AUDITORIA EN SISTEMAS COMPUTARIZADOS

DEFINICION
En principio es importante señalar que el uso de un sistema computarizado no modifica los principios básicos de la contabilidad; lo que una empresa hace es utilizar las ventajas de un computador para obtener más rápidamente los resultados de una elaboración contable y combinar los datos retenidos en las memo¬rias según los programas que se establecen para alcanzar una mayor informa¬ción, con rapidez y exactitud.

En este sentido podemos indicar que la auditoria del sistema contable computarizado, debe efectuarse de acuerdo con los Principios y Normas de Auditoría Generalmente Aceptadas, y al igual que una Auditoría a un sistema contable manual, constituye el examen objetivo y sistemático de las operaciones contabiliza¬das por una Empresa mediante el uso de equipos electrónicos de procesamiento de datos, efectuada con posterioridad a su ejecución y elaboración, con la finalidad de evaluarías, verificarlas, y elaborar un informe sobre la razonabilidad de los estados financieros emitidos por el departamento contable de la empresa, y el cual debe contener observaciones, conclusiones, recomendaciones y el correspondiente dictamen.

OBJETIVOS
- El objetivo básico de la auditoria financiera del sistema contable computariza¬do, es garantizar la razonabilidad o, no de la situación de los estados financie¬ros y de los controles internos de entrada, procesamiento y salida de datos de la computadora en riguroso cumplimiento en sus tres aspectos: controles de equipo, controles de programa y controles de operación.

- Examinar aspectos del medio ambiente del computador que afectan el enfoque de la auditoría y sus procedimientos aplicados en la centralización, controles del computador, confiabilidad electromagnético y centros externos de procesa-miento de datos.

- Examinar mediante la aplicación de las técnicas y procedimientos de auditoria el sistema de contabilidad computarizado, revisando el sistema y sus controles y el sistema de control interno.


CARACTERISTICAS ESPECIFICAS DE LOS SISTEMAS COMPUTARIZADOS
Es necesario efectuar una enunciación de algunas características de estos sistemas en comparación con los sistemas manuales,  orientado hacia la evidencia de auditoría que proporcionan.
Dichas características son las siguientes:

- Usualmente en los sistemas computarizados, la información almacenada y procesada esta disponible tal que sólo con ayuda del computador.

- En un sistema computarizado no todos los procedimientos de control observan en forma expresa. En muchos casos la realización del control forma parte de la lógica del programa utilizado, incluido en pasos específicos de mismo.

- Debe tenerse en cuenta que en un proceso computarizado existe un programa automatizado, por lo cual en caso de incurrirse en un error, afecta a un mayo volumen de transacciones. Así por ejemplo, en un proceso computarizado en el cual el registro de la factura en el Libro Ventas, origina automáticamente e asiento en cl Libro Diario y el pase al Libro Mayor; un error por ejemplo en e ingreso del importe de la factura al momento de digitarlo,  originará un error en el asiento del Libro Diario y consecuentemente el Libro Mayor.

- Debido a la poca participación del elemento humano, puesto que en un sistema computarizado es el mismo programa el que realiza automáticamente determinados registros con el sólo ingreso de una cantidad o dato; cierto tipos de errores que se producen en los sistemas computarizados son difícilmente detectables.

- El procesamiento computarizado somete uniformemente todas las transacciones similares a las mismas instrucciones de procesamiento; por esta razón, 1a posibilidad de errores al azar, que es un problema de control que se da en sistemas manuales, queda considerablemente reducida. Sin embargo, cabe 1a posibilidad de que se originen errores en el ingreso de los datos o estos 5 ingresen en forma incompleta al sistema para su procesamiento.

- El riesgo que ciertos individuos incluyendo aquellos que realizan procedimientos de control, acceda a los datos sin autorización o los alteren sin deja evidencia, en un sistema computarizado es mucho mayor que en un sistema manual.


