INTRODUCCIÓN

La Presente investigación tiene como objetivo principal dar a conocer las técnicas
que se utilizan en la auditoria de aplicaciones, esto a través del desarrollo del
siguiente capítulo.

La auditoría de aplicaciones es revisar los datos que contienen el sistema y la

manera que lo procesa para obtener la información que este provee, para lo cual
es importante contar con las herramientas adecuadas para realizarlo de manera
eficiente y asegurar que la información sea confiable.

Una de las herramientas que existen para los auditores son las técnicas de
auditoría asistidas por un computador, los cuales brindan beneficios entre los
cuales están la rapidez, exactitud, capacidad de utilización de grandes volúmenes
de información.
Es la revisión que se dirige a evaluar los métodos y procedimientos de uso de
aplicaciones o sistemas de información en una entidad con el propósito de
determinar si su diseño y aplicación son correctos.
Siguiendo unos de los varios objetivos de la auditoria de aplicación es resolver las
siguientes problemáticas como registrar fielmente la información considerada de
interés entorno a las operaciones llevadas a cabo por una determinada
organización, así como permitir la realización de procesos de cálculo y edición
sean necesarios a partir de la información registrada, facilitar a quienes lo precisan
respuesta, consulta de todo tipo sobre la información almacenada diseñada en
contenido y forma a la necesidad más comunes, ya que dentro de las herramientas
más comunes en la auditoria de aplicación se encuentran las entrevistas,
encuestas, observación, pruebas de conformidad y pruebas sustantivas o de
validación.

i
 CAPITULO I
AUDITORÍA DE APLICACIONES
Es la revisión que se dirige a evaluar los métodos y procedimientos de uso de
aplicaciones o sistemas de información en una entidad, con el propósito de
determinar si el diseño y aplicación son correctos y comprobar el sistema de
procesamiento de información como parte de la evaluación de control interno; con
el fin de identificar aspectos susceptibles para mejorar o eliminarse.

Las aplicaciones o sistemas de información son uno de los productos finales que
genera la infraestructura de la Tecnología Informática en las organizaciones y por
ende son el aspecto de mayor visibilidad desde la perspectiva de negocio. La
importancia de una auditoría de aplicaciones según lo expuesto anteriormente
radica en el control, eficiencia y eficacia de los sistemas informáticos.

1.1 PROBLEMÁTICA DE LA AUDITORÍA DE APLICACIÓN INFORMÁTICA

Una aplicación informática o sistema de información habitualmente persigue como
finalidad:
 Registrar fielmente la información considerada de interés en torno a las
operaciones llevadas a cabo por una determinada organización: magnitudes
físicas o económicas, fechas, descripciones, atributos o características,
identificación de las personas físicas u/o jurídicas que intervienen o guardan
relación con cada operación, nombres, direcciones, etc.
 Permitir la realización de cuantos procesos de cálculo y edición sean necesarios
a partir de la información registrada.
 Facilitar, a quienes lo precisen, respuesta a consultas de todo tipo sobre la
información almacenada, diseñadas en contenido y forma para dar cobertura a
las necesidades más comunes constatadas.
 Generar informes que sirvan de ayuda para cualquier finalidad de interés en la
organización presentando la información adecuada.
 3

Si este planteamiento se consigue trasladar con rigor a una aplicación informática

y los usuarios la manejan con soltura y con profesionalidad, la organización a la
que pertenecen contará con un importante factor de éxito en el desarrollo de su
actividad. Sin embargo, ni el rigor en la creación de la aplicación ni la
profesionalidad en el uso de la misma puede ser garantizada. Además la
profesionalidad no inmuniza.

Y tampoco es imposible que en un momento determinado un empleado

descontento cometa errores intencionadamente o que otro, en apuros
económicos, sucumba a la tentación de intentar un fraude perfecto si considera
mínima la probabilidad de ser descubierto, tal y como funciona el sistema y la
organización, que puede no estar dando muestras de ejercer un control interno
riguroso.1

Y no son éstas las únicas amenazas al normal cumplimiento de la finalidad de las

aplicaciones.
 La posibilidad de fallo en cualquiera de los elementos que intervienen en el
proceso informático.
 La conexión cada vez más generalizada de las empresas a entornos abiertos
como el internet multiplica los riesgos que amenazan la confidencialidad e
integridad de la información de nuestros sistemas.

Dichas medidas son fundamentalmente medidas de control interno que, con

carácter general, consisten en los procedimientos para verificar, evaluar y tratar de
garantizar que todo funciona como se espera: de acuerdo con las políticas,
directrices, normas y procedimientos establecidos en los diferentes ámbitos de
responsabilidad.

1
Introducción, tipos de amenazas, mitos sobre seguridad Auditing Web Applications,
NileshChaudhari. (s.f.). Recuperado el 02/04/2017 en www.auditoriadeapliacioes.com
 4

1.2 TIPOS DE CONTROLES

En el terreno de una aplicación informática, el control interno se materializa
fundamentalmente en controles de dos tipos:

 Controles manuales: a realizar normalmente por parte de personal del área

usuaria: actuaciones previstas para asegurar que, en su caso se preparan,
autorizan y procesan todas las operaciones.
 Controles automáticos: Incorporados a los programas de la aplicación que
sirvan de ayuda para tratar de asegurar que la información se registre y
mantenga completa y exacta, los procesos de todo tipo sobre la misma sean
correctos y su utilización por parte de los usuarios respete los ámbitos de
confidencialidad establecidos.

Controles que, según su finalidad, se suelen clasificar en:

 Controles preventivos: Tratan de ayudar a evitar la producción de errores a

base de exigir el ajuste de los datos cualquier criterio que ayude a asegurar la
corrección formal y verosimilitud de los datos (la exactitud solo la garantiza el
usuario).
 Controles detectivos: Tratan de descubrir a posteriores errores que no haya
sido posible evitar.
 Controles correctivos: Tratan de asegurar que se subsanen todos los errores
identificados mediantes controles detectivos.

Y que pueden ser utilizados:

 En las transacciones de recogida o toma de datos.
 En todos los procesos de información que la aplicación realizada.
 En la generación de informes y resultados de salida.
 5

1.3 ETAPAS DE LA AUDITORÍA DE UNA APLICACIÓN INFORMÁTICA

A continuación se detallan las etapas de la auditoría de una aplicación informática.

