resultado de la
compilación de sus correspondientes simbólicos.
c) Examen comparativo de los resultados de la verificación. En caso de
discrepancias deberá revisarse cuidadosamente la documentación de
análisis y biblioteca de simbólicos para determinar cuál es el código fuente
que se corresponde con el objeto corriente.
61
Límites de una auditoría de los programas de una aplicación informatizada34
Una aplicación representa miles, a veces decenas de miles de instrucciones.

Aún contando con la posibilidad de hacer un trabajo de largo plazo, es casi
imposible realizar el control de una aplicación por la relectura de los
programas que la componen. Incluso a través de una relectura atenta de cada
programa es muy difícil detectar la mayoría de los errores potenciales; esto sin
considerar la posibilidad de que estemos leyendo instrucciones que no
correspondan a la versión del programa que realmente se está ejecutando.
Hemos señalado que la calidad de los programas es uno de los elementos

necesarios para lograr la fiabilidad de una aplicación. Errores y omisiones,
intervenciones directas a los archivos, son otros factores que perjudican la
fiabilidad de una aplicación y no son detectables por el simple análisis de los
programas.
Ahora bien, es tan impensable pedir al auditor que analice uno por uno el
conjunto de los registros de los archivos de una empresa, como pedirle que
analice línea a línea los programas que los procesan. Una primera conclusión
que se saca de esta situación es que el auditor no contará nunca con todos
los elementos necesarios para asegurar el control total de una aplicación
informatizada (programas, archivos, procedimientos, etc.), independiente-
mente de la duración de su misión.
h) Paquetes de auditoría
Los paquetes de auditoría, conocidos en el pasado como sistemas GAS (de

General Audit System) y actualmente como herramientas CAATs, son productos
de software diseñados para generar programas que ayuden a los auditores a
investigar el contenido de las bases de datos de la entidad bajo estudio. En
general, no requieren al auditor de calificación en tecnologías para ser usados..
En la actualidad, los productos de software de esta categoría se orientan

principalmente a proveer al auditor de herramientas de fácil comprensión y
operación con funcionalidades similares a las provistas por el lenguaje SQL; su
principal virtud es facilitar el acceso a los archivos y bases de datos de la
empresa auditada.
Bajo este rótulo, vienen también rutinas y programas diseñados para:
• Obtener muestreos a partir de las bases de datos reales del sistema, realizar
extrapolaciones y luego procesarlas con el debido rigor estadístico.
• Rastrear datos en los logs del sistema operativo y obtener información
referida a quiénes entraron al sistema, qué hicieron, cuándo, dónde, qué
controles se violaron.
34
DERRIEN, YAN, Técnicas de la auditoría informática, Marcondo, España, 1994. pág. 16.
62
Algunos productos de software de esta categoría son:
-TeamMate de PriceWaterhouse-Cooper - www.pccglobal.com
-ACL - www.acl.com
Su folleto comercial dice lo siguiente: ACL es el paquete de

software líder mundial de las herramientas de asistencia para
Auditoria. ACL permite el acceso directo a los archivos de datos
de las aplicaciones informáticas, con la libertad de trabajar sobre
esa información sin necesidad de escribir códigos o realizar
programación. ACL utiliza una interfaz visual con filtros de
selección, vistas y reportes tipo planilla de cálculo. Posee
poderosos comandos ejecutables mediante sencillos cuadros de
diálogo para estratificación, clasificación, antigüedad, muestreo,
control de duplicados y faltantes, ordenamiento y cruzamiento
entre archivos, entre otros.
-Idea de la firma CaseWare – www.caseware.com - herramienta

para análisis de datos muy similar a ACL. También ofrece
CaseWare Working Papers y CaseWare Time, productos para
gestionar y documentar proyectos de auditoría.
-Pro Audit Advisor - www.methodware.com
-Galileo - www.darcangelosoftwareservices.com
-Pentana - www.pentana.com
63
6.3. Conclusiones
La prueba de los controles de un sistema de información computarizado, en

especial aquellos que requieren de la aplicación de técnicas de re-ejecución de
procesamiento, son los temas más esperados por los alumnos que cursan esta
asignatura. Es el aspecto que distingue este tipo de trabajos de auditoría
respecto de la auditoria tradicional.
La esencia del problema es cuál/es técnicas aplicar, específicamente, qué

combinación de técnicas manuales y computarizadas aplicar para cada tipo de
control programado a evaluar. La "alquimia" que requiere estas situaciones
dependen del "criterio del auditor"; este último, en base a sus conocimientos,
experiencias e intuición selecciona las técnicas que considera más adecuadas
para probar el funcionamiento y la calidad de los controles que audita.
64
CUESTIONARIO DE REVISION
¿Cuáles son las dificultades aportadas por los entornos

informáticos a los trabajos de auditoría de sistemas de
información?
¿Qué aspectos comprende el sistema de control interno de una

empresa?
¿Cuáles son los efectos de la tecnología informática en el sistema

de control interno?
65
Describa una metodología para evaluar el sistema de control

interno
Compare las metodologías propuestas por Price Waterhouse con

la del Informe COSO.
Describa tres técnicas computarizadas ¿en qué situaciones las

usaría?
66
ANEXO I
Nuevos conceptos del control interno.

