1. El documento define varios términos clave relacionados con la auditoría, incluyendo auditoría completa, auditoría continua, materialidad, independencia, programa de auditoría, pruebas de cumplimiento, pruebas sustantivas, herramientas CAATS, segregación de funciones, informe de auditoría, evidencia, papeles de trabajo e inconsistencia.
2. Algunos de los conceptos clave descritos son la auditoría continua, que implica auditorías periódicas durante el año fiscal, y la materialidad, que se refiere a la
1. VOCABULARIO DE AUDITORIA
1. Auditoria completo: Tiene por finalidad el manifestar una opinión sobre la razonabilidad de
las cuentas anuales tomadas en su conjunto.
2. Auditoria continua: Según Philip L, Defliese y otros (1992), las auditorias continuas o
periódicas se presentan cuando el Contador Público Independiente visita a sus clientes con
intervalos frecuentes durante el período fiscal, supóngase una vez al mes, o con mayor o
menor frecuencia y durante su visita pone corriente todo el trabajo de auditoría pendiente
desde su visita anterior.
El cliente debe recibir comunicaciones o informes frecuentes, detallando el progreso realizado
durante el curso del trabajo, los defectos que hay que corregir y cualquier otro asunto de
interés para la buena marcha del negocio. Estas comunicaciones o informes no son iguales a
un informe formal de una auditoria y normalmente no contienen dictámenes o certificaciones
los cuales se presentan anualmente al final del período.
En lo expuesto anteriormente, en documento en línea define: cualquier auditoria de trabajo
detallado que se hace continuamente o a ciertos intervalos durante un ejercicio fiscal, con el
objeto de descubrir y corregir, antes de finalizar el ejercicio, procedimientos ineficaces o
erróneos, reduciendo en esta forma trabajo del auditor externo al cierre del ejercicio.
Según CRM Suite ®Overview (2000), empresa de auditoría continua de sistemas define de
forma análoga el concepto, se auditan periódicamente los sistemas de trabajo establecidos
para llevar a cabo el proceso de mantenimiento, incluyendo la utilización adecuada del
software y su aprovechamiento. Así se siguen obteniendo los beneficios obtenidos. Establecen
planes de acción específicos si se encuentran desviaciones del sistema. Genera reporte a
Gerencia sobre la situación real de la función de mantenimiento.
3. Materialidad: La información es material si su omisión o distorsión puede influir en las
decisiones económicas de los usuarios que se apoyan en los estados financieros. La
materialidad depende del tamaño de la partida o de los errores considerados en las
particulares circunstancias de la omisión o distorsión. Por ello, la materialidad depende
constituye una referencia o un punto de corte antes que una característica cualitativa principal
para que la información pueda ser útil.
(Contraloría General de la República, MANUAL DE AUDITORÍA GUBERNAMENTAL - MAGU -
1998)
4. Independencia: Un requisito indisponible para llevar a cabo una auditoria, es que el auditor
debe poseer una absoluta independencia mental, profesional y laboral, ya que esta soberanía
de acción le permite actuar como un verdadero profesional al realizar cualquier tipo de
evaluación. Es evidente que este libre albedrio le evitara tener cualquier tipo de obligación,
preferencia, obediencia o algún otro compromiso con la empresa a la que audita.
2. Es precisamente en esta independencia donde radican la actuación profesional y la
confiabilidad de un auditor.
5. Programa de auditoría: Es el documento que utiliza el auditor para evaluar las areas critica
de la empresa y para saber Asia donde va la empresa a través de la misión y la visión.
El programa de auditoría tiene 2 tipos de archivos los cuales son archivos presentes, archivos
permanentes.
6. pruebas de cumplimiento: Las pruebas de cumplimiento representan procedimientos de
auditoría diseñados para verificar si el sistema de control interno del cliente está siendo
aplicado de acuerdo a la manera en que se le describió al auditor y de acuerdo a la intención
de la gerencia. Si, después de la comprobación, los controles del cliente parecen estar
operando efectivamente, el auditor justifica el poder tener confianza en el sistema y por
consiguiente reduce sus pruebas sustantivas.
Las pruebas de cumplimiento están relacionadas con tres aspectos de los controles del cliente:
La frecuencia con que los procedimientos de control necesarios fueron llevados a efecto. Para
reducir las pruebas sustantivas, los procedimientos prescritos en el sistema deben estar
cumpliéndose consistentemente.
La calidad con que se ejecutan los procedimientos de control. Los procedimientos de control
se deben ejecutar en forma apropiada. La calidad de su ejecución puede ser probada mediante
discusiones sobre el criterio seguido para tomar ciertas decisiones.
