Auditoria Sistemas sin Ordenador

Universidad San Francisco de Asís
Auditoria Sistemas
Alumno: Juan Carlos Rojas Paredes
Docente: Ing. Liza Saavedra
La Paz- Bolivia 2011-08-08

Contenido
CONTENIDO.....................................................................................................................................................2
RESUMEN..........................................................................................................................................................3
PREGUNTAS.....................................................................................................................................................4
AUDITORIA SIN USO DEL ORDENADOR.................................................................................................6
1. GENERALIDADES.......................................................................................................................................6
2. TÉCNICAS ....................................................................................................................................................6
2.1. TÉCNICAS DE EVALUACIÓN DE RIESGOS. .................................................................................................7
2.1.1. Uso de la Evaluación de Riesgos......................................................................................................8
2.1.2. Tipos de riesgos................................................................................................................................8
2.2. MUESTREO...............................................................................................................................................12
2.3. MONITOREO DE ACTIVIDADES.................................................................................................................12
2.4. RECOPILACIÓN DE GRANDES DE DATOS DE INFORMACIÓN.....................................................................12
2.5. VERIFICACIÓN DE DESVIACIONES EN EL COMPORTAMIENTO DE LA DATA..............................................13
2.6. CALCULO POS OPERACIÓN.......................................................................................................................13
2.7. ANÁLISIS E INTERPRETACIÓN DE LA EVIDENCIA.....................................................................................13
3. ENFOQUE METODOLÓGICO DAVIS GORDON................................................................................13
3.1. OBJETIVOS...............................................................................................................................................14
3.2. IMPORTANCIA QUE SE AUDITÉ LA EMPRESA QUE UTILIZA PED (PROCESAMIENTO ELECTRÓNICO DE
DATOS)...........................................................................................................................................................15
3.3. PROCESOS DE LA AUDITORIA DE SISTEMAS.............................................................................................16
3.4. FORMAS DE AUDITAR CON LA COMPUTADORA.......................................................................................16
3.4.1. Alrededor de la computadora.........................................................................................................16
3.4.2. Con la computadora.......................................................................................................................17
3.4.3. Atreves de la computadora.............................................................................................................17
3.5. CAMPOS DE APLICACIÓN DE AUDITORIA DEL PED (PROCESAMIENTO ELECTRÓNICO DE DATOS)..........18
3.6. LOS PAPELES DE TRABAJO EN LA AUDITORIA DEL PED (PROCESAMIENTO ELECTRÓNICO DE DATOS)...18

Resumen
La auditoría sin del ordenador busca evaluar los sistemas desde una óptica
tradicional, contando con el apoyo de las técnicas y procedimientos de evaluación
acostumbrados y sin el uso de los sistemas computacionales, aunque éstos sean
los que se evalúen
Es decir esta auditoria utiliza cuyos métodos, técnicas y procedimientos están
orientados únicamente a la evaluación tradicional del comportamiento y validez de
las transacciones económicas, administrativas y operacionales de un área de
cómputo.
Por lo general, esta auditoría se enfoca en los aspectos operativos, financieros,
administrativos y del personal de los centros de sistemas computacionales. Es la
auditoría cuyos métodos, técnicas y procedimientos están orientados únicamente
a la evaluación tradicional del comportamiento y validez de las transacciones
económicas, administrativas y operacionales de un área de cómputo y en sí de
todos los aspectos que afectan a las actividades en las que se utilizan sistemas
informáticos, pero dicha evaluación se realiza sin el uso de los sistemas
computacionales.
Para lo cual se utiliza las siguientes técnicas
• Técnicas de Evaluación de riesgos.
• Muestreo.
• Cálculo pos operación.
• Monitoreo de actividades.
• Recopilación de grandes cantidades de información.
• Verificación de desviaciones en el comportamiento de la data.
• Análisis e interpretación de la evidencia.