Informe C.O.S.O.
INTRODUCCION
Este documento plasma los resultados de la tarea realizada durante más de

cinco años por el grupo de trabajo que la Treadway Commission de la National
Commission on Fraudulent Financial Reporting, creó en Estados Unidos en
1985 bajo la sigla COSO (Committee Of Sponsoring Organizations). El grupo
estaba constituido por representantes de las siguientes organizaciones:
· American Accounting Association (AAA)
· American Institute of Certified Public Accountants (AICPA)
· Financial Executive Institute (FEI)
· Institute of Internal Auditors (IIA)
· Institute of Management Accountants (IMA)
La redacción del informe fue encomendada a la firma de auditoría internacional

Coopers & Lybrand, su principal objetivo fue definir un nuevo marco conceptual
de Control Interno capaz de integrar las diversas definiciones y conceptos que
se utilizan sobre este tema.
El Informe COSO ha permitido definir un nuevo marco conceptual del control

interno35, capaz de integrar las diversas definiciones y conceptos que venían
siendo utilizados sobre este tema, logrando así que al nivel de las
organizaciones públicas o privadas, de la auditoria interna o externa, o de los
niveles académicos o legislativos, se cuente con un marco conceptual común,
una visión integradora que satisfaga las demandas generalizadas de todos los
sectores involucrados.
35
Otros marcos conceptuales similares al COSO y |generalmente aceptados para evaluar el
sistema de Control Interno de una entidad son: COCO (Canadá), Cadbury (Inglaterra), Kenig
(Sudafrica)
67
El estudio ha tenido gran aceptación y difusión en los medios financieros y en

los Consejos de Administración de las organizaciones, resaltando la necesidad
de que los administradores y altos directivos presten atención al Control Interno,
tal como COSO lo define, enfatizando la intervención de los Comités de
Auditoria y de una calificada Auditoria Interna y Externa, recalcando la
necesidad de que el Control Interno forme parte de los diferentes procesos de la
empresa y no de mecanismos burocráticos.
¿Qué se entiende por Control Interno?
Los controles internos se diseñan e implantan con el fin de detectar, en un plazo

deseado, cualquier desviación respecto a los objetivos establecidos para cada
empresa y de prevenir cualquier evento que pueda evitar el logro de los
objetivos, la obtención de información confiable y oportuna y el cumplimiento de
leyes y reglamentos.
Los controles internos fomentan la eficacia y eficiencia operativa, reducen el

riesgo de pérdida de valor de los activos y ayudan a garantizar la confiabilidad
de los estados financieros y el cumplimiento de las leyes y normas vigentes. No
todas las personas entienden lo mismo por “Control Interno”. En sentido amplio,
se lo define como: un proceso efectuado por el Consejo de Administración, la
Dirección y el resto del personal de una entidad, diseñado con el objeto de
proporcionar un grado de seguridad razonable en cuanto a la consecución de
objetivos dentro de las siguientes categorías:
✔ Eficacia y eficiencia de las operaciones.

✔ Confiabilidad de la información financiera.
✔ Cumplimiento de las leyes y normas aplicables.
La anterior definición refleja ciertos conceptos fundamentales:
• El Control Interno es un proceso, un medio utilizado para la

consecución de un fin, no un fin en sí mismo.
• El Control Interno es llevado a cabo por las personas, no se trata
solamente de manuales de políticas e impresos, sino de personas en
cada nivel de la organización.
68
• El Control Interno sólo puede aportar un grado de seguridad

razonable -no la seguridad total- a la Dirección y al Consejo de
Administración de la Entidad.
• Control Interno esta pensado para facilitar la consecución de
objetivos propios de cada entidad.
Especificidad del Control Interno
Dado que cada entidad tiene sus propios objetivos y estrategias de

implantación, surgen diferencias en la jerarquía de objetivos y en las
actividades de control correspondientes, incluso en el caso de que dos
entidades tuvieran los mismos objetivos y jerarquía, sus actividades de control
serían diferentes; en efecto, cada una está dirigida por personas diferentes que
aplican sus propias ideas sobre el Control Interno, además, los controles reflejan
el entorno de la entidad y el sector en el que opera, así como la complejidad de
su organización, su historia y su cultura.
El entorno en el que una entidad opera influye en los riesgos a los que está
expuesta; en particular, puede estar sujeta a requerimientos de información a
terceros particulares o a cumplir exigencias legales o normativas específicas.
La complejidad de una entidad, así como el tipo y el alcance de sus actividades,

repercuten en sus actividades de control. Hay otros factores que influyen como
la complejidad de una organización, la localización y dispersión geográfica, la
importancia y la complejidad de las operaciones o los métodos de proceso de
datos entre otros.
69
Componentes del Control Interno
Según el Infome COSO, el Control Interno consta de cinco componentes

relacionados entre sí; éstos son derivados del estilo de la Dirección y están
integrados al proceso de gestión de la entidad:
1. Ambiente de Control
2. Evaluación de Riesgos
3. Actividades de Control
4. Información y Comunicación
5. Supervisión.
A continuación, veamos cada uno de los componentes definidos por el Informe