La iniciación de ciertas transacciones, o ciertas funciones de procesamiento pueden ser efectuadas automáticamente por el computador. En estos casos, pueden o no existir evidencias visibles de estos pasos de procesamiento.
Si bien existen ciertas diferencias entre los sistemas computarizados y los sistemas manuales convencionales, es importante dejar en claro que el proce¬samiento electrónico de datos no afecta a los objetivos del control interno, la responsabilidad de la dirección y las limitaciones inherentes al sistema de control interno; pero si afecta el enfoque para la evaluación del mismo, y el tipo de evidencia de auditoría que se obtiene.

FUNCIONES DE PROCESAMIENTO
Las funciones de procesamiento son determinados pasos de los sistemas admi¬nistrativos de la empresa o entidad que tiene como función la realización de las transacciones y hechos económicos producidos. Incluyen funciones como cálcu¬lo, comparación y acumulación de datos.
Las funciones de procesamiento son importantes en cuanto a la orientación que dan respecto a la exactitud e integridad de los datos generados por cl sistema, por ello son funciones que el auditor debe analizar con detenimiento a efectos de determinar la confiabilidad o no de los datos obtenidos del sistema computariza¬do. En resumen su importancia radica en lo siguiente:
- Representan una fuente significativa de satisfacción de auditoría, en la cual el auditor deberá depositar su confianza.
- Si en caso no se puede depositar confianza en alguna función de procesamien¬to, se debe obtener evidencia sustantiva de que los aspectos substanciales de la función de procesamiento se realizaron satisfactoriamente para las transac-ciones procesadas, es decir que los reportes y estados contables son válidos con dicha función de procesamiento.

Es por esta razón que resulta necesario determinar si existen controles sobre ese software en el sentido que esté adecuadamente protegido contra cambios o acce-sos no autorizados, ya que en la medida que ello ocurra el auditor podrá confiar en este tipo de funciones de procesamiento.

PROCESO DE AUDITORIA
En la actualidad a efectos de realizar una auditoría en empresas en los que una parte significativa de los procesos administrativos son procesados electrónicamente, se manejan básicamente dos enfoques, los cuales son:

- Enfoque externo o tradicional
Consiste en realizar los procedimientos de verificación utilizando los datos de entrada al sistema y someter estos datos al proceso lógico que se realiza en esa etapa específica del procesamiento, Con estos elementos se obtienen datos de salida procesados manualmente. Esta información manual se cruza con los datos de salida que genera el sistema computarizado y se concluye si el procesamiento electrónico ofrece resultado razonables o no.

Este procedimiento se realiza en base a una muestra establecida por el auditor. Es decir este método sigue el mismo procedimiento que se aplica para probar un circuito administrativo con procesamiento de información manual.

- Enfoque moderno
Bajo este método los procedimientos de verificación se realizan utilizando el computador, para efectos de verificar el correcto funcionamiento de los proce¬sos computarizados.

Es decir cuando se vaya a realizar la revisión de circuitos administrativos donde las aplicaciones contables son en su mayoría procesadas electrónicamente, se deben seleccionar técnicas de auditoría que controlen el funcionamiento de aplicación computarizada. Es decir se revisa la lógica del lenguaje utilizada procesando nuevamente una determinada cantidad de operaciones a través d propio sistema computarizado.


Con este fin es necesario estudiar todo el sistema de Información y la actividad  la empresa mediante la colaboración de distintos especialistas, en áreas especificas de trabajo. Por lo general se coordina la labor con el:
a. Director del Centro de Proceso de Datos
b. Técnico de Sistemas
c. Analista
d. Programador
e. Operador


PLANIFICACION ESTRATEGICA
En esta etapa se determina las características generales de la empresa a audita a efectos de establecer una estrategia de auditoría o un enfoque preliminar par la revisión de los estados financieros a una fecha dada.
En esta etapa básicamente se deben tener en consideración los aspectos siguiente.
a. Ambiente del sistema de Información; y
b. Ambiente de control