Preguntas
1. ¿La auditoría sin uso del ordenador que busca?
Busca evaluar los sistemas desde una óptica tradicional, contando con el apoyo
de las técnicas y procedimientos de evaluación acostumbrados y sin el uso de los
sistemas computacionales, aunque éstos sean los que se evalúen.
2. ¿En que se enfoca la auditoria sin uso del ordenador?
En los aspectos operativos, financieros, administrativos y del personal de los
centros de sistemas computacionales.
3. ¿Qué es lo que utiliza este tipo de auditoria?
Auditoria utiliza cuyos métodos, técnicas y procedimientos están orientados
únicamente a la evaluación tradicional del comportamiento y validez de las
transacciones económicas, administrativas y operacionales de un área de
cómputo.
4. ¿Cuáles son las técnicas que usa este tipo de auditoria?
• Muestreo.
5. ¿Cuáles son los tipos de riesgos de evaluación?
• Riesgo inherente
• Riesgo de control
• Riesgo de detección
6. ¿Qué es el riesgo de control?
Es el riesgo por el que un error, que podría cometerse en un área de auditoría -y
que podría ser material, individualmente o en combinación con otros-, no pueda
ser evitado o detectado y corregido oportunamente por el sistema de control
interno.
7. ¿Qué es el riesgo de detección?
Es el riesgo que se produce cuando los procedimientos sustantivos del Auditor
Interno no detectan un error que podría ser material, individualmente o en
combinación con otros.
8. ¿Qué es el muestreo?
El muestreo se puede definir como el proceso mediante el cual se pueden inferir
conclusiones acerca de un conjunto de elementos, denominado universo o
población, en base al estudio de una fracción de dichos elementos denominada
muestra.
9. ¿En qué consiste la recopilación de grandes de datos de información?
Debe enfocarse en el registro de todo tipo de hallazgo y evidencia que haga
posible su examen objetivo, pues de otra manera se puede incurrir en errores de
interpretación que causen retrasos u obliguen a recapturar la información,
reprogramar la auditoria o, en su caso, suspenderla.
10. ¿Qué articulo publico Davis Gordon y acerca de qué?

Davis Gordon publico los problemas que se presentan al aplicar un programa de
auditoria con la computadora
11. ¿Por qué es importante usar PED (Procesamiento electrónico de datos)?
Porque en ocasiones la gerencia no conoce el alcance del procesamiento de datos
y si lo conoce, no le queda fácil determinar la eficiencia del sistema
Porque pueden existir controles no confiables en las aplicaciones que se hagan
especialmente cuando se trata de procesar la información contable en la cual se
reflejan las políticas de la gerencia
12. ¿Cuáles son las formas de auditar con la computadora?
Alrededor de la computadora
Con la computadora
Atreves de la computadora
13. ¿En qué consiste auditar alrededor de la computadora?
Aquí se recurre a procedimientos tradicionales de auditoria, para formarse una
apreciación sobre la calidad dela información, evaluada.
Se sustenta en el uso de criterios tradicionales de auditoria total con el agravante
que se hace el desconocimiento de las etapas del proceso más importantes.
14. ¿En que consiste auditar Con la computadora?
Implica el uso de programas especiales de auditoría (Software para auditoria) para
verificar y analizar la información obtenida en los medios apropiados.
15. ¿En qué consiste auditar Atreves de la computadora?
Conlleva la evaluación del control interno, la ejecución de pruebas con
transacciones básicas, la ejecución de otros procedimientos operativos y la
investigación sobre la administración de los recursos instalados.

Auditoria sin uso del ordenador
1. Generalidades
En este tipo de auditoría busca evaluar los sistemas desde una óptica tradicional,
contando con el apoyo de las técnicas y procedimientos de evaluación
acostumbrados y sin el uso de los sistemas computacionales, aunque éstos sean
los que se evalúen. Por lo general, esta auditoría se enfoca en los aspectos
operativos, financieros, administrativos y del personal de los centros de sistemas
computacionales. Es la auditoría cuyos métodos, técnicas y procedimientos están
cómputo y en sí de todos los aspectos que afectan a las actividades en las que se
utilizan sistemas informáticos, pero dicha evaluación se realiza sin el uso de los
sistemas computacionales.
Es decir esta auditoria utiliza cuyos métodos, técnicas y procedimientos están
cómputo.
2. Técnicas
La auditoría sin uso del ordenador utiliza las siguientes técnicas:
• Muestreo.