COSO:
70
1. AMBIENTE DE CONTROL
El entorno de control contribuye al ambiente en el que las personas desarrollan

sus actividades y cumplen con sus responsabilidades de control, marca la pauta
del funcionamiento de una organización e influye en la percepción de sus
empleados respecto al control.
Es la base de todos los demás componentes del Control Interno, aportando

disciplina y estructura. Los factores del ambiente de control incluyen la
integridad, los valores éticos y la capacidad de los empleados de la entidad, la
filosofía y el estilo de la Dirección, la manera en que la Dirección asigna la
autoridad y las responsabilidades y organiza y desarrolla profesionalmente a sus
empleados así como la atención y orientación que proporciona el Consejo de
Administración.
Factores del entorno de control
Para evaluar el entorno de control, se debe considerar cada factor del ambiente
de control para determinar si éste es positivo. El ámbito de control provee la
disciplina a través de la influencia que ejerce sobre el comportamiento del
personal en su conjunto. Los principales factores del ambiente de control son:
• La filosofía y estilo de la Dirección y la Gerencia. Los estilos

gerenciales marcan el nivel de riesgo empresarial y pueden afectar al
control interno; actitudes poco prudentes o desdeñosas del control son
indicativas de riesgos en el control interno. Se evalúa, por ejemplo,
cómo transmite la Dirección al resto de los niveles su compromiso
respecto al control.
• La estructura, el plan organizacional, los reglamentos y los manuales

de procedimiento La estructura formalizada en un organigrama
constituye un marco formal de autoridad y responsabilidad en la cual
se desarrollan las actividades. El ambiente de control se fortalece
cuando los miembros de un organismo tienen formalizadas sus
funciones y deberes.
71
• La integridad, los valores éticos, la competencia profesional y el

compromiso de todos los componentes de la organización, así como
su adhesión a las políticas y objetivos establecidos. Se evalúa, por
ejemplo:
− La existencia e implantación de códigos de conducta u otras
políticas relacionadas con las prácticas profesionales aceptables,
incompatibilidades o pautas esperadas de comportamiento ético y
moral.
− La forma en que se llevan a cabo las negociaciones con
empleados, proveedores, clientes, inversionistas, acreedores,
competidores y auditores.
− La presión por alcanzar objetivos de rendimiento.
• Las formas de asignación de responsabilidades y de administración y

desarrollo del personal. Se evalúa:
− La existencia de descripciones formalizadas de puestos de
trabajo.
− El análisis de conocimientos y habilidades para llevar a cabo el
trabajo adecuadamente.
− La existencia de planes de desarrollo y capacitación y de políticas
de selección y promoción.
• El grado de documentación de políticas y decisiones, y de formulación

de programas que contengan metas, objetivos e indicadores de
rendimiento.
• La existencia de consejos de administración y/o comités de auditoría

con suficiente grado de independencia y calificación profesional. El
ambiente de control y la cultura de la organización están influidos de
forma significativa por el Consejo de Administración y el Comité de
Auditoría, el grado de independencia del Consejo o del Comité de
Auditoría respecto de la Dirección, la experiencia y la calidad de sus
miembros, grado de implicación y vigilancia y el acierto de sus
acciones son factores que inciden en la eficacia del Control Interno.
72
Por último, el informe considera importante analizar situaciones que pueden

incitar a los empleados a cometer actos indebidos.
✔ Falta de controles o controles ineficaces.

✔ Alto nivel de descentralización sin las políticas de comunicación
apropiadas para que la Dirección esté al corriente de las acciones
llevadas a cabo en los niveles mas bajos (operativos).
✔ Una función de auditoría interna débil.
73
2. EVALUACIÓN DE RIESGOS
El riesgo es inherente a los negocios. El control interno ha sido pensado

esencialmente para limitar los riesgos que afectan las actividades de las
organizaciones. A través de la investigación y análisis de los riesgos relevantes
y el punto hasta el cual el control vigente los neutraliza se evalúa la
vulnerabilidad del sistema. Para ello debe adquirirse un conocimiento practico
de la entidad y sus componentes de manera de identificar los puntos débiles,
enfocando los riesgos tanto al nivel de la organización como de la actividad.
Toda entidad debe hacer frente a una serie de riesgos tanto de origen interno
como externo que deben evaluarse. Una condición previa a la evaluación de los
riesgos es el establecimiento de objetivos en cada nivel de la organización que
sean coherentes entre sí. La evaluación del riesgo consiste en la identificación y
análisis de los factores que podrían afectar la consecución de los objetivos y, en
base a dicho análisis, determinar la forma en que los riesgos deben ser
administrados y controlados.
Debe considerarse que el establecimiento de los objetivos de una organización

es función de la Dirección. Si bien la fijación de objetivos no es un componente
del control interno, constituye un requisito previo para el funcionamiento del
mismo. Los objetivos pueden ser explícitos o implícitos, generales o
particulares. A pesar de su diversidad, los objetivos de una organización -según
el Informe COSO- pueden agruparse en tres grandes categorías:
a) Objetivos relacionados con las operaciones.- Se refieren a la eficacia y
eficiencia de las operaciones de la entidad, incluyendo los objetivos de
rendimiento y rentabilidad y la salvaguarda de los activos contra posibles
pérdidas. Estos objetivos varían en función de la elección de la Dirección
respecto a estructuras y rendimiento.
b) Objetivos relacionados con la información financiera.- Se refieren a la

preparación de estados financieros confiables y a la prevención de la
falsificación de información financiera.
c) Objetivos de cumplimiento.- Estos objetivos se refieren al cumplimiento de

las leyes y normas a las que está sujeta la entidad, dependen de factores
74
externos como, por ejemplo, la reglamentación en materia de medio

ambiente.
Estableciendo los objetivos globales y por actividad, una entidad puede

identificar los riesgos para alcanzarlos
Riesgos
Los riesgos son hechos o acontecimientos negativos cuya probabilidad de

ocurrencia es incierta y que de ocurrir pueden afectar la consecución de los
objetivos de la organización. A nivel de empresa los riesgos pueden ser la
consecuencia de factores externos como internos, por ejemplo:
Factores externos:
• Los avances tecnológicos.