Dichos aspectos permitirán que el auditor conozca el sistema de información qu utiliza el ente para planificar adecuadamente su enfoque de auditoría.

a. Ambiente del Sistema Información
En esta etapa el auditor debe obtener información sobre el uso e importancia que tiene en la empresa auditada el procesamiento electrónico de datos, a través de esta información el auditor debe evaluar hasta que punto se ha computarizado los sistemas administrativos y el grado en que las operaciones del ente dependen de sistemas de procesamiento electrónico de datos. Esta información va a afectar significativamente las evaluaciones de los riesgo inherentes y de control que el auditor debe hacer en esta etapa de planificación estratégica.

Los principales aspectos a considerar son:
- Conocimiento de la estructura organizativa
- Conocimiento de la naturaleza de la configuración de sistemas.
- Alcance del procesamiento computarizado de la información para las principales áreas de los estados financieros o tipos de transacciones.

Comunmente, los software básicos utilizados en contabilidad son:
- Facturación
- Clientes, proveedores y en general cuentas personales
- Control de existencias
- Preparación de planillas
- Contabilidad general
- Contabilidad analítica
- Preparación de Pago de Tributos y Declaraciones Juradas
- Formulación de Balances

b. Ambiente de Control
El ambiente de control está referido al conjunto de condiciones dentro de las cuales operan los sistemas de control. Es decir está orientado al enfoque que tiene la gerencia superior y el directorio con respecto al objetivo de control y el marco en que se ejerce ese control.
Este tipo de control influye en la decisión del auditor de confiar en los controles para obtener satisfacción de auditoria.
Con este fin, se deben tener en cuenta los siguientes aspectos:
- El enfoque del control por parte dcl directorio y la gerencia superior
- Organización gerencial: El posicionamiento del Gerente de Sistemas en la estructura administrativa del ente; así como determinar si la delegación de responsabilidades y autoridad dentro del Departamento de Sistemas es adecuada.


PLANIFICACION DETALLADA
Este tipo de planificación se realiza bajo los mismos lineamientos que una planificación de una auditoria a un sistema manual. Específicamente en lo que corresponde a un EPD, es de tener en cuenta las consideraciones siguientes:

Riesgos inherentes
Existen riesgos inherentes relacionados con transacciones en medio EPD, los que se pueden clasificar en:
- Riesgos de aplicación
- Riesgos generales del departamento de Sistemas


Evaluación de controles
Los controles en un ambiente EDP, pueden ser directos o generales.

A. Controles Generales
Contribuyen significativamente a la efectividad de los controles directos. Abarcan la segregación de funciones incompatibles incluyendo el Depar¬tamento de Sistemas.
Dentro de los controles generales podemos considerar lo siguiente:

a. Fianza del personal
El personal del departamento de procesamiento de datos debe estar cubierto por una fianza según el grado que represente el nivel de responsabilidad de los empleados.

b. Justificación del usuario del computador
El usuario del computador debe estar seguro de que todas sus aplica¬ciones tienen una legítima razón de existencia.

c. Separación de responsabilidades
Para evitar posibles errores y evitar proveer un ambiente que conduz¬ca a fraudes, se deben definir algunos controles en el área de respon¬sabilidades, tales como:

1. No se debe permitir al personal del departamento CENTRO DE COMPUTO registrar información en documentos lo autorizar docu¬mentos que más tarde serán procesados por el computador).

2. Los miembros del departamento de Centro de Cómputo no deben ser los únicos que establecen los controles de la alimentación original.

3. Se debe designar un responsable para que, además del departa¬mento de CENTRO DE COMPUTO autorice los cambios de proce¬dimientos de procesamiento, interrupciones, modificaciones o cambios básicos en el flujo del Sistema.