1.3.1. Recogida de información y documentación sobre la aplicación

Antes de plantear el alcance de los trabajos de auditoría sobre aplicaciones

informáticas se necesita disponer de un conocimiento básico de la aplicación y de
su entorno. Realizar un estudio preliminar en el que se recoge toda aquella
información que pueda ser útil para determinar los puntos débiles existentes y
aquellas funciones de la aplicación que puedan entrañar riesgos.

A través de entrevistas con personal de los equipos responsables de la aplicación,

tanto desde la organización usuaria como de la de Sistemas de Información, se
inicia el proceso de recopilación de información y documentación que permitirá
profundizar en su conocimiento hasta los niveles de exigencia necesarios para la
realización del trabajo: y en una primera fase, hasta el nivel de aproximación
suficiente para estar en disposición de establecer y consensuar los objetivos
concretos de la auditoría.

Resulta conveniente que el auditor solicite los documentos formalmente,

facilitando su relación y que éstos le sean suministrados en soporte informática en
la medida de lo posible.

1.3.2 Determinación de los objetivos y alcance de la auditoría

El examen de los documentos recopilados y la revisión de los temas tratados a lo

largo, de las entrevistas mantenidas, es decir, las observaciones tras el examen
preliminar, la identificación de los puntos débiles y las funciones críticas, deben
permitirle al auditor establecer su propuesta de objetivos de la auditoría de la
aplicación y un plan detallado del trabajo a realizar. Es de desear que los objetivos
propuestos sean consensuados con el equipo responsable de la aplicación en la
organización usuaria.
 6

Es preciso conseguir una gran claridad y precisión en la definición de los objetivos

de la auditoría y del trabajo y pruebas que se propone realizar, delimitando
perfectamente su alcance de manera que no ofrezcan dudas de interpretación.

En la preparación del plan de trabajo trataremos de incluir:

a. La planificación de los trabajos y el tiempo a emplear, orden en que se
examinarán los diferentes aspectos, centros de trabajo en que se van a
desarrollar las pruebas, cargas de tiempos y asignaciones de los trabajos entre
los diferentes colaboradores del equipo.
b. Las herramientas y métodos, entrevistas con los usuarios y los informáticos,
servicios que se van a auditar, documentos que hay que obtener, etc.
c. El programa de trabajo detallado, adaptado a las peculiaridades de cada
aplicación, pero tratando de seguir un esquema tipo:

 Identificación y clasificación de los objetivos principales de la auditoría.

 Determinación de sub objetivos para cada uno de los objetivos generales.
 Asociación, a cada sub objetivo de un conjunto de preguntas y trabajos a
realizar teniendo en cuenta las particularidades del entorno y de la aplicación a
auditar.
 Desarrollo de temas como:

 Modos de captura y validación.

 Soportes de los datos a capturar.
 Controles sobre los datos de entrada.
 Tratamiento de errores.
 Controles sobre los tratamientos: secuencia de programas, valores
característicos, controles de versión, exactitud de los cálculos, etc. Controles de
salidas: Clasificación y verificación de las salidas, presentación distribución,
diseño, y forma de los listados.
 Pistas para el control y auditoría.
 Salvaguardas.
 7

Test de confirmación, test sobre los datos y los resultados. Aquellos que
consideramos necesarios para asegurar que los controles funcionan como se han
descrito y previsto, y que los controles internos son aplicados.

1.3.3 Objetivos de auditoría de aplicaciones

Los objetivos de la auditoria de aplicaciones se describen a continuación

a. Emitir opinión sobre el cumplimiento de los objetivos, planes y presupuestos
contenidos en el Plan de Sistemas de Información sobre la aplicación a auditar.
b. Evaluar el nivel de satisfacción de los usuarios del sistema, tanto de la línea
operativa como de las organizaciones de coordinación y apoyo respecto a la
cobertura ofrecida a sus necesidades de información.
c. Emitir opinión sobre la idoneidad del sistema de control de accesos de la
aplicación.
d. Verificar el grado de fiabilidad de la información.
e. Llevar a cabo la revisión de los métodos utilizados para el desarrollo del sistema
computacional de una empresa
f. Evaluación del Control Interno de las Aplicaciones, el cual debe permitir el
diseño de nuevos programas desarrollados a la medida de la empresa.
g. Evaluación de todo sistema computacional, en cuanto a la funcionalidad y
objetividad del mismo, dado que este debe ser aprobado por el usuario; quien
será el responsable de su mantenimiento y desarrollo.
h. Evaluación de la administración adecuada de las bases de datos, puesto que
estas contienen información vital de toda empresa, las cuales deben tener
ciertas restricciones de acceso.
i. Aumento de la productividad, toda evaluación debe buscar la objetividad de los
sistemas computacionales, y estos a su vez, deben ser productivos y ser
capaces de contribuir al aumento de la productividad de las empresas que los
utilizan.
 8

j. Evaluar la seguridad de los sistemas, esto con el afán de evitar fraudes que
representen pérdidas significativas para la empresa.
k. Evaluación de aspectos técnicos del sistema, mediante una serie de técnicas
que el auditor debe diseñar, y dar el alcance necesario, para que su trabajo
satisfaga las necesidades de la auditoría.

1.3.4 Planificación de auditoría

La auditoría de una aplicación informática, como toda auditoría, debe ser objeto de
una planificación cuidadosa. En este caso es de crucial importancia acertar con el
momento más adecuado para su realización:

 Por una parte no conviene que coincida con el período de su implantación,

especialmente crítico, en que los usuarios no dominan todavía la aplicación y
están más agobiados con la tarea diaria. En el período próximo a la
implantación, frecuentemente se detectan y solucionan pequeños fallos en la
aplicación, situación que convendría esté superada antes de iniciar el proceso
de auditoría.
 Por otra parte el retraso excesivo en el comienzo de la auditoría puede alegar el
período de exposición a riesgos superiores que pueden y deben ser aminorados
como resultado de ella.
 También hay que establecer el ámbito de actuación. Sin embargo, se ampliará
el ámbito, de manera que abarque la representación más extensa posible de
usuarios y centros, en aquellas pruebas en que se considere factible, sin incurrir
en un coste desproporcionado (encuestas, procesamientos de información,
contactos telefónicos, etc.).
 Para la selección de ese limitado número de centros en los que llevar a cabo el
trabajo de campo, conviene solicitar a la organización usuaria que los ponga, en
base a razones por las que estime puedan aportar mayor valor al trabajo.
 Debe conseguirse cuanto antes, solicitándolo ya en la primera toma de
contacto, las autorizaciones necesarias para que el personal de auditoría, que
 9

está previsto participe en el trabajo, pueda acceder a la aplicación y a las

herramientas de usuario.