• Las necesidades o expectativas cambiantes de los clientes que
influyen en el desarrollo de productos, el proceso de producción,
el servicio a cliente, la fijación de precios, etc.
• Los cambios económicos pueden repercutir en las decisiones
sobre financiamiento, inversiones y desarrollo.
Factores internos:
• Los cambios de responsabilidades de los directivos pueden
afectar la forma de realizar determinados controles.
• Problemas con los sistemas informáticos pueden perjudicar las
operaciones de la entidad.
• Una función de auditoría débil o ineficaz afecta la calidad de los
controles.
Se han desarrollado muchas técnicas para identificar riesgos -algunas

desarrolladas por auditores cuando determinan el alcance de sus trabajos-
comprenden métodos cualitativos o cuantitativos para identificar y establecer el
orden de prioridad de las actividades de alto riesgo.
75
Además de identificar los riesgos a nivel de empresa, debe hacerse lo mismo a

nivel de cada actividad de la empresa; esto ayuda a enfocar la evaluación de los
riesgos en las unidades o funciones mas importantes del negocio, como ventas,
producción, logística y/o desarrollo tecnológico. La correcta evaluación de los
riesgos a nivel de actividad contribuye también a que se mantenga un nivel
aceptable de riesgo para el conjunto de la entidad.
Análisis de riesgos
Una vez identificados los riesgos a nivel de entidad y por actividad deben
llevarse a cabo el proceso de análisis de riesgos, esto incluye:
♦ Una estimación de la importancia del riesgo.

♦ Una evaluación de la probabilidad o frecuencia de que se
materialice el riesgo.
♦ Una cuantificación de la pérdida probable
♦ Determinar las medidas que deben adoptarse para mitigarlo.
Existe una diferencia entre el análisis de los riesgos -que forman parte del
proceso de Control Interno- y los planes, programas y acciones resultantes que
la Dirección considere necesarios para afrontar dichos riesgos, estas acciones
son parte del proceso de gestión y no son responsabilidad del sistema de
Control Interno.
76
Administración del cambio
El manejo de la gestión de cambios también esta ligado con el proceso de

análisis de riesgos y debe ser capaz de proporcionar información para identificar
y responder a las condiciones cambiantes en donde, probablemente, los
controles vigentes pueden no funcionar apropiadamente en el nuevo entorno.
Existen circunstancias que merecen atención especíal en función del impacto
potencial (riesgos) que plantean, por ejemplo:
− Cambios en el entorno en el cual desarrolla su actividad la entidad

− Redefinición de la política institucional.
− Reorganizaciones o reestructuraciones internas.
− Ingreso de empleados nuevos o rotación de los existentes.
− Nuevos sistemas, procedimientos y tecnologías.
− Aceleración del crecimiento.
− Nuevos productos, actividades o funciones.
77
3. ACTIVIDADES DE CONTROL
Son las políticas (qué debe hacerse) y los procedimientos (cómo debe hacerse)
que procuran asegurar se lleven a cabo las instrucciones de la Dirección.
Ayudan a asegurar que se tomen las medidas necesarias para controlar los
riesgos relacionados con la consecución de los objetivos de la entidad.
Las actividades de control se ejecutan en todos los niveles de la organización y

en cada una de las etapas de la gestión. Conociendo los riesgos, se disponen
los controles destinados a evitarlos o minimizarlos, los cuales pueden agruparse
en tres categorías según el objetivo con el que estén relacionados:
− Las operaciones
− La confiabilidad de la información financiera
− El cumplimiento de leyes y reglamentos
Es necesario remarcar la importancia de contar con buenos controles de las

tecnologías de información pues éstas desempeñan un papel fundamental en la
gestión, destacándose al respecto el control de algunas actividades llevadas a
cabo por el Centro de Procesamiento de Datos, como por ejemplo: la
adquisición, implantación y mantenimiento del software, la seguridad en el
acceso a los sistemas, los proyectos de desarrollo y mantenimiento de las
aplicaciones, etc.
Tipos de actividades de control
Existen muchas actividades o mecanismos de control, éstas incluyen desde

controles preventivos a controles detectivos y correctivos, controles manuales,
controles informáticos y controles de dirección. Veamos algunos:
78
− Análisis efectuados por la Dirección.- Los resultados obtenidos se analizan

comparándolos con los presupuestos, las previsiones, los resultados de
ejercicios anteriores y de los competidores, con el fin de evaluar en que
medida se están alcanzando los objetivos de gestión.
− Proceso de información.- Se aplican una serie de controles para comprobar

la exactitud, totalidad y autorización de las operaciones. Las transacciones
deben registrarse en el momento de su ocurrencia (lo más inmediato
posible) y deberán clasificarse adecuadamente para estar disponible en los
correspondientes informes y estados financieros.
− Controles físicos.- Los activos de naturaleza tangible son susceptibles de