2.1. Técnicas de Evaluación de riesgos.
Existen numerosas metodologías de evaluación de riesgos –informatizadas y no
informatizadas– disponibles para el área de Auditoría Interna. Éstas varían desde
las simples clasificaciones de riesgo alto, medio y bajo basadas en el juicio del
Auditor, hasta los cálculos complejos y aparentemente científicos que suministran
una clasificación numérica de riesgo. El Auditor Interno debe tener en cuenta el
grado de complejidad y detalle apropiados para la organización auditada.
Todas las metodologías de evaluación de riesgos dependen de juicios subjetivos
en algún momento del proceso (por ej., para asignar ponderaciones a los diversos
parámetros). El área de Auditoría Interna debe identificar las decisiones subjetivas
requeridas a fin de utilizar una metodología específica y considerar si estos juicios
pueden emitirse y validarse con un grado de exactitud apropiado.
Al decidir cuál es la metodología de evaluación de riesgos más apropiada, el área
de Auditoría Interna debe tener en cuenta:
• El tipo de información que debe recopilarse (algunos sistemas utilizan el
efecto financiero como única medida – esto no siempre resulta adecuado
para las auditorías de TI).
• El costo del software u otras licencias requeridas para utilizar la
metodología.
• El grado de disponibilidad de la información requerida.
• La cantidad de información adicional que debe recopilarse antes de poder
obtener una salida confiable, y el costo de recopilar dicha información
(incluyendo el tiempo que debe dedicarse a esa tarea).

• Las opiniones de otros usuarios de la metodología y sus puntos de vista
sobre su eficacia en la tarea de mejorar la eficiencia y/o efectividad de sus
auditorías.
• La buena disposición de la gerencia para aceptar la metodología como
medio para determinar el tipo y nivel de trabajo de auditoría a realizar.
No puede esperarse que una metodología de evaluación de riesgos determinada
resulte apropiada en todas las situaciones. Las condiciones que inciden en el
desarrollo de las auditorías pueden modificarse con el tiempo. Periódicamente, el
área de Auditoría Interna debe realizar una nueva evaluación de la idoneidad de
las metodologías de evaluación de riesgos seleccionadas.
2.1.1. Uso de la Evaluación de Riesgos
El Auditor Interno debe utilizar las técnicas de evaluación de riesgos
seleccionadas al desarrollar el plan global de auditoría y al planificar las auditorías
específicas. La evaluación de riesgos, en combinación con otras técnicas de
auditoría, debe tenerse en cuenta al tomar decisiones de planificación
relacionadas con:
• La naturaleza, el alcance y la oportunidad de los procedimientos de
auditoría.
• Las áreas o funciones de negocio a auditar.
• El tiempo y los recursos a asignar a cada una de las auditorías.
2.1.2. Tipos de riesgos
Los siguientes tipos de riesgo, a fin de determinar su nivel global:
• Riesgo inherente
• Riesgo de control
• Riesgo de detección

2.1.2.1Riesgo inherente
El riesgo inherente es la tendencia de un área de Tecnología de Información a
cometer un error que podría ser material, en forma individual o en combinación
con otros, suponiendo la inexistencia de controles internos relacionados. Por
ejemplo, el riesgo inherente asociado a la seguridad del sistema operativo es
normalmente alto dado que los cambios en los datos o programas, o aun su
divulgación, a través de las deficiencias en la seguridad del sistema operativo
podrían tener como resultado una desventaja competitiva o información de gestión
falsa. Por otro lado, el riesgo inherente asociado a la seguridad de una PC
independiente es normalmente bajo, cuando un análisis adecuado demuestra que
no se utiliza con propósitos críticos de negocio.
El riesgo inherente para la mayoría de las áreas de auditoría de TI es
normalmente alto dado que, por lo general, el posible efecto de los errores se
extiende a varios sistemas de negocios y a un gran número de usuarios.
Al evaluar el riesgo inherente, el Auditor de TI debe tener en cuenta tanto los
controles generales de TI como los detallados. Ello no se aplica en los casos en
que la tarea del Auditor Interno esté relacionada exclusivamente con controles
generales.
En lo que respecta a los controles generales de TI, el Auditor Interno debe tener
en cuenta lo siguiente, al nivel apropiado para el área de auditoría en cuestión:
• La integridad, experiencia y conocimiento de la Gerencia de TI.
• Los cambios en la Gerencia de TI.
• La presión ejercida sobre la Gerencia de TI, que puede predisponerla a
ocultar o distorsionar información (por ej., pérdida de datos en grandes
proyectos críticos de negocios, actividades de hackers, etc.).