1.3.5 Trabajo de campo, informe e implantación de mejoras

En principio las etapas de realización del trabajo de campo, de redacción del

informe y de consenso del plan de implantación de mejoras, no ofrecen
peculiaridades de relevancia respecto a otros trabajos de auditoría.

La etapa de realización del trabajo de campo consiste en la ejecución del

programa de trabajo establecido. Evidentemente, los resultados que se van
obteniendo pueden llevar a ajustar el programa en función de dichos resultados,
que pueden aconsejar ampliar la profundidad de algunas pruebas, a cometer otras
no previstas y concluir alguna antes de su final.

Una recomendación a esta etapa es la de plantearse la mínima utilización de

papeles de trabajo, en el sentido literal, físico, potenciando la utilización de
computadoras portátiles como soporte de la información de las muestras con las
que se vaya a trabajar y para la recogida de información y resultados de las
diferentes pruebas: no es solo cuestión de imagen, sino de productividad.

Respecto a la etapa de redacción del informe de la auditoría, que recogerá las

características del trabajo realizado y sus conclusiones y recomendaciones o
propuestas de mejora.

En cuanto a la etapa de implantación de las mejoras identificadas en la auditoría;

la situación óptima a alcanzar es conseguir que la organización auditada asuma
las propuestas de actuación para implantar las recomendaciones como objetivos
de la organización, ésta es la mejor señal de valoración positiva por parte de una
organización a un trabajo de auditoría.
 10

La función de desarrollo es una evolución del llamado análisis y programación de

Sistemas y Aplicaciones. Esta auditoría engloba muchas áreas de las empresas,
sectores formales e informales de la misma y recorre las siguientes fases:

 Prerrequisitos del usuario y su entorno.

 Análisis funcional
 Diseño
 Análisis orgánico (Pre-programación y Programación)
 Pruebas
 Entrega a explotación y alta para el proceso.

Estas fases deben estar sometidas a un exigente control interno, caso contrario,
además del disparo de los costes, podrá producirse la insatisfacción del usuario.
Finalmente, la auditoría deberá comprobar la seguridad de los programas en el
sentido de garantizar que los ejecutados por la maquina sean exactamente los
previstos y no otros. Una auditoría de aplicaciones pasa indefectiblemente por la
observación y el análisis de cuatro consideraciones:

a. Revisión de las metodologías utilizadas: se analizaran éstas, de modo que se

asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y
el fácil mantenimiento de las mismas.
b. Control Interno de las Aplicaciones: se deberán revisar las mismas fases que
presuntamente han debido seguir el área correspondiente de desarrollo.
c. Satisfacción de usuarios: una aplicación técnicamente eficiente y bien
desarrollada, deberá considerarse fracasada si no sirve a los intereses del
usuario que la solicitó; la colaboración del usuario proporciona grandes ventajas
posteriores, ya que evitará reprogramaciones y disminuirá el mantenimiento de
la Aplicación.
d. Control de Procesos y Ejecuciones de Programas Críticos: el auditor no debe
descartar la posibilidad de que se esté ejecutando un módulo que no se
 11

corresponde con el programa fuente que desarrolló, codificó y probó el área de

Desarrollo de Aplicaciones.

1.4 ENFOQUES UTILIZADOS

Los enfoques que se consideran que son necesarios para llevar a cabo una
auditoria de aplicaciones son los siguientes:

1.4.1 Prueba de resultados

El utilizar los resultados proporciona una inferencia de que si los resultados son
correctos, los controles esenciales están funcionando adecuadamente, por
ejemplo, las cuentas por cobrar se confirman a una fecha intermedia y carecen de
excepciones significativas, se puede inferir que los controles respecto de la
actualización del archivo de cuentas por cobrar en cuanto a facturas y pagos, está
funcionando adecuadamente.

La desventaja de este enfoque es que las pruebas de resultados pueden dar lugar
a que, injustificadamente, se suponga que debido a que las cosas están bien
ahora, seguirán estándolo. Esto puede propiciar que ocurran causas de riesgo que
podrían haberse conocido con anticipación si los controles hubiesen sido
verificados más minuciosamente.

Por varios años se han utilizado ampliamente tres técnicas en la auditoria no

computarizadas de las aplicaciones. Estas técnicas se utilizan principalmente
como pruebas sustantivas y pueden llevarse a cabo manualmente o con ayuda del
computador.

1.4.2 Prueba de procesos

La norma internacional ISO-9001 define al proceso como “una actividad que utiliza
recursos, y que se gestiona con el fin de permitir que los elementos de entrada se
transformen en resultados”.
 12

En ellos se observan numerosas actividades que en realidad están

interrelacionadas según una secuencia predeterminada. Estas actividades se
realizan de un modo determinado en cada organización, es decir con una
determinada metodología. Ésa forma de realizarse cada una de esas actividades
es lo que se denomina procedimiento en sí. Se dice que cuando el mismo se
formaliza en algún medio está documentado. Este conjunto de procedimientos es
la base de una organización para el logro de sus objetivos.

La naturaleza, oportunidad y alcance de sus procedimientos dependerán del

análisis de riesgos de los procesos sustantivos que hubiera realizado previamente,
y más puntualmente en aquellas actividades críticas del proceso.

El “input” es el plan de auditoría y los recursos necesarios para cumplir con los
objetivos de la auditoria. El “output” es el conjunto de elementos de prueba
válidos y suficientes que permiten respaldar la opinión del auditor de sistemas. El
informe de auditoría de sistemas (con las observaciones y recomendaciones) es
otro de los “outputs” y el que se constituye en el producto final principal de todo el
proceso de auditoría visto integralmente.

Cuando se prueba el procesamiento real, las funciones y controles clave se

verifican individualmente. Los porcentajes de error que se detectan en estas
funciones y controles se utilizan posteriormente para pronosticar el riesgo. Las
pruebas del proceso real proporcionan un mejor conocimiento de la confiabilidad
de cada control individual importante. El principal problema con este enfoque
radica en convertir el porcentaje de errores observado; en un riesgo cuantificado.