recuentos físicos. El inventario de bienes, las inversiones financieras, la
tesorería y otros activos son objeto de protección y periódicamente se
someten a recuentos físicos cuyos resultados se comparan con las cifras
que figuran en los registros de datos.
− Indicadores de rendimiento.- Todo organismo debe contar con métodos de

medición de desempeño que permitan la preparación de indicadores para su
supervisión y evaluación. El análisis combinado de diferentes conjuntos de
datos (operativos y financieros) necesarios para la puesta en marcha de
acciones correctivas, constituyen actividades de control.
− Segregación de funciones.- Con el fin de reducir el riesgo de que se

cometan errores o irregularidades las tareas se dividen entre los empleados
que intervienen en su proceso, por ejemplo: las responsabilidades de
autorizar, ejecutar, registrar y controlar una operación deben quedar, en la
medida de lo posible, claramente segregadas.
− Control sobre los sistemas informáticos. Se debe controlar el desarrollo de

nuevos sistemas de información computarizados y la modificación de los
existentes, al igual que el acceso a los datos, archivos y programas
informáticos.
79
Cómo evaluar las actividades de control
Las actividades de control tienen que evaluarse en el contexto de las

instrucciones emanadas de la Dirección para afrontar los riesgos relacionados
con los objetivos de cada actividad importante. La evaluación, por lo tanto,
tendrá en cuenta si las actividades de control están relacionadas con el proceso
de evaluación de riesgo y si son apropiadas para asegurar que las instrucciones
se cumplan. Dicha evaluación se efectuará para cada actividad importante,
incluidos los controles generales de los sistemas informáticos. La evaluación
deberá tener en cuenta no solamente si las actividades de control empleadas
son relevantes en base al proceso de evaluación de riesgos realizado, sino
también si se aplican de manera correcta.
Las entidades deben considerar también los costos y beneficios relativos a la

implantación de controles. A la hora de decidir si se ha de implantar un
determinado control, se considerarán tanto el riesgo de fracaso como el posible
efecto en la entidad, junto a los costos correspondientes a la implantación del
nuevo control.
80
4. INFORMACIÓN Y COMUNICACIÓN
Información
Así como es necesario que todos los agentes conozcan el papel que les
corresponde desempeñar en la organización (funciones, responsabilidades), es
imprescindible que cuenten con la información periódica y oportuna que deben
manejar para orientar sus acciones en consonancia con los demás, procurando
el mejor logro de los objetivos.
La información relevante debe ser captada, procesada y transmitida de tal modo

que llegue oportunamente a todos los sectores, permitiendo asumir las
responsabilidades individuales.
Los sistemas de información generan informes que contienen datos operativos,

financieros y los correspondientes al cumplimiento y que posibilitan la dirección
y el control del negocio. Dichos informes contemplan, no sólo los datos
generados internamente, sino también información sobre incidencias,
actividades y condiciones externas, necesaria para la toma de decisiones y para
formular los estados financieros.
Debe haber una comunicación eficaz en un sentido amplio, que fluya en todas
las direcciones a través de todos los ámbitos de la organización, de arriba hacia
abajo y a la inversa.
Las responsabilidades de control han de tomarse en serio. Los empleados

tienen que comprender cuál es su papel en el sistema de Control Interno y cómo
las actividades individuales están relacionadas con el trabajo de los demás.
Asimismo, tiene que haber una comunicación eficaz con terceros como clientes,
proveedores, organismos de control y accionistas.
81
Calidad de la información
La calidad de la información generada por los diferentes sistemas afecta la

capacidad de la Dirección de tomar decisiones adecuadas al gestionar y
controlar las actividades de la entidad. Resulta imprescindible que los informes
ofrezcan suficientes datos relevantes para posibilitar un control eficaz; la
información se debe evaluar considerando:
− Contenido ¿Contiene toda la información necesaria?

− Oportunidad ¿Se obtiene en el tiempo adecuado?
− Actualidad ¿Es la más reciente disponible?
− Exactitud ¿Los datos son correctos?
− Accesibilidad ¿Puede ser obtenida por las personas autorizadas?
Comunicación
Deben considerarse dos ámbitos en relación a esta actividad: interno y externo.
• Comunicación interna
Además, de recibir la información necesaria para llevar a cabo sus actividades,

todo el personal, especialmente los empleados con responsabilidades
importantes, deben conocer y asumir las funciones comprometidas con el
Control Interno.
Cada función concreta ha de especificarse con claridad, cada persona tiene que
entender los aspectos relevantes del sistema de Control Interno, como
funcionan los mismos, saber cuál es su papel y responsabilidad en el sistema.
Al llevar a cabo sus funciones, el personal de la empresa debe saber que

cuando se produzca una incidencia conviene prestar atención no sólo al propio
acontecimiento, sino también a su causa. De esta forma, se podrán identificar la
deficiencias potenciales en el sistema tomando las medidas necesarias para
evitar que se repitan.
82
Asimismo, el personal tiene que saber cómo sus actividades están relacionadas
con el trabajo de los demás, esto es necesario para conocer los problemas y
determinar sus causas y la medida correctiva adecuada, El personal debe saber
los comportamientos esperados, aceptables y no aceptables.
Los empleados también necesitan disponer de un mecanismo para comunicar