La persona que ejecuta el procedimiento. La persona responsable de los procedimientos de
control, debe ser independiente de funciones incompatibles para que el control sea efectivo.
7. Pruebas sustantivas: Una prueba sustantiva es un procedimiento diseñado para probar el
valor monetario de saldos o la inexistencia de errores monetarios que afecten la presentación
de los estados financieros. Dichos errores (normalmente conocidos como errores monetarios)
son una clara indicación de que los saldos de las cuentas pueden estar desvirtuados. La única
duda que el auditor debe resolver, es de sí estos errores son suficientemente importantes
como para requerir ajuste o su divulgación en los estados financieros.
Deben ejecutarse para determinar si los errores monetarios han ocurrido realmente.
En resumen ayudarán a comprobar si la información ha sido corrompida comparándola con
otra fuente o revisando los documentos de entrada de datos y las transacciones que se han
ejecutado.
Una vez valorados los resultados de las pruebas se obtienen conclusiones que serán
comentadas y discutidas con los responsables directos de las áreas afectadas con el fin de
corroborar los resultados. Por último, el auditor deberá emitir una serie de comentarios donde
3. se describa la situación, el riesgo existente y la deficiencia a solucionar, y en su caso, sugerirá la
posible solución.
Esta será la técnica a utilizar para auditor el entorno general de un sistema de bases de datos,
tanto en su desarrollo como durante la explotación.
8. Herramientas CAATS: Las técnicas de auditoría asistidas por computadora son de suma
importancia para el auditor de TI cuando realiza una auditoría. CAAT (Computer Audit Assisted
Techniques) incluyen distintos tipos de herramientas y de técnicas, las que más se utilizan son
los software de auditoría generalizado, software utilitario, los datos de prueba y sistemas
expertos de auditoría. Las CAAT se pueden utilizar para realizar varios procedimientos de
auditoría incluyendo:
• Prueba de los detalles de operaciones y saldos.
• Procedimientos de revisión analíticos.
• Pruebas de cumplimiento de los controles generales de sistemas de información.
• Pruebas de cumplimiento de los controles de aplicación.
El software de auditoría consiste en programas de computadora usados por el auditor, como
parte de sus procedimientos de auditoría, para procesar datos de importancia de auditoría del
sistema de contabilidad de la entidad. Puede consistir en programas de paquete, programas
escritos para un propósito, programas de utilería o programas de administración del sistema.
Independientemente de la fuente de los programas, el auditor deberá verificar su validez para
fines de auditoría antes de su uso.
9. Segregación de funciones: La segregación de funciones incompatibles reduce el riesgo de
que una persona esté en condiciones tanto de cometer u ocultar errores o fraudes en el
transcurso normal de su trabajo. Lo que se debe evaluar para evitar la colusión de fraudes son:
autorización, ejecución, registro, custodia de los bienes, realización de conciliaciones.
10. Informe de auditoría: este es el documento más importante de la auditoria de sistemas
computacionales, debido que a través de este se presenta los resultados obtenidos durante la
evaluación; en el se plasman, por escrito, las observaciones y el dictamen que emite el auditor,
quien de acuerdo con su experiencia, conocimientos e información recopilada evalúa el
comportamiento de sistema, la actuación y cumplimiento de su gestión informática, la
realización correcta de su objetivos, el cumplimiento de sus funciones, actividades y
operaciones, o cualquier otro aspecto de los sistemas computacionales.
11. Evidencia: Información verificable, registros o declaraciones realizadas. La evidencia, que
puede ser cuantitativa o cualitativa, se utiliza por el auditor para determinar si se cumplen los
criterios de auditoría. 2 La evidencia se basa normalmente en entrevistas, análisis de
documentos, observación de actividades y de sus condiciones, medidas, ensayos, así como
cualquier otra posibilidad dentro del alcance de la auditoría. (ISO/WD 14.050 Gestión
medioambiental. Terminología).
• Evidencia Natural: es la que observamos en todo lo que nos rodea.
4. • Evidencia creada: re quiere cierto efecto para obtenerla por ejemplo es el resultado
de las pruebas de auditoría.
• Evidencia por argumentación natural: un esfuerzo mental para ir al simple hecho
observado para sacar una conclusión.
12. Papeles de trabajo: Los papeles de trabajo sirven para registrar los elementos de juicio
específico que se emplean para acumular las evidencias necesarias que sean la base para
fundamentar la opinión o dictamen que emite el Auditor.
También podemos decir que los papeles de trabajo, son el conjunto de cédulas en las que el
Auditor registra los datos y la información obtenida de la empresa que esta examinando y de
esta manera acumula las pruebas encontradas y la descripción de las mismas.