1. Los Procesos y el Auditor de Sistemas

El auditor para llevar a cabo el trabajo de auditoría realiza los siguientes procesos:

a. Planificación de sus actividades basado en un enfoque de procesos con sus

respectivos riesgos.
 13

b. Ejecutar las actividades focalizando en los procesos más críticos para la

organización auditada, es decir aquellos vitales para el desempeño normal de la
operatoria.
c. Controlar lo planificado vs. Lo realizado. El output del primero de los procesos y
el detalle de las actividades realizadas con sus resultados generarán el “input”
para este proceso.
d. Mejora continua de los propios procesos de auditoría y respectivas actividades.
El “input” de este proceso lo constituye todo el análisis realizado en el proceso
anterior y la transformación consiste en el propio rediseño de actividades que
permitan incrementar la efectividad. El “output” lo constituye el rediseño de los
propios procesos de auditoría.

2 TÉCNICAS
“Las técnicas de son los métodos prácticos de investigación y prueba que el
contador público utiliza para comprobar la razonabilidad de la información
financiera que le permita emitir su opinión profesional”.2

2.1 TECNICAS ASISTIDAS POR UN COMPUTADOR –TAAC's-

Las TAAC's son un conjunto de técnicas y herramientas utilizados en el desarrollo
de las auditorias informáticas con el fin de mejorar la eficiencia, alcance y
confiabilidad de los análisis efectuados por el auditor, a los sistemas y los datos de
la entidad auditada. Incluyen métodos y procedimientos empleados por el auditor
para efectuar su trabajo y que pueden ser administrativos, analíticos, informáticos,
entre otros; los cuales, son de suma importancia para el auditor informático
cuando este realiza una auditoría.

2
Tecnicas (s.f.). recuperado el 5/4/2017 de https://www.gestiopolis.com/tecnicas-de-auditoria/
 14

 Ventajas
 Nivel reducido de riesgo
 Cobertura de la auditoria en forma amplia
 Disponibilidad de la información con mayor rapidez
 Ahorro de costos por tiempos

 Desventajas
 Conocimiento especializado por parte del auditor
 Requerimiento de entrenamiento específico para el Requerimiento del personal
de auditoria
 Son paquetes que tienen un costo por la licencia
 No todos los auditores tiene acceso a estos programas

2.1.1 Auditoría alrededor del computador

Es la revisión específica que se realiza a todo lo que está alrededor de un equipo,

como son los sistemas, actividades y funcionamiento. Haciendo una evaluación
de los métodos, procedimientos de acceso, procesamiento de datos, la emisión y
almacenamiento de datos, las actividades de planeación y presupuestario del
equipo del centro de cómputo, los aspectos operacionales y financieros, la gestión
administrativa de accesos al sistema, la atención a los usuarios y el desarrollo de
nuevos sistemas, las comunicaciones internas y externas, en sí , a todos aquellos
aspectos que contribuyan al buen funcionamiento de una área de sistematización.

El uso de las TAACs le permiten al auditor obtener suficiente evidencia confiable

sobre el cual, sustentar sus observaciones y recomendaciones, lo que obliga al
auditor a desarrollar destrezas especiales en el uso de estas técnicas, tales como:
mayores conocimientos informáticos, discernimiento en el uso adecuado de las
herramientas informáticas y analíticas, eficiencia en la realización de los análisis,
etc.; sin dejar a un lado las técnicas tradicionales de auditoría como son la
inspección, observación, confirmación, revisión, etc.
 15

2.1.2 Auditoría dentro del computador

Implica el uso de TAAC’s (Técnicas de auditoria asistidas por computador) para

ayudar en diversas tareas de auditoría. Este enfoque es prácticamente
obligatorio, ya que los datos son almacenados en medios informáticos y el
acceso manual es casi imposible, reduciendo tiempo y costo.

2.1.3 Datos de prueba

Consiste en la elaboración de un conjunto de registros de una o varias
transacciones que son realizadas por la aplicación que va a ser examinada, y que
luego serán ingresadas en dicha aplicación para la verificación del procesamiento
exitoso de los datos, estas deben ser representativas o de importancia relativa.

2.1.4 Método de archivo de revisión SCARF

El acrónimo del modelo SCARF proviene del inglés: Status, Certainty, Autonomy,

Relationships, Fairness.

Es una técnica para análisis de transacciones y tienen como objetivo la selección y

análisis de transacciones significativas de forma permanente, utilizando

procedimientos analíticos y técnicas de muestreo, básicamente consiste en el

diseño de ciertas medidas de control para el procesamiento electrónico de los

datos, para luego incorporarlos dentro de los aplicativos en producción, con el

objetivo de garantizar un control permanente de las transacciones realizadas.

El resultado final será la generación de un archivo de datos que almacenará una

réplica de los registros que hayan presentado anomalías.

a. Evaluación de método SCARF

“El modelo de Método ESCARF, según las iniciales evalúa lo siguiente:

 16

 STATUS / ESTATUS: es la percepción que tiene cada persona de dónde está

en su relación con su entorno.

 CERTAINTY / CERTEZA: es la seguridad que tenemos cuando sabemos qué

va a pasar y qué podemos esperar. Por eso, es de vital importancia una

comunicación transparente y clara, acompañada de una gestión responsable de

las expectativas de nuestros colaboradores.

 AUTONOMY / AUTONOMÍA: es la percepción de que tenemos capacidad de

decisión y de que se delega en nosotros buena parte de nuestros cometidos

diarios. Sin ella, nuestros niveles de estrés se disparan y se anula nuestra

capacidad de pensar.

 RELATIONSHIPS / RELACIONES: son la base de la generación de “oxitocina”,

que es la hormona del apego, del vínculo, del trabajo en equipo y de la

pertenencia.

 FAIRNESS / JUSTICIA: es el motor que genera la activación de los circuitos

cerebrales de la recompensa porque pone en marcha la confianza y la

colaboración entre los miembros de la organización.”3

Básicamente el modelo SCARF, proporciona seguridad encaminando sus fuerzas

a reducir el impacto de las amenazas en las organizaciones, evaluando las

transacciones, a través del diseño de ciertas medidas de control para el

procesamiento electrónico de los datos, esta técnica consiste en incorporar

3
Modelo de Evaluación SCARF (s.f.). Recuperado el 03/04/2017 en
http://www.blog.coachingfactory.es/ el- lider-que-abriga-utiliza-scarf/
 17

aplicaciones de auditoría en el sistema de producción para que ejecute distintos

tipos de supervisiones y monitoreo de transacciones de forma permanente.