4. Los programadores no deben tener acceso a los archivos de datos, excepto en el caso de archivos necesarios para ejecutar pruebas, y eso sólo mediante cl permiso del responsable superior.


5. Los operadores no deben tener acceso a listados de programas ni a la lógica relacionada.

6. La custodia de activos nunca debe ser responsabilidad del departa¬mento del CENTRO DE COMPUTO. Ejemplo, el giro de los cheques debe ser supervisado por la persona que firma y revisado por otra autorizada.


d. Protección del equipo de procesamiento automático de datos y sus archivos.
En toda empresa es de necesidad fundamental contar con respaldo de los archivos, procesados en el CENTRO DE COMPUTO. Algunos siste¬mas de procesamiento proporcionan respaldo automático de archivos. Es también de importancia la protección física del sistema de cómpu¬to contra posibles daños naturales, físicos o de actos humanos.

Los archivos históricos que hay que conservar para propósitos de AUDITORIA o los archivos que hay que conservar de acuerdo a nor¬mas legales deben almacenarse en un medio que no se pueda borrar, alterar o deteriorar tal como películas fotográficas. La emisión de computador en microfilm (COM) se está volviendo cada vez más popu¬lar como medio de almacenamiento de datos a largo plazo.

e. Seguridad y recolección de datos
Una vez que los datos se recolectan y son parte del sistema de proce¬samiento de datos, el usuario debe tomar las medidas necesarias para garantizar la integridad de los datos y proteger sus archivos contra personas no autorizadas. Esto involucra el acceso restringido de personas extrañas a la empresa.

B. Controles directos: Incluyen a aquellos controles diseñados para evitar detectar errores o irregularidades, y a las funciones de proce-samiento. Este tipo de controles constituyen fuentes de satisfacción de auditoría.
Los controles directos, son aquellos controles que se establecen para regular las operaciones diarias del centro del computador. Algunos de ellos están orientados a programación, Otros a personal y otros a equipo, pero todos son igualmente importantes.

a. Controles Internos de Auditoría de un sistema EDP
Las pruebas y procedimientos que se incorporan en el sistema de programas para detectar errores son los aspectos que el auditor deno¬mina control interno.
En la auditoría de un sistema EDP. el auditor debe tener muy en cuenta particularmente cl Control Interno que tiene la empresa sobre el sistema de Procesamiento de Datos. Al respecto el auditor determinará:
• El procesamiento de Control Interno de la empresa
• La forma en que se cumplen dichos procedimientos
• La comprobación por parte del auditor del Procedimiento del Con¬trol Interno de la empresa y el grado de cumplimento.

Usando transacciones de prueba, se puede determinar cuáles contro¬les internos se han incorporado en el sistema y si esos controles funcionan correctamente.
Los sistema computarizados tienen disponibles rutinas de generación de datos de prueba, que generan miles de transacciones. Con un gran volumen de transacciones de prueba, las deficiencias de control inter¬no se detectan más fácilmente que si sólo se usan unas cuantas transacciones de prueba.

El auditor debe asegurarse que prueba todos los programas de una aplicación y no sólo uno o dos programas claves. La auditoría debe abarcar todas las aplicaciones procesadas por una instalación EDP. Esto puede involucrar cientos de programas diferentes; mayor razón para que la auditoria se efectúe mediante el computador.

b. Importancia de la documentación
Es muy importante tener la documentación adecuada y explicaciones detalladas de sistemas, programas y procedimientos de operación, de tal manera que el Sistema EDP, funcione correctamente.

c. Procedimientos de mantenimiento de archivos
El mantenimiento de archivos implica una constante actualización de los mismos, a través de actividades necesarias para introducir los cambios o modificaciones de datos o quizá hasta suprimir determina¬dos datos o cálculos. Así tenemos por ejemplo, que a partir del ejerci¬cio 1994 se modificaron las tasas de depreciación, en este sentido la empresa debió actualizar el programa de cálculo de depreciación con las tasas vigentes efectivas y pruebas respectivas de los cálculos obtenidos a efectos de determinar si el sistema está calculando co¬rrectamente la depreciación del período.