Los papeles de trabajo constituyen una historia del trabajo realizado por el Auditor y de los
hechos precisos en que basa sus conclusiones
13. Inconsistencia: Una base de datos está inconsistente si dos datos que deberían ser iguales
no lo son. Por ejemplo, un empleado aparece en una tabla como activo y en otra como
jubilado.
Falta de consistencia.
14. Consistencia: Acción que permite detectar anomalías en los datos de un registro que se
procesa y que generalmente se informa mediante impresión.
(Directiva Nº 015-94-94-INEI/SJI, "Normas Técnicas para el Almacenamiento y Respaldo de la
Información que se procesa en las Unidades del Estado",
15. Seguridad: Medidas de resguardos contra el acceso no autorizado a los datos. Los
programas y datos se pueden asegurar entregando números de identificación y contraseñas a
los usuarios autorizados de una computadora
16. Integridad: El término integridad de datos se refiere a la corrección y completitud de los
datos en una base de datos. Cuando los contenidos de una base de datos se modifican con
sentencias INSERT, DELETE O UPDATE, la integridad de los datos almacenados puede perderse
de muchas maneras diferentes.
La integridad referencial es una propiedad deseable en las base de datos. Gracias a la
integridad referencial se garantiza que una entidad (fila o registro) siempre se relaciona con
otras entidades válidas, es decir, que existen en la base de datos. Implica que en todo
momento dichos datos sean correctos, sin repeticiones innecesarias, datos perdidos y
relaciones mal resueltas.
17. Redundancia: En base de datos en ficheros, la redundancia hace referencia al
almacenamiento de los mismos datos varias veces en diferentes lugares. La redundancia de
datos puede provocar problemas como:
5. * Incremento del trabajo: como un mismo dato está almacenado en dos o más lugares, esto
hace que cuando se graben o actualicen los datos, deban hacerse en todos los lugares a la vez.
18. Software de auditoría: permite que el Analista de datos o Auditor de Negocios acceda
virtualmente a cualquier archivo de datos de cualquier entorno y analice el cien por ciento de
miles o millones de transacciones en segundos detectando la totalidad de las excepciones y
construyendo las propias bases de datos de Análisis de datos o Auditoria con datos
completamente flexibles y de entornos diversos. IDEA
Representa un cambio total en la labor de Análisis de Análisis de Datos y Auditoria, ya que
elimina - donde esto sea posible - el riesgo estadístico de las muestras y es una herramienta
para apoyar el
Pensamiento creativo del Analista de Datos y del Auditor, a través de una serie de funciones de
análisis predefinidas y gráficos interactivos, permite navegar sobre los datos o sobre los
resúmenes estadísticos descubriendo potenciales problemas o identificando vulnerabilidades
operativas, financieras o de negocios. Asimismo tiene funciones de soporte para los costosos
análisis físicos (Inventarios, firmas, carpetas, documentos), que permiten o bien realizar
muestras para pruebas sustantivas o de cumplimiento, o bien realizar ABCs de los datos para
detectar el grupo de casos más valioso para aplicar el análisis, y numerosas funciones de
análisis de datos y detección de fraude.
Finalmente IDEA automatiza en forma natural y en un lenguaje abierto IDEAscript, los
programas de Análisis de Datos y Auditoria desarrollados y permite crear la biblioteca propia
de programas de Análisis, y hasta integrar los procesos de Análisis y Auditoria con aplicaciones
de negocios para el desarrollo de Alertas en línea y Monitoreo continuo.
19. Auditoria de sistemas: Se encarga de llevar a cabo la evaluación de normas, controles,
técnicas y procedimientos que se tienen establecidos en una empresa para lograr
confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a
través de los sistemas de información. La auditoría de sistemas es una rama especializada de la
auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información.
20. Auditoría a los sistemas de redes: Es reciente el crecimiento e importancia que han
cobrado las redes de cómputo, razón por la cual es necesario enfocar la auditoría hacia este
campo específico; no obstante, en ciertos casos, esta evaluación parecería estar contemplada
en algunos tipos de auditoría aquí señalados. Su definición es la siguiente:
Es la revisión exhaustiva, específica y especializada que se realiza a los sistemas de redes de
una empresa, considerando en la evaluación los tipos de redes, arquitectura, topología, sus
protocolos de comunicación, las conexiones, accesos, privilegios, administración y demás
aspectos que repercuten en su instalación, administración, funcionamiento y
aprovechamiento. Es también la revisión del software institucional, de los recursos
informáticos e información de las operaciones, actividades y funciones que permiten
compartir las bases de datos, instalaciones, software y hardware de un sistema de red.