información relevante a los niveles superiores de la organización, los empleados
de primera línea, que manejan aspectos claves de las actividades todos los días
generalmente son los mas capacitados para reconocer los problemas en el
momento que se presentan. Deben haber líneas directas de comunicación para
que esta información llegue a niveles superiores, y por otra parte debe haber
disposición de los directivos para escuchar.
• Comunicación externa
Además de una adecuada comunicación interna, ha de existir una eficaz

comunicación externa. Los clientes y proveedores podrán aportar información
de gran valor sobre el diseño y la calidad de los productos o servicios de la
empresa, permitiendo que la empresa responda a los cambios y preferencias de
los clientes. Igualmente se deberá difundir las normas éticas que gobiernan la
gestión de la empresa y la posición respecto a actos indebidos como sobornos o
pagos indebidos.
Cómo evaluar la información y comunicación
Se deberá considerar la adecuación de los sistemas de información y

comunicación a las necesidades del control interno de la entidad. A continuación
se presentan los aspectos más relevantes:
Respecto a la información se debe procurar:

− La obtención de información externa e interna y el suministro a la
Dirección de los informes necesarios sobre la actuación de la entidad en
relación a los objetivos establecidos.
− El suministro de información a las personas adecuadas, con el suficiente
detalle y oportunidad.
83
− El desarrollo o revisión de los sistemas de información vigentes de

manera que cumplan con el plan estratégico de sistemas y que cuenten
con el apoyo de la Dirección
Respecto a la comunicación se debe procurar:

− La comunicación eficaz al personal de sus funciones y responsabilidades
de control.
− El establecimiento de líneas de comunicación para la denuncia de
posibles actos indebidos.
− La correcta recepción de la Dirección de las propuestas del personal
respecto a formas de mejorar la productividad, la calidad, etc.
− La adecuación de la comunicación horizontal.
− El nivel de apertura y eficacia de las líneas de comunicación con clientes,
proveedores y terceros.
− El nivel de comunicación a terceros de las normas éticas de la entidad.
84
5. SUPERVISIÓN
Como hemos visto, el Control Interno puede ayudar a que una entidad consiga
sus objetivos de rentabilidad y a prevenir la pérdida de recursos, puede ayudar a
la obtención de información financiera confiable, puede reforzar la confianza de
que la empresa cumple con la normatividad aplicable. Sin embargo, los
sistemas de Control Interno requieren supervisión, es decir, un proceso que
compruebe que se mantiene el adecuado funcionamiento del sistema a lo largo
del tiempo. Esto se consigue mediante actividades de supervisión continua,
evaluaciones periódicas o una combinación de ambas cosas.
La supervisión continua del sistema de control interno se da en el transcurso de

las operaciones, incluye tanto las actividades normales de Dirección y
supervisión, como otras actividades llevadas a cabo por el personal en la
realización de sus funciones. El alcance y frecuencia de las evaluaciones
dependerá de la evaluación de riesgos y de la eficiencia de los procesos de
supervisión.
Los sistemas de Control Interno y, en ocasiones, la forma en que los controles

se aplican, evolucionan con el tiempo, por lo que procedimientos que eran
eficaces en un momento dado, pueden perder su eficacia o dejar de aplicarse.
Las causas pueden ser la incorporación de nuevos empleados, defectos en la
formación y supervisión, restricciones de tiempo y recursos y presiones
adicionales. Asimismo, las circunstancias en base a las cuales se configuró el
sistema de Control Interno en un principio también pueden cambiar, reduciendo
su capacidad de advertir de los riesgos originados por las nuevas
circunstancias. En consecuencia, la Dirección tendrá que determinar si el
sistema de Control Interno es adecuado y evaluar la capacidad de asimilar los
nuevos riesgos que se le presentan.
Alcance y frecuencia de la supervisión al Control Interno
El alcance y la frecuencia de la evaluación del Control Interno variarán según la

magnitud de los riesgos objeto de control y la importancia de los controles para
la reducción de aquellos. Así los controles actuarán sobre los riesgos de mayor
85
prioridad y los más críticos; y éstos, a su vez, serán objeto de evaluaciones más
frecuentes.
La evaluación del Control Interno forma parte de las funciones normales de

auditoría interna. Por otra parte, el trabajo realizado por los auditores externos
constituye un elemento de análisis a la hora de determinar la eficacia del Control
Interno. Una combinación del trabajo de las dos auditorías, la interna y la
externa, facilita la realización de los procedimientos de evaluación que la
Dirección considere necesarios.
El proceso de evaluación
La evaluación del sistema de Control Interno constituye un proceso, si bien los

enfoques y técnicas varían, debe mantenerse una metodología en todo el
proceso. El evaluador deberá entender cada una de las actividades de la
entidad y cada componente del Sistema de Control Interno objeto de la revisión.
Conviene centrarse en evaluar el funcionamiento teórico del sistema, es decir en
su diseño, lo cual implicará conversaciones con los desarrolladores y la revisión
de la documentación existente.
La tarea del evaluador (auditor) es averiguar el funcionamiento real del sistema.