Los cambios de mantenimiento de archivos debe documentarse muy cuidadosamente antes y después de ejecutados. Los récords deben listarse en la impresora del sistema antes y después de incorporar los cambios.
El mantenimiento de los archivos debe ejecutarse en períodos prefija¬dos del ciclo de procesamiento.

d. Control de las operaciones del computador y de la sala del compu¬tador.
Para asegurar el éxito y eficiencia de una operación EDP, se deben hacer planes para la organización de la sala del computador, planear las operaciones, procedimientos de operación de la consola, controles de los archivos magnéticos, control de la biblioteca de programas, almacenamiento de archivos, etc. También todo el personal de opera¬ciones y de oficina debe ser entrenado y supervisado cuidadosamente.

En la planificación detallada el auditor se concentra en obtener y docu¬mentar una comprensión sobre los controles directos y generales para los componentes significativos de los estados financieros.
La efectividad de los controles directos depende comúnmente de los controles generales relacionados. La eficiencia de los controles la deter¬mina la forma en que se seleccionan, implantan y supervisan.
En este sentido se pude indicar que no se confiará en controles directos cuando se considere que los controles generales son débiles.

TECNICAS DE AUDITORIA ASISTIDAS POR EL COMPUTADOR
Cuando el auditor analiza el enfoque de auditoría a aplicar en entes donde los sistemas de información de importancia significativa en la generación de datos a ser incluidos en los estados contables son a través del EDP, la alternativa de utilizar técnicas de auditoría que utilicen el computador se torna de suma impor¬tancia.
A continuación se detallan las principales técnicas de auditoría asistidas por computador.

Programas de Auditoría asistidos por el Computador
Esta técnica consiste en programas de computación preparados de acuerdo con especificaciones dadas por el auditor, con el objetivo de procesar infor¬mación del ente con relevancia de auditoría.
Los usos más comunes de estos programas para auditoria están referidos a la obtención de evidencia sustantiva de auditoria.
Estos programas representan ventajas en cuanto a la practicidad y eficien¬cia, en comparación con los procedimientos de auditoría manuales, así tenemos:
- La información contable y financiera puede ser reorganizada dentro de formatos que faciliten el uso por parte del auditor.
- La información puede ser seleccionada y clasificada con mayor rapidez y exactitud.
- Partidas significativas de auditoría pueden ser identificadas rápidamente con propósitos de análisis adicional.

Estos programas pueden ser útiles en las siguientes aplicaciones:

• Para seleccionar muestras de auditoría, que posteriormente serán utili¬zadas en el trabajo de auditoría. Por ejemplo:

- Clasificación de cuentas por cobrar, en función del monto.
- Selección de cuentas por cobrar vencidas, es decir cuentas de cobran¬za dudosa, que luego permitirá un análisis del cumplimiento de los requisitos tributarios.
- Selección de pago significativas, por ejemplo; la verificación de los pagos a cuenta del Impuesto a la Renta, IGV, entre otros.
- Selección de partidas de inventario con poco movimiento o con un stock muy significativo en relación con el consumo normal. A efectos de determinar si existen sobrantes o faltantes de inventario.
- Selección de adquisiciones o bajas de activos fijos, que permitirá posteriormente verificar la incidencia tributaria.
- Selección de muestras de empleados en función de salarios, horas trabajadas en un período, beneficios sociales percibidos, contribucio¬nes sociales, CTS, entre otros.
- Selección de productos en inventario con propósito de recuento físico.