• La naturaleza del negocio y de los sistemas de la organización (por ej., la
posibilidad de ejercer el comercio electrónico, la complejidad de los
sistemas, la falta de sistemas integrados, etc.).
• Los factores que afectan el rendimiento de la organización en general (por
ej., cambios tecnológicos, disponibilidad del personal de TI, etc.).
• El grado de influencia de terceros en el control de los sistemas auditados
(por ej., debido a la integración de la cadena de suministro, la tercerización
de los procesos de TI, las alianzas estratégicas de negocio y el acceso
directo de los clientes).
Al nivel de los controles detallados de TI, el Auditor Interno debe tener en cuenta,
en el nivel apropiado para el área de auditoría en cuestión:
• Los hallazgos y fecha de auditorías anteriores en el área.
• La complejidad de los sistemas involucrados.
• El nivel de intervención manual requerida.
• La propensión a la pérdida o apropiación indebida de los bienes controlados
por el sistema (por ej., inventario, nómina, etc.).
• La probabilidad de que se produzcan picos de actividad en ciertos
momentos del período de auditoría.
• Las actividades que no estén comprendidas en la rutina de procesamiento
de SI (por ej., el uso de los utilitarios del sistema operativo para corregir
datos, etc.).
• La integridad, experiencia y habilidades de la gerencia y el personal que
participan en la aplicación de los controles de TI.

2.1.2.2. Riesgo de Control
Es el riesgo por el que un error, que podría cometerse en un área de auditoría -y
que podría ser material, individualmente o en combinación con otros-, no pueda
ser evitado o detectado y corregido oportunamente por el sistema de control
interno. Por ejemplo, el riesgo de control asociado a las revisiones manuales de
registros computadorizados es normalmente alto debido a que las actividades que
requieren investigación a menudo se pierden con facilidad por el volumen de
información registrada. El riesgo de control asociado a los procedimientos
computarizados de validación de datos es normalmente bajo puesto que los
procesos se aplican con regularidad.
El Auditor Interno debe evaluar el riesgo de control como un riesgo alto a menos
que los controles internos pertinentes:
• Se identifiquen
• Se consideren eficaces
• Se prueben y confirmen como adecuadamente operativos (pruebas de
cumplimiento)
2.1.2.3. Riesgo de Detección
Es el riesgo que se produce cuando los procedimientos sustantivos del Auditor
Interno no detectan un error que podría ser material, individualmente o en
combinación con otros. Por ejemplo, el riesgo de detección asociado a la
identificación de violaciones de la seguridad en un sistema de aplicación es
normalmente alto, debido a que en el transcurso de la auditoría, los registros de
todo su período no se encuentran disponibles. El riesgo de detección asociado con
la identificación de la falta de planes de recuperación ante desastres es
normalmente bajo, dado que su existencia puede verificarse con facilidad.

Al determinar el nivel de pruebas sustantivas requeridas, el Auditor Interno debe
tener en cuenta:
• La evaluación del riesgo inherente.
• La conclusión sobre riesgos de control a la que se llega luego de las
pruebas de cumplimiento.
Cuanto más exhaustiva es la evaluación del riesgo inherente y de control, mayor
es la evidencia de auditoría que debería obtener el Auditor Interno mediante la
ejecución de los procedimientos sustantivos de auditoría.
2.2. Muestreo
El muestreo se puede definir como el proceso mediante el cual se pueden inferir
conclusiones acerca de un conjunto de elementos, denominado universo o
población, en base al estudio de una fracción de dichos elementos denominada
muestra.
2.3. Monitoreo de actividades
Una vez identificados los riesgos, se puede realizar el modelo conceptual del
monitoreo, a partir de las debilidades identificadas y contemplando los controles
existentes en el proceso.
Posteriormente, se diseña el monitoreo en sí, analizando el procesamiento y la
arquitectura de la información, así como el registro informático de las operaciones.
A partir de todo lo anterior, se desarrollan los procedimientos automatizados,
determinando las consultas a realizar y los parámetros a cumplir.
2.4. Recopilación de grandes de datos de información
Debe enfocarse en el registro de todo tipo de hallazgo y evidencia que haga
posible su examen objetivo, pues de otra manera se puede incurrir en errores de