Es posible que, con el tiempo determinados procedimientos diseñados para
funcionar de un modo determinado se modifiquen para funcionar de otro modo,
o simplemente se dejen de realizar. A veces se establecen nuevos controles, no
conocidos por las personas que en un principio describieron el sistema, por lo
que no se hallan en la documentación existente. A fin de determinar el
funcionamiento real del sistema, se mantendrán conversaciones con los
empleados que lo operan y se ven afectados por los controles, se revisarán los
datos registrados sobre el cumplimiento de los controles, o una combinación de
estos dos procedimientos.
El auditor (evaluador) analizará el diseño del sistema de Control Interno y los

resultados de las pruebas realizadas. El análisis se efectuará bajo la óptica de
los criterios establecidos, con el objeto último de determinar si el sistema ofrece
una seguridad razonable respecto a los objetivos establecidos.
86
Existe una gran variedad de metodologías para abordar el análisis del sistema
de control interno y el auditor disponde de variadas herramientas de evaluación:
hojas de control, cuestionarios y técnicas de flujogramas, técnicas cuantitativas,
etc. Algunas empresas, comparan sus sistemas de Control Interno con los de
otras entidades, lo que se conoce generalmente como técnica de
“benchmarking”.
Documentación
El nivel de documentación del sistema de Control Interno de la entidad varía

según la dimensión y complejidad de la misma. Las entidades grandes
normalmente cuentan con manuales de políticas, organigramas formales,
descripciones de puestos, descripción de procedimientos operativos,
flujogramas de los sistemas de información etc.
Muchos controles son informales y no tienen documentación; sin embargo, se

aplican asiduamente y resultan muy eficaces. Se puede comprobar este tipo de
controles de la misma manera que los controles documentados. El hecho de
que los controles no estén documentados no impide que el sistema de Control
Interno sea eficaz y que pueda ser evaluado.
Deficiencias
Las deficiencias en el sistema de Control Interno pueden ser detectadas tanto a

través de los procedimientos de supervisión continua realizados en la entidad
como de las evaluaciones puntuales al sistema de Control Interno, así como a
través de terceros.
El término “deficiencia” se usa aquí en un sentido amplio como referencia a un

elemento del sistema de Control Interno que merece atención, por lo que una
deficiencia puede representar un defecto percibido, potencial o real, o bien una
oportunidad para reforzar el sistema de Control Interno con la finalidad de
favorecer la consecución de los objetivos de la entidad.
87
6. LIMITACIONES DEL CONTROL INTERNO
Cualquiera fuere el marco conceptual con el que se evalúe un sistema de

Control Interno, debemos considerar que éste tiene limitaciones en cuanto a los
resultados de su aplicación ya que está condicionado por la conducta de
quienes trabajan con él y por limitaciones físicas.:
Un sistema se Control Interno, no importa lo bien concebido que esté y lo bien

que funcione, únicamente puede dar un grado de seguridad razonable, no
absoluta, a la Dirección en cuanto a la consecución de los objetivos de la
entidad. A pesar de estar bien diseñados, los controles internos pueden fallar,
puede que el personal comprenda mal las instrucciones o que se cometan
errores de juicio o malintencionados:
El control interno no puede hacer que un gerente malo se convierta en un buen

gerente. Asimismo el control interno no puede incidir sobre los cambios en la
política o en los programas gubernamentales, las acciones que tomen los
competidores o las condiciones económicas.
La eficacia de los controles se verá limitada por el riesgo de errores humanos en

la toma de decisiones, estas decisiones se tienen que tomar basadas en el juicio
humano, dentro de unos límites temporales, en base a la información disponible
y bajo la presión diaria de la actividad laboral.
La eficacia del sistema de Control Interno está en directa relación con las
personas responsables de su funcionamiento, incluso aquellas entidades que
tienen un buen ambiente de control (aquellas que tienen elevados niveles de
integridad y conciencia del control) existe la posibilidad de que el personal eluda
el sistema de Control Interno con ánimo de lucro personal o para mejorar la
presentación de la situación financiera o para disimular el incumplimiento de
obligaciones legales. La elusión incluye prácticas tales como actos deliberados
de falsificación ante bancos, abogados, contadores y proveedores, así como la
emisión intencionada de documentos falsos entre otras.
También existe la confabulación de dos o mas personas que pueden provocar

fallas en el control interno. Cuando las personas actúan de forma colectiva para
88
cometer y encubrir un acto, los datos financieros y otras informaciones de

gestión pueden verse alterados de un modo no identificable por el sistema de
control interno.
7. FUNCIONES Y RESPONSABILIDADES DEL PERSONAL
Todos los miembros de la organización son responsables del Control Interno, en

especial se distingue:
− La Dirección.- El máximo nivel ejecutivo, en el cual recae en primer lugar la

responsabilidad del control, debe liderar y revisar la manera en que los
miembros controlan el negocio, estos a su vez designan responsables de
cada función y establecen políticas y procedimientos de Control Interno más
específicos. La responsabilidad es organizada en cascada a partir de la
Dirección.
− Responsables de las Funciones Financieras.- Los directores financieros y

sus equipos tienen una importancia vital porque sus actividades están
estrechamente vinculadas con el resto de unidades operativas y funcionales
de una entidad. Normalmente están involucrados en el desarrollo de
presupuestos y en la planificación financiera. Controlan, siguen y analizan el
rendimiento, no sólo desde una perspectiva financiera sino también, en
muchas ocasiones, en relación al resto de operaciones de la entidad y al
cumplimiento de requisitos legales.
El director financiero, el jefe de contabilidad, el “controller” y otros