• Para realizar cálculos aritméticos de acuerdo con criterios establecidos por el auditor. Por ejemplo:
- Recálculo del monto de depreciación de bienes de uso.
- Preparación de un listado de antigüedad de las cuentas a cobrar.
- Verificación de los totales del Registro de Ventas y Compras y el cruce respectivo con Declaraciones Juradas.
- Verificación de la aplicación correcta del tipo de cambio en operacio¬nes realizadas en moneda extranjera.
- Cálculo del devengamiento de intereses, valuación de obligaciones contractuales con cláusulas de ajuste especiales, etc.

• Para sumar y comparar información en diferentes archivos computariza¬dos. Por ejemplo:
- Conciliación de archivos de proveedores comerciales con cuentas de inventarios y gastos.
- Conciliación de cuentas de sueldos y salarios con las correspondien¬tes cuentas de absorción de costos y gastos.
- Conciliación de los importes considerados en comprobantes de pago emitidos con los registros de venta.


Técnicas de Datos de Prueba
Esta técnica consiste en el procesamiento de un lote de documentos ficticios en el sistema de computación que se pretende probar, para obtener satisfac¬ción con respecto a que los controles de procesamiento y las funciones de procesamiento computarizados estén operando efectivamente.
Algunos casos de técnica de datos de prueba se detallan a continuación:

- Verificación de procedimientos de aprobación automáticos.
- Verificación de comparaciones, cálculos y acumulaciones.

El auditor debe verificar el correcto procesamiento de los datos, por ejemplo:

• DETERMINAR, mediante el examen de los documentos de la concilia¬ción, que las cifras de control se están conciliando debidamente.

• RASTREAR, las cifras de control desde los lotes de entrada, a través de los paquetes de control hasta los reportes de salida. Verificar que el dato Ingresado originalmente, no haya sufrido modificaciones en al¬gún momento del procesamiento.


• VERIFICAR, si los datos son transmitidos electrónicamente desde su fuente al computador, y el uso de cifras en campo clave de los termi¬nales de entrada, mantenida en la localidad emisora, y cualquier conciliación o paquete de control mantenida en el centro del cómputo.

• HACER, pruebas de cálculo de las cifras de control generadas por computador, mediante el uso de lotes de prueba y/o programas gene¬ralizados de auditoría.

• DETERMINAR, mediante la indagación y el examen de la documenta¬ción respectiva revisión de conciliaciones y pruebas selectivas, la existencia de comprobación cruzadas, aritméticas y de capacidad de campo. Verificar, así mismo las pruebas seleccionadas de las salidas para comprobar su razonabilidad aritmética.


A través de esta técnica se debe verificar que las cifras estén debidamen¬te consideradas en los reportes o listados computarizados, de tal forma que no se produzcan desviaciones en los datos considerados para efectos tributarios. Por ejemplo se debe verificar que la base imponible que arroja el Registro de Ventas computarizado, este de acuerdo con el total de comprobantes de pago emitidos, para lo cual se verificará en principio el ingreso de los datos y de estar este conforme se entiende que el resultado debe coincidir con el cálculo aritmético que se pudiera efec-tuar.

Verificación de la oportuna y correcta emisión de informes de excep¬ción. A través de los datos de prueba el auditor puede verificar que, para aquellas operaciones extraordinarias, por su característica o monto significativo, en cuyos casos está prevista la generación de informes por excepción a la gerencia, el sistema los produzca efectiva¬mente.

- Verificación del funcionamiento de los controles de edición y validación de datos.

• DETERMINAR, mediante indagación y la revisión del programa formal de conversión y de los archivos maestros convertidos, que se ejercen adecuados controles sobre los archivos maestros importantes durante y después de su conversión.

• EXAMINAR, la documentación de la conciliación del grupo de control por un número apropiado de ciclos de procesamiento, inmediatamente después de la conversión, para determinar la evidencia de errores resultantes de una compilación defectuosa de los archivos maestros su subsecuente corrección y posterior realimentación al sistema.

• DETERMINAR, mediante la observación, que si se utilizan etiquetas externas significativas en todos los archivos del computador.