interpretación que causen retrasos u obliguen a recapturar la información,
reprogramar la auditoria o, en su caso, suspenderla.
Se debe aplicar un criterio de discriminación, siempre basado en el objetivo de la
auditoria, y proceder continuamente a su revisión y evaluación para mantener una
línea de acción uniforme.
2.5. Verificación de desviaciones en el comportamiento de la data
Se enfoca en que no exista ningún tipo de filtraciones de información como de
datos
2.6. Calculo pos operación
Se realizan cálculos antes de realizar una operación con el fin de poder ver la
magnitud a donde se llegara con la auditoria
2.7. Análisis e interpretación de la evidencia
Se debe obtener evidencia suficiente, confiable, relevante y útil para lograr los
objetivos de la auditoría efectivamente. Los resultados y conclusiones de la
auditoría deben estar apoyados por un apropiado análisis e interpretación de esta
evidencia
3. Enfoque metodológico Davis Gordon
Auditoria de sistemas y la incidencia de ella en algunos campos del ejercicio
profesional
Más o menos hace 35 años en que los sistemas electrónicos empleados en el
procesamiento de información contable eran insignificantes para 8 auditores de
los EE.UU. y tanto es así que era muy poco el esfuerzo que se hacía por
establecer programas que tratasen de capacitar a Contadores Públicos,

Administradores de Empresas, profesionales en la auditoria y pocas las
conferencias que se dictaban en lo relacionado con el tema a estos profesionales.
Esto implicaba que no le concedían ninguna importancia. Se seguía persistiendo
en el rastreo manual a que se estaba acostumbrado. Más sin embargo en junio de
1960 Arthur Toan escribió un artículo en el cual resaltaba la
importancia de los procedimientos electrónicos e invitaba a
los auditores a enfrentar el problema. Así mismo mencionaba
la importancia de emplear un programa de auditoria para
computadores.
Davis Gordon publico los problemas que se presentan al aplicar un programa de
auditoria de la computadora, en su lista.
Davis, Gordon publica "Auditing and EDP", bajo la coordinación de la AICPA.
Podría suponer que en los últimos nueve (9) años el desarrollo de la Auditoría de
Sistemas ha sido vertiginoso no sólo porque el Contador Público se concientizó de
la necesidad de no quedarse atrás de los modernos avances que trae la
tecnología en el campo de los sistemas de información si no por el hecho, de que
la mayor parte de las empresas tienden hacia el procesamiento de la información
contable por sistemas electrónicos.
3.1. Objetivos
Son diversos los objetivos que se persiguen con la Auditoria a un Centro de
Cómputo y a la información que ahí se procesa. Por ejemplo:
• Lograr la mayor eficiencia del Centro de Cómputo tanto a través del
establecimiento de controles como de la revisión de la información que allí se
procesa.

• Dar un informe sobre la revisión del área de sistemas y sus aplicaciones
verificando si los datos procesados electrónicamente son adecuadamente
tratados.
Analizar si la información contable, de mercadeo, producción, es razonable,
oportuna, confiable y sirve para tomar decisiones.
3.2. Importancia que se audité la empresa que utiliza PED (Procesamiento
electrónico de datos)
Muchas sociedades comerciales grandes utilizan el Procesamiento electrónico de
Información. Entre las razones que pueden impulsar a la gerencia a solicitar una
auditoria del sistema PED merecen especial mención lo siguiente:
• Porque en ocasiones la gerencia no conoce el alcance del
procesamiento de datos y si lo conoce, no le queda fácil determinar
la eficiencia del sistema.
• Porque gran parte de la organización puede estar en función del
sistema de PED.
• Porque el personal que maneja el sistema desconoce los objetivos
de la empresa y por consiguiente no hay coordinación de objetivos
de la empresa con los objetivos de su personal.
• Porque pueden existir controles no confiables en las aplicaciones
que se hagan especialmente cuando se trata de procesar la
información contable en la cual se reflejan las políticas de la
gerencia.