La aplicación de este software se conoce como subrutina. Una vez que esta
subrutina cargue las transacciones se procederá a la selección mediante muestreo
previamente definidos por el auditor.

2.1.5 Etiquetado (TAGGING – SNAPSHOP)

Estas instrucciones de programas o subrutina, reconocen y registran el flujo de las

transacciones diseñadas en programas de aplicación. Esta técnica es usada por
los auditores para rastrear transacciones específicas por medio de los programas
del computador y asegurar evidencia documental de las relaciones lógicas,
condiciones de control y frecuencias de procedimientos. La técnica tiene la ventaja
de verificar el flujo de lógica del programa y consecuentemente ayuda a los
auditores en el entendimiento de los pasos del proceso en los programas. Tiene la
desventaja de requerir extensos conocimientos de computación y programación,
es generalmente un procedimiento que consume mucho tiempo de auditor. Estas
técnicas consisten en:

 Se marcan algunas transacciones (con una “X” por ejemplo)

 Se hace cada vez que estas transacciones pasan por un punto dado del
programa, un vuelco instantáneo de unas partes seleccionadas de la memoria
del computador que contiene datos relevantes sea y tales datos sean listados.
 Se analiza el comportamiento del programa al trabajar tales transacciones.

2.1.6 Selección del área a auditar

Mediante esta técnica el auditor establece las aplicaciones críticas o módulos

específicos dentro de dichas aplicaciones que necesitan ser revisadas
periódicamente, que permitan obtener información relevante respecto a las
operaciones normales del negocio.
 18

Esta técnica es muy utilizadas por los auditores internos de empresas corporativas
grandes o medianas con un alto volumen de transacciones y exige que el
departamentos de auditoria interna construya sus propios aplicativos (con la ayuda
del departamento de sistemas), para que puedan realizar su trabajo de manera
eficiente.

Entre los beneficios que se pueden obtener al seleccionar el área específica para
auditor destacan:

 Facilitar la organización de las actividades respecto de los objetivos de

auditoria.
 Concentración en la identificación y evaluación de lo importante, en base a los
riesgos y controles existentes.
 Contribuir a la racionalización de los recursos humanos, técnicos y financieros.
 Fijar líneas de acción para ejecutar programada mente las labores en terreno.
 Guiar la obtención de evidencia de auditoria adecuada y suficiente para
respaldar el contenido del informe.
 Presentar evidencia objetiva de la programación de las actividades.
 Explicar la labor del auditor frente a cuestionamiento externo.
 Documentar los procedimientos utilizados.

Las áreas que se pueden seleccionar corresponden con las sujetas a las
condiciones de aplicación señaladas a continuación:

 Gestión de datos
 Control de operaciones y aplicaciones
 Control y utilización de recursos materiales y humanos
 Interfaces y relaciones con usuarios
 Planificación
 Organización y administración
 19

2.1.7 Simulación y modelación

A continuación se da a conocer la simulación y modelación.

a. Simulación

Es un medio que experimenta con un modelo detallado de un sistema real para

determinar cómo responderá el sistema a los cambios en su estructura o entorno,
se podría afirmar que la simulación permite experimentar con un modelo del
sistema para comprender mejor los procesos, con el fin de mejorar la actividad en
las empresas. Esta pretende imitar el comportamiento del sistema real
evolucionando como este, pero lo más frecuente es estudiar además la evolución
del sistema en el tiempo.

A nivel de planificación y control estratégicos de una empresa, los modelos de

simulación insertan varios inputs a un sistema y proporcionan un modelo para
evaluar o volver a diseñar y medir o cuantificar factores tan importantes como la
satisfacción del cliente, la utilización de recursos, el proceso de reingeniería y el
tiempo invertido en todo ello.

Esta herramienta es una de las más utilizadas para el análisis y diseño de

sistemas, pero también puede ser de mucha utilidad para la auditoria de sistemas
computacionales, ya que mediante el uso de un modelo, conceptual o físico, se
simula el comportamiento de un sistema computacional, de un programa, de una
base de datos, de una operación, de una actividad o de cualquier tarea de
sistemas que tenga que ser revisada, con el propósito de investigar cuál es, fue o
será el comportamiento del fenómeno de sistemas en estudio, bajo ciertas
condiciones y características concretas, en las que se presentan todas las
simulaciones necesarias que se asemejen al medio ambiente real en donde actúa
dicho fenómeno para valorar su auténtico aprovechamiento, sus eficiencias y
deficiencias del funcionamiento, sus principales problemas, etcétera.

El uso de esta técnica de simulación es indispensable para el trabajo de los

desarrolladores de nuevos sistemas, ya que permite elaborar un ambiente análogo
al del nuevo sistema, con el fin de estudiar su posible comportamiento.
 20

Una vez estudiado el posible comportamiento del sistema se puede sacar

conclusiones para corregir sus fallas de funcionamiento, así como sus principales
problemas antes de implantar dicho sistema. De hecho, todos los analistas de
sistemas utilizan modelos conceptuales antes de programar (codificar) un sistema
computacional, mientras los programadores elaboran su programación con base a
estos modelos.

Tipos de simulación que se pueden aplicar en una auditoria de sistemas:

Simulación a través de modelos de metodología de sistemas.

 Ciclo de vida de los sistemas

 Metodología de Kendall & Kendall
 Fases de desarrollo, según James Martin
 Ciclo de vida de los sistemas, según Yourdon
 Análisis y diseño, según Jackson
 Las fases de un proyecto para MERICE
 Metodología SSADM
 Simulación a través de diagramas de flujo de sistemas
 Simulación a través de diseño de circuitos lógicos
 Simulación a través de otros documentos gráficos

b. Modelación
Esta técnica es muy similar a la de selección de áreas de auditoría, cuya
diferencia radica en los objetivos y criterios de selección de las áreas de interés;
ya que esta técnica tiene como objetivo medir la gestión financiera de la
organización y todo lo que ello involucra.