6. 21. Auditoria de base de dato: Aspectos de seguridad e integridad. Protección de bases de
datos. Protección de accesos. Auditoría de bases de datos. Privilegios y autorizaciones.
Especificación de restricciones. Restricciones en las transacciones. Validaciones.
22. Auditoria operativa: Primero: los auditores deben de realizar su trabajo personalmente
como lo haría un gerente si dispusiera de tiempo.
Segundo: los auditores deben suponer que ellos son los dueños del negocio, que son dueños
de los beneficios y antes de recomendar un cambio o criticar una operación, deben de
preguntarse qué harían si el negocio fuese realmente suyo.
La auditoria operativa es una forma a través de la cual los auditores internos enfocan sus
trabajos, analizan los asuntos de su competencia y consideran los resultados; para ello deben
adoptar las técnicas y enfoques desde la perspectiva de un director.
23. Técnicas de auditoría: Las auditorías informáticas se materializan recabando información y
documentación de todo tipo. Los informes finales de los auditores dependen de sus
capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El
trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión
de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también
evidencias. Toda esta información la logramos obtener y ordenar con las técnicas:
• Examen
• Inspección
• Confirmación
• Comparación
• Revisión documental
• Acta testimonial
• Matriz de evaluación
• Matriz foda
24. Referencia cruzada:
Una consulta de referencias cruzadas es aquella que nos permite visualizar los
datos en filas y en columnas, estilo tabla, por ejemplo:
Producto / Año 1996 1997
Pantalones 1.250 3.000
Camisas 8.560 1.253
Zapatos 4.369 2.563
Si tenemos una tabla de productos y otra tabla de pedidos, podemos visualizar en
total de productos pedidos por año para un artículo determinado, tal y como se
7. visualiza en la tabla anterior. La sintaxis para este tipo de consulta es la siguiente:
TRANSFORM función agregada instrucción select PIVOT campo pivot
[IN (valor1[, valor2[, ...]])]
En donde:
Es una función SQL agregada que opera sobre los datos
función agregada
seleccionados.
instrucción select Es una instrucción SELECT.
Es el campo o expresión que desea utilizar para crear las
campo pivot
cabeceras de la columna en el resultado de la consulta.
valor1, valor2 Son valores fijos utilizados
para crear las cabeceras de la columna.
1. Para resumir datos utilizando una consulta de referencia cruzada, se
seleccionan los valores de los campos o expresiones especificadas como
cabeceras de columnas de tal forma que pueden verse los datos en un
formato más compacto que con una consulta de selección.
TRANSFORM es opcional pero si se incluye es la primera instrucción de una
cadena SQL. Precede a la instrucción SELECT que especifica los campos
utilizados como encabezados de fila y una cláusula GROUP BY que especifica
el agrupamiento de las filas. Opcionalmente puede incluir otras cláusulas
como por ejemplo WHERE, que especifica una selección adicional o un
criterio de ordenación.
Los valores devueltos en campo pivot se utilizan como encabezados de
columna en el resultado de la consulta. Por ejemplo, al utilizar las cifras de
ventas en el mes de la venta como pivot en una consulta de referencia
cruzada se crearían 12 columnas. Puede restringir el campo pivot para crear
encabezados a partir de los valores fijos (valor1, valor2) listados en la
cláusula opcional IN.
25. Materialidad: La materialidad en la auditoría de sistemas debe ser considerada en
términos del impacto potencial total para el ente en lugar de alguna medida basado en los
riesgos.
Riesgo y materialidad de auditoría.
Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda
tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha
ocurrido. Los riesgos en auditoría pueden clasificarse de la siguiente manera: Riesgo inherente:
Cuando un error material no se puede evitar que suceda por que no existen controles
compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error
material no puede ser evitado o detectado en forma oportuna por el sistema de control
interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de
un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen
errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de
estos componentes o riesgos, se refiere a un error que debe
8. Considerarse significativo cuando se lleva a cabo una auditoría. En una auditoría de sistemas
de información, la definición de riesgos materiales depende del tamaño o importancia del ente
auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión
de estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno de los
potenciales errores en un universo. Pero, si el tamaño de la muestra es lo suficientemente
grande, o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad
del riesgo de detección. De manera similar al evaluar los controles internos, el auditor de
sistemas debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese
error combinado con otros, puede convertiré en un error material para todo el sistema. La
materialidad en la auditoría de sistemas debe ser considerada en términos del impacto
potencial total para el ente en lugar de alguna medida basado en lo monetario.