• Porque en ocasiones los profesionales que diseñan los sistemas
desconocen los controles de auditoria para las aplicaciones que ellos
programan.
• Por el propio objetivo del PED, (lograr el funcionamiento del sistema
a una máxima velocidad posible y con un mínimo de costo) dificulta
la inclusión de controles confiables.
3.3. Procesos de la auditoria de sistemas
3.4. Formas de auditar con la computadora
3.4.1. Alrededor de la computadora

Aquí se recurre a procedimientos tradicionales de auditoria, para formarse una
apreciación sobre la calidad dela información, evaluada.
Se sustenta en el uso de criterios tradicionales de auditoria total con el
agravante que se hace el desconocimiento de las etapas del proceso más
importantes.
3.4.2. Con la computadora
Implica el uso de programas especiales de auditoría (Software para auditoria) para
verificar y analizar la información obtenida en los medios apropiados.
3.4.3. Atreves de la computadora

Conlleva la evaluación del control interno, la ejecución de pruebas con
transacciones básicas, la ejecución de otros procedimientos operativos y la
investigación sobre la administración de los recursos instalados.
3.5. Campos de aplicación de auditoria del PED (Procesamiento electrónico
de datos)
El campo de aplicación de Auditoria puede ser variado. Aquí se hará alusión
exclusivamente a la Auditoria Externa en la cual uno de sus objetivos es
"comprobar si los Estados Financieros de la empresa presentan razonablemente
la situación financiera del negocio y los resultados de sus operaciones"
Como los estados financieros tienen características y composición similares en
cualquier empresa, entonces el trabajo de auditoría variará solamente en
extensión y profundidad más no en su esencia.
Ello implica que el auditor puede dividir su trabajo por áreas específicas del
balance y utilizar paquetes de auditoria especialmente diseñados para ello.
3.6. Los papeles de trabajo en la auditoria del PED (Procesamiento
electrónico de datos)
De toda auditoria se refleja en un informe el cual se sustenta en la documentación
correcta y cuidadosa y en los papeles de trabajo que prepara y elabora el auditor

para llevar a cabo su cometido. Sin exagerar su importancia se podría decir que la
conducción del trabajo y el buen o mal trabajo final desarrollado están en íntima
relación con los papeles de trabajo; adicionando a esto lógicamente, una dosis de
iniciativa y conocimientos de parte de quien realiza la auditoría.
Como los papeles de trabajo sirven de guías para la ejecución del trabajo y
muestran los resultados entonces deben elaborarse antes de comenzar el "trabajo
de campo" propiamente dicho.
Los papeles de trabajo son registros que elabora el auditor independientemente
de los procedimientos empleados, pruebas efectuadas, información obtenida y las
conclusiones a que se llega. Incluyen programas, análisis de datos,
confirmaciones, resumen de documentos, comentarios preparados en el
transcurso del trabajo.
La importancia de los mismos se fundamenta en que:
• Facilitan la realización de la auditoria al delinear los pasos que debe seguir
el auditor.
• Incluyen observaciones y otros aspectos que facilitan el proceso de
investigación en una Área específica.
• Permiten la revisión den progreso de la auditoria a través del tiempo porque
indican al Supervisor del trabajo en qué parte del mismo se va.
• Sirven de evidencia de que el trabajo fue realizado profesionalmente.
• Sirven de base para emitir la opinión.
Una elaboración adecuada de los mismos implica que el auditor también conozca
anticipadamente, el tipo de informe a suministrar, naturaleza de los estados
financieros que se van a auditar, el control interno existente.
El contenido de los mismos, dependiendo del tipo de auditoría, debe indicar:
• Que los estados financieros provienen de los registros contables del cliente.
• Que hubo planificación del trabajo y se ejerció la supervisión adecuada.

• Que hubo revisión y evaluación del control interno.
• Que se llevaron a cabo unos procedimientos de auditoría y se aplicaron las
pruebas necesarias para obtener evidencia.
• Indicarán además como se solucionaron algunos casos especiales y los
comentarios que se consideren más apropiados a las situaciones
encontradas.

Auditoria Sistemas sin Ordenador

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (10)

Similar a Auditoria Sistemas sin Ordenador

Similar a Auditoria Sistemas sin Ordenador (20)

Auditoria Sistemas sin Ordenador