2.1.8 Punteo Scoring

Aborda situaciones de incertidumbre o con pocos niveles de información. Usa una

función de valor para cada una de las alternativas. Supone la transitividad de
preferencias o la comparabilidad. Completamente compensatorio, y puede resultar
 21

dependiente, y manipulable, de la asignación de pesos a los criterios o de la

escala de medida de las evaluaciones. Es un método fácil y utilizado ampliamente
en el mundo

Este enfoque es puramente aritmético, y se basa en la percepción realizada por el

equipo evaluador sobre la importancia asignada a cada elemento impacto y
probabilidad en el análisis. Una vez que se determinan los puntajes para cada
riesgo, pueden ordenarse de mayor a menor para establecer un orden de
prioridad. La puntuación puede computarse de diversos modos:

 Un simple promedio de impacto y probabilidad

 El producto de multiplicar impacto por probabilidad
 Un promedio ponderado, donde a uno de los criterios se le asigna mayor peso
que al otro.

1. Etapas

El método del Scoring es una manera rápida y sencilla para identificar la

alternativa preferible en un problema de decisión multicriterio. Las etapas del
método son los siguientes:

 Identificar la Meta General del Problema

 Identificar las Alternativas
 Listar los Criterios a emplear en la toma de decisión
 asignar una ponderación para cada uno de los Criterios
 Establecer en cuanto satisface cada Alternativa a nivel de cada uno de los
Criterios
 Calcular el Score para cada una de las Alternativas
 Ordenar las Alternativas en función del Score. La Alternativa con el Score más
alto representa la Alternativa a recomendar.

Este método parte del supuesto de que podemos dividir el universo auditable en
un conjunto de unidades auditables que pueden ser empresas, procesos o
proyectos o áreas objeto de estudio. El método nos permite establecer una
 22

calificación del riesgo de cada una de tales unidades, lo cual posteriormente

veremos tiene varias aplicaciones muy útiles para la planificación del trabajo de la
auditoría.

Otro de los supuestos del modelo es que es posible establecer un conjunto de

criterios o factores de riesgo que podemos utilizar para calificar cada uno de las
unidades auditables del universo elegido. Tales criterios deben ser los mismos
para todas las unidades que estamos calificando.

Habiendo definido un conjunto de áreas auditables y un conjunto de criterios o

factores de riesgo, contamos con un modelo para medir los riesgos. Este modelo
podemos detallarlo rigurosamente mediante las siguientes etapas4:

a. Etapa 1: Diseño del Modelo de Riesgo mediante Consenso

 Sub-etapa 1.1: Identificar y elegir los Criterios / Factores de Riesgo
 Los criterios a utilizar deben ser acordes con la naturaleza de la organización.
 Medir riesgos potenciales / Reales críticos del Negocio.
 Deben reflejar las expectativas de la alta gerencia.
 Deben ser aplicables a todo el universo auditables.

 Sub-etapa 1.2: Identificar rangos de valoración y puntajes

 Deben definirse a la medida de la organización.
 Debe utilizarse valoración semi-cuantitativa. Esto significa que va a exigir
calificaciones en la escala por ejemplo de 1 a 5, pero se van a definir esos
valores con base en los rangos de una variable objetiva.
 Deben ser suficientes como elemento diferencial.
 Los rangos y puntajes deben ser los mismos para todos los criterios.

 Sub-etapa 1.3: Identificar y Determinar Factores de Ponderación.

 Se asignará un factor de ponderación para cada criterio de riesgo elegido que
sea proporcional a la importancia que tenga este criterio para el negocio.
 23

 Para establecer la importancia del criterio de riesgo se pueden determinar las

consecuencias y probabilidades estimadas de que se materialicen los
riesgos asociados a cada criterio.

b. Etapa 2: Levantamiento y Proceso de la Información

 Sub-etapa 2.1: Seleccionar los evaluadores y calificar
 Se seleccionan las personas que van a hacer la evaluación (evaluadores) que
sean expertos en los procesos a auditar. En esta evaluación pueden participar
funcionarios que laboren en las áreas auditables.
 Se les suministra el modelo a los evaluadores y se les brinda asesoría en su
utilización.
 Se documentan las fuentes e información de soporte de las calificaciones
realizadas.
 Se revisan, validad y consolidan las calificaciones individuales.

 Sub-etapa 2.2: Obtención del Mapa de Riesgos

 Se clasifica cada Unidad Auditable por nivel de Riesgo.
 Se realiza la presentación del Mapa de Riesgo y de hallazgos de la Alta
Gerencia y propietarios de los procesos, y con base en sus comentarios se
realizan los ajustes finales.

 Sub-etapa 2.3: Elaboración del Plan Anual de Auditoría

 Se diseña el plan de auditoría.
 Se somete el plan a validación y aprobación de la Alta Gerencia.

2.1.9 Software multisitro

Las unidades básicas de una implementación de multiplanta son las
organizaciones y plantas. Los contratos de software se definen a nivel de
organización, y debe especificar explícitamente las plantas a las que se aplica un
contrato de software cuando se crean registros de contratos de software.
 24

Una empresa puede tener múltiples organizaciones y cada organización puede

tener múltiples plantas. Las organizaciones y plantas son entradas virtuales que
pueden acomodar muchos tipos diferentes de prácticas empresariales. Las
organizaciones y plantas no necesariamente se corresponden con plantas o
instalaciones físicas.

Los conjuntos de partes son grupos que se comparten entre las organizaciones
para habilitar funciones como, por ejemplo, la compartición de inventarios. Los
conjuntos de empresas son grupos de distribuidores que se comparten entre las
organizaciones.Cuando se crea un contrato, la planta del contrato debe pertenecer
a la organización en la que se crea el contrato o a una organización que utiliza el
mismo conjunto de artículos y conjunto de empresas que la organización en la que
se crea el contrato.