responsables de las funciones financieras de una entidad son claves para
determinar la forma en que la Dirección ejerce el control.
− Función de auditoría interna.- El área de Auditoría Interna, está en la mejor

posición dentro de una entidad para identificar situaciones en que los altos
directivos intentan eludir los controles internos o tergiversar los resultados
financieros y actuar en consecuencia.
89
Los auditores internos sólo pueden ser imparciales cuando no están

obligados a subordinar su juicio sobre asuntos de auditoría al criterio de
otros. El principal medio de asegurar la objetividad de la auditoría interna es
la asignación de personal adecuado para la función de auditoría, evitando
posibles conflictos de intereses y prejuicios.
Asimismo, es recomendable hacer una rotación periódica del personal

asignado y los auditores internos no deberían asumir responsabilidades
operativas; Igualmente no deberían estar asignados a la auditoría de
actividades en las cuales hubiesen tenido alguna responsabilidad operativa
reciente.
− Auditores Externos.- Los auditores externos contribuyen al logro de los

objetivos del control interno aportando opinión independiente y objetiva
sobre la situación de la entidad.
− Empleados.- El Control Interno es hasta cierto punto responsabilidad de

todos los empleados, casi todos ellos producen información utilizada en el
sistema de Control o realizan funciones para efectuar el control.
Fuente: María A. Marín de Guerrero

http://econet.uncu.edu.ar/instituto/pdf/trabajos/R42.pdf
Agosto 2005
90

RC Auditoria 1

Cargado por

Copyright:

Formatos disponibles

RC Auditoria 1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

RC Auditoria 1

Cargado por

Copyright:

Formatos disponibles

Auditoría en entornos informáticos

Muchas pueden ser las definiciones de auditoría, dependen del enfoque

Auditar es efectuar el control y la revisión de una situación pasada. Es observar

De acuerdo a la naturaleza del trabajo, hay distintas clasificaciones de auditoría:

2.1. Según el campo de actuación

En este caso, clasificamos los trabajos de auditoría según el ámbito donde se

El objetivo principal de una auditoría contable consiste en examinar los estados

Una auditoría contable persigue además otros propósitos referidos a la

evaluación de la calidad y eficiencia de los controles y la vigilancia de su

Se la denomina, también, "auditoría operativa" y puede ser definida como el

2.2. Según la relación de dependencia del auditor

Aspecto Auditoría externa Auditoría interna

SUJETO Contador Público Preferentemente profesional de

INDEPENDENCIA Total Profesional en relación de

OBJETO PRINCIPAL Estados contables anuales o Actividades de control interno del

NORMAS DE Normas profesionales vigentes. Normas de auditoría interna.

RESPONSABILIDAD Profesional Profesional

CONDICIONES Independencia de criterio (respecto Independencia de criterio

3.1. Concepto de control

Existen varias definiciones del término control. Difieren debido a distinciones

En general, se reconoce al control como una función administrativa básica;

• Influencia directiva, intenta que las actividades del sistema se realicen de

Elementos del control

Los elementos necesarios para implementar un sistema de control son5:

• Grupo activante: mecanismo activador que es capaz de producir un cambio

En síntesis, el control es un proceso y consiste en una comparación, un

3.2. Tipos de control

Dijimos que auditoría es una actividad de control, por lo tanto vamos a

a) De acuerdo a su objetivo, en esta categoría tenemos:

b) De acuerdo a su marco temporal, en este caso tenemos:

c) De acuerdo a su pertenencia al sistema operante, tenemos:

Un enfoque más cercano a nuestra problemática es analizar los tipos de

− Control interno: es el conjunto de reglas y normas de procedimiento que

3.3. Etapas del control

Las etapas para establecer un sistema de control son las siguientes:

1. Establecimiento de estándares: es la acción de determinar el/los parámetro/s

2. Comparación o diagnóstico: implica el cotejo entre los resultados reales con

3. La determinación de acciones correctivas es la tercera etapa. Lleva implícita

económica la solución de la discrepancia mientras más correcto sea el

4. La ejecución de las acciones correctivas es el último paso. Sin éste, el

3.4. Principio de economicidad del control

Un principio básico a tener en cuenta cuando se quiere implementar un control,

3.5. Auditoría y control

En este marco, la auditoría es una función de control, con las siguientes

• Es del tipo retroalimentado, porque se refiere a hechos sucedidos.

“... documentos originarios, diarios, mayores, y papeles de trabajo que posibilitan

El sistema de información debería conservar las pistas de auditoría para permitir

A partir del empleo de computadores como herramienta base donde se

Creemos importante diferenciar las tareas comprendidas en una misión de

Como ya lo expresáramos anteriormente, la auditoría comprende la realización

En tanto, la consultoría tiene como misión implementar las recomendaciones

Esto último supone que la consultoría se sustenta en un esfuerzo previo de

Consultoría Optimizar el desempeño Previo a los eventos

Podemos afirmar que un trabajo de auditoría es un proyecto ¿porqué? Para

Los proyectos son un conjunto de actividades a realizar con un objetivo

Uno de los elementos a tener en cuenta para asegurar el éxito de un

• Objetivos inadecuados, confusos, mal definidos, poco realistas,

1. Fijación del objetivo: debe clarificarse adecuadamente el objetivo con

Como vemos, entonces, un trabajo de auditoría es un proyecto, ya que no forma