El hecho de que los contratos de software se definan a nivel de organización tiene

las siguientes implicaciones para implementar la gestión de software:
 Los campos clave para nuevos registros deben ser exclusivos para la
organización, pero puede haber ID de registros duplicados utilizados por otras
organizaciones.
 Solamente pueden ver los registros los usuarios que tengan permiso de
seguridad sobre la organización y la aplicación

1. Técnicas de Auditoria para Sistemas Informáticos

 Software de auditoría multisitio: Es una técnica aplicable a organizaciones que

tienen centros de PED regionales o remotos y un Staff centralizado para el
desarrollo de sistemas. Esta técnica implica la preparación y distribución
centralizada de software de auditoría en forma descentralizada en las diferentes
dependencias.
 Centros de Competencia: Esta técnica supone un centro de cómputo
responsable de la ejecución centralizada de los programas de auditoría de
sistemas. El procedimiento consiste en que los centros de competencia reciben
 25

los archivos de datos, procedente de localizaciones remotas, les aplican los

gprogramas de auditoría y después distribuyen los informes resultantes a los
auditores regionales para su análisis, evaluación y decisiones consecuentes
 Técnicas para seleccionar y monitorear transacciones Esta técnica es utilizada
con mayor frecuencia para desarrollar programas de auditoría de cumplimiento,
entre ellas tenemos:
 Selección de Transacciones de entrada: Es una técnica que se ejecuta con
software de auditoría independiente del software aplicativo. Consiste en
seleccionar datos de entrada que hacen parte de las aplicaciones corrientes,
mediante parámetros diseñados por el auditor, con base en su propio criterio.
Las muestras de transacciones separadas son sometidas a exámenes
detallados, por parte del personal experto de auditoría con base en los objetivos
preestablecidos.
 Archivo de revisión de auditoría como control del sistema: Consiste en la
incorporación de módulos de auditoría en los programas aplicativos para que
ejecuten funciones de monitoreo de transacciones, en forma permanente, sobre
transacciones de entrada y generadas dentro del sistema, previa selección
prediseñada. Estas subrutinas son integradas como huéspedes dentro las
aplicaciones. Es aplicable sobre procesamientos On-Line.
 Archivo de revisión por muestreo: Es similar a la anterior técnica, excepto que
su contenido se selecciona al azar. El objetivo de esta prueba es obtener un
archivo representativo para análisis de auditoría.
 Registros extendidos: Está técnica permite recoger o seleccionar por medio de
rutinas especiales, todos los datos significativos que han afectado una
transacción individual.

2.1.10 Centro de competencia

Las competencias informáticas son el conjunto de conocimientos, habilidades,

disposiciones y conductas que capacitan a los individuos para saber cómo
funcionan las TIC, para qué sirven y cómo se pueden utilizar para conseguir
objetivos específicos.
 26

Las habilidades que se tendrían que adquirir para ser autónomos y competentes
para gestionar información y poder desenvolverse son:

 En relación al ordenador y sus periféricos, entender las partes más comunes de

la máquina, identificar y entender los componentes de un ordenador personal, y
trabajar con perifé-ricos cada día más complejos y con más funcionalidades.
 En relación con los programas, saber instalar y configurar las aplicaciones más
comunes: aplicaciones ofimáticas, navegador, clientes de correo electrónico,
antivirus, etc.; y conocer los principales programas a utilizar en cada ámbito
temático.
 En relación a la red, acceder a la red, conocer los recursos disponibles a través
de internet, buscar y navegar eficazmente y conocer los beneficios y los riesgos
de la red.

Por lo tanto un centro de competencia informática es una unidad en la cual se

centran todos tipos de competencias de acuerdo al área de reforzamiento que se
esté realizando, así como la experiencia que se gana al practicar una competencia
informática de datos.

2.1.11 Análisis manual de riesgo

Se debe decir cuál es la inversión razonable en seguridad y en control de IT, y

como lograr un balance entre riesgos e inversiones en el informe en el enfoque de
control en un ambiente de Tecnología de Información, frecuentemente
impredecible. Mientras la seguridad y los controles en los sistemas de información
ayudan a administrar los riesgos, puesto que el exacto nivel de riesgo nunca
puede ser conocido ya que siempre existe un grado de incertidumbre.

La Administración debe decidir el nivel de riesgo que está dispuesta a aceptar,

debe juzgar cual puede ser el nivel tolerable, particularmente si se tiene en cuenta
 27

el análisis costo-beneficio; esto puede ser una decisión difícil para la

administración.

a. Objetivo General del Análisis de Riesgo:

su objetivo es establecer la valoración y priorización de los riesgos con base en la
información ofrecida por los mapas elaborados en la etapa de identificación, con
el fin de clasificar los riesgos y proveer información para establecer el nivel de
riesgo y las acciones que se van a implementar.

a. Determinación del Nivel del Riesgo:

Es el resultado de confrontar el impacto y la probabilidad con los controles

existentes al interior de los diferentes procesos y procedimientos que se realizan.
Para adelantar esta etapa se debe tener muy claro los puntos de control existentes
en los diferentes procesos, los cuales permiten obtener información para efectos
de tomar decisiones, estos niveles de riesgo pueden ser: alto, medio y bajo lo cual
da lugar a la elaboración de una “Matriz de Riesgos”

b. ”Matriz de Riesgos:
Este método utiliza una matriz para mostrar gráficamente tanto las amenazas a
que están expuestos los sistemas computarizados como los objetos que
comprenden el sistema. Dentro de cada celda se muestra los controles que
atacan a las amenazas.

2.1.12 Herramientas –TAACs-

A continuación se detallan los tipos de herramientas que se utilizan en la auditoria
de aplicaciones.

 IDEA
Esta herramienta puede leer, visualizar, analizar y manipular datos; llevar a
cabo muestreos y extraer archivos de datos desde cualquier origen de
ordenadores centrales a PC, incluso reportes impresos. IDEA es reconocido en
todo el mundo, como un estándar en comparaciones con otras herramientas de
 28

análisis de datos, ofreciendo una combinación única en cuanto a poder de

funcionalidad y facilidad de uso.
 Área de uso de la herramienta en la auditoria externa
En los estados financieros el cual proporciona precisión, comprobación de
cálculos y totales; en la revisión analítica realiza comparaciones, perfiles,
estadísticas.
 Área de uso de la herramienta en la auditoria interna
Valor del dinero, conformidad de políticas, análisis comparaciones y
coincidencias. Detección de fraudes en las compras y pagos, nóminas y
lavado de dinero.
 Audit Command Language –ACL-
Es una herramienta enfocada al acceso de datos, análisis y reportes para
auditores y profesionales financieros. ACL lee y compara los datos y permite
permanecer íntegramente. Esta herramienta permite un análisis de datos para
un completo aseguramiento, localiza e identifica errores, fraudes potenciales, y
los controla.

 Auto Audit

Es un sistema completo para la automatización de la función de auditoria,

soportando todo el proceso y flujo de trabajo, desde la fase de planificación,
pasando por el trabajo de campo, hasta la preparación del informe final.

Además del manejo de documentos y papeles de trabajo en forma electrónica,

Auto Audit permite seguir la metodología de evaluación de riesgos a nivel de la
entidad o de proceso, la planificación de auditorías y recursos, seguimiento de
hallazgos, reportes de gastos, tiempo, control de calidad, cuenta con un
módulo de reportes.
 29

3 NORMAS INTERNACIONALES DE AUDITORÍA –NIAS-

Las Normas Internacionales de Auditoría en las que se basa el auditor para llevar
a cabo este tipo de auditoria son las siguientes:

 Respuesta del auditor a los Riesgos Evaluados –NIA 330-

Trata la responsabilidad del auditor de planear e implementar respuestas a los
riesgos de importancia relativa identificados y evaluados, en el que podrá hacer
uso de las Técnicas de Auditoría Asistidas por un Computador -TAAC's- puede
posibilitar pruebas más extensas de las transacciones electrónicas y archivos
de cuentas. Estas técnicas pueden usarse para seleccionar transacciones de
muestra de los archivos electrónicos clave. para escoger transacciones con
características específicas o para pruebas de toda una población en lugar de
una muestra.
 Evidencia de Auditoría -NIA 500-
Constituye la responsabilidad del auditor de diseñar y realizar procedimientos
de auditoria para obtener evidencia suficiente y apropiada, el auditor puede
determinar que se necesitan procedimientos adicionales de auditoría en
determinadas situaciones, por ejemplo, puede incluir usar Técnicas de Auditoría
Asistidas por un Computador -TAAC's- para volver a calcular la información.
 30

CONCLUCIONES
La auditoría de aplicaciones, hoy en día es de vital importancia para las empresas
modernas con visión de futuro en el mundo de globalización, porque si no se
presta cierto grado de incertidumbre a los elementos de control, seguridad y
respaldo de la información dentro de la misma se verá inmersa a riesgos, que
conlleven a fraudes no solamente económicos sino de información, es decir,
pérdidas para la empresa.

Para encontrar la problemática de la información de la auditoria de una aplicación

va desde la falta de registrar fielmente la información, la realización de cálculos
con la información recaudada, facilitar la realización de consultas hasta generar
informes de auditoría, cuando no se cumple con esta cabalidad es porque existe
inconsistencia en la aplicación informática.

Aunado, sí se encuentra descontento de empleados que tienen acceso a la

aplicación y cometan errores intencionadamente o que otros, en apuros
económicos, siendo no las únicas amenazas al normal cumplimiento de la finalidad
de las aplicaciones, la posibilidad de fallo en cualquiera de los elementos que
intervienen en el proceso informático o la conexión cada vez más generalizada de
las empresas a entornos abiertos como el internet multiplica los riesgos que
amenazan la confidencialidad e integridad de la información de nuestros
sistemas, donde la mayoría de las empresas existe una constante preocupación
por la presencia ocasional de fraudes, sin embargo, muchos de estos podrían
prevenirse.

Evitar fraudes en el terreno de una aplicación informática es cuando se recurre al

control interno, siendo materializado en controles de tipo manual y automático; que
a la vez se clasifican según su finalidad en: preventivos, detectivos y correctivos,
siendo utilizados en las transacciones de recorrida de datos, en todos los procesos
de información que la aplicación realiza y en la generación de informes y
resultados de salida.
 31
También, el Contador Público y Auditor juega un rol importante en el
descubrimiento de anomalía en la aplicación informática y con el avance de la
tecnología el Contador Público y Auditor, utiliza procedimientos y técnicas
con la ayuda de computadoras, en la realización del trabajo de auditoría de
aplicaciones reduciendo tiempo y costos, además ayuda a reducir el riesgo de no
detectar los errores de importancia relativa.

El Contador Público y Auditor, además de realizar tareas específicas de

inconsistencias en la aplicación, lleva a cabo el proceso de auditoría de la
aplicación, al hacerlo recurre a cada una de las etapas que esta contempla al
momento de la recogida de la información, determinación de los objetivos y
alcance, planificación, trabajo de campo, informe e implantación de mejoras y las
conclusiones a la que se llegado en la auditoria aplicada a dicha aplicación
informática.

Así mismo, al efectuar el análisis a los sistemas y los datos de la entidad a auditar
el auditor, recurre a Técnicas de Auditoria con Ayuda de Computadoras -TAAC´s -
que son un conjunto de técnicas y herramientas utilizados en el desarrollo de las
auditorias informáticas con el fin de mejorar la eficiencia, alcance y confiabilidad.
Lo que le permite obtener suficiente evidencia confiable. El uso de la asistencia por
computadoras lo sustenta la NIA 330 y la 500.
 32

RECOMENDACIONES

La auditoría de aplicaciones deberá comprender no solo la evaluación de los

equipos de cómputo de un sistema o procedimiento específico, sino que además
habrá de evaluar los sistemas de información en general desde sus entradas,
procedimientos, controles y técnicas de evaluación que el auditor destina para
efectuar dicho análisis.

Al definir y puntualizar la problemática de una aplicación informática, se hace

énfasis en el punto de la seguridad que esta representa para la información
almacenada en ella, recopilando la vulnerabilidad, amenazas y al mismo tiempo
reconociendo las medidas de seguridad que debe de implementarse a la misma.

En el desarrollo de una auditoría de sistemas es necesario que el Contador

Público y Auditor utilice técnicas y procedimientos para medir la vulnerabilidad
del control interno, llevar a cabalidad el análisis de las etapas de auditoria y
hacer uso de las –TAAC´s- conforme a la marco de las Normas Internacionales
de Auditoria para agregarle valor al trabajo realizado en una empresa que maneja
Tecnologías de Información –TI-. Donde el Contador Público y Auditor debe
mantenerse actualizado en cuanto a los sistemas de información que se manejan
y las actualizaciones de las técnicas de auditoría asistidas por un computador.
 33

BIBLIOGRAFÍA

Normas Internacionales de Auditoria –NIA-, Respuesta del auditor a los Riesgos

Evaluados –NIA 330-

Association of College & Research Libraries (2000). Information Literacy

Competency Standards for Higher Education. ALA. Traducción de Cristóbal
Pasadas disponible en
http://www.ala.org/ala/acrl/acrlstandards/informationliteracycompetencystandards.c
fm.

http://www.blog.coachingfactory.es/el-lider-que-abriga-utiliza-scarf/