• DETERMINAR, mediante la indagación y la observación de los mensa¬jes de la consola, la existencia de un sistema operativo en uso. Asegu¬rándose mediante la indagación y examen de la documentación, si han hecho cambios significativos, desde el punto de vista de control, al sistema operativo durante el período objeto de la auditoría.


• DETERMINAR, mediante indagación y revisión de la documentación de los programas, las características generales del sistema en uso y el papel que dicho sistema desempeña en el control de las operaciones del computador.

• DETERMINAR, si el uso del sistema operativo es constante para todas las corridas de producción, y que los procedimientos operativos no permiten que los controles internos del equipo sean burlados.


• ASEGURARSE, mediante examen selectivo de prueba, que si las ca¬racterísticas de control, tales como etiquetas internas, del sistema operativo están siendo efectivamente utilizadas.

- La entrega de los resultados a los usuarios de la empresa.

• DETERMINAR, a través de la indagación con los usuarios e inspección de la documentación de sus conciliaciones, que éstas son adecuadas y toman en consideración la recepción de todos los reportes importantes.

• COMPROBAR, si las acciones de los usuarios cuando sus conciliacio¬nes señalan condiciones fuera de balance son adecuados.

• VERIFICAR, mediante indagaciones e inspección de la documentación de los sistemas y paquetes del grupo de control, que silos reportes de salida se están distribuyendo oportunamente a los departamentos usuarios indicados.

• DETERMINAR, el procedimiento que se sigue cuando se detectan erro¬res en las cifras de un reporte contable computarizado.


En resumen, podemos concluir en que las técnicas de auditoría básicamen¬te responden a la necesidad de la auditoria de determinar si el sistema de procesamiento de datos utilizado por la empresa, es adecuado y confiable, de tal forma que permita determinar si los reportes que se obtienen son razonables o no.  Es por eso que se preparan programas de auditoría específicos en el computador a efectos de verificar la fehaciencia de los datos obtenidos del sistema computarizado, así como también es necesario verificar que los datos correctamente ingresados no sufren modificación ni variación en el propio sistema, de tal manera que el auditor puede tener confiabilidad en el mismo.

RIESGOS DEL DEPARTAMENTO DE SISTEMAS
Por lo general, los controles del Departamento de Sistemas involucran a más de una aplicación. En estas circunstancias, los controles se refieren a los distintos sistemas de aplicación procesados en un determinado ambiente EDP.
Puesto que el auditor desea confiar en los controles de procesamiento o en las funciones de procesamiento, o en los controles gerenciales e independientes basados en la información producida por un sistema computarizado, el auditor debe evaluar los principales controles del Departamento de Sistemas. Es decir debe determinar que los controles en los que intenta confiar no hayan sufrido alteraciones que reduzcan o eliminen su capacidad de detectar errores.
Las tres categorías en que se han clasificado los riesgos del Departamento de Sistemas, son las siguientes:

Estructura organizativa y procedimientos operativos no confiables.
En estos casos existe riesgo cuando la estructura organizativa y los procedi¬mientos operativos del Departamento de Sistemas no garantizan un am¬biente de procesamiento de datos que conduzcan a la preparación de infor¬mación confiable.
En estos casos como medio de control es conveniente separar las principa¬les responsabilidades de las actividades de operación y programación.


Procedimientos no autorizados para cambios en los programas
Los programadores pueden realizar cambios incorrectos no autorizados en el software de aplicación, lo cual reduciría la confiabilidad de la información procesada en el sistema.
Para efectos de control, es necesario que los resultados de las modificacio¬nes de programas sean revisadas por el usuario y el supervisor del progra¬mador antes de ponerlo en funcionamiento.

Acceso general no autorizado, a los datos o programas de aplicación.
Personas no autorizadas pueden tener acceso directo a los archivos de datos o programas de aplicación utilizados para procesar transacciones, permi¬tiéndoles realizar cambios no autorizados a los datos o programas.
En estos casos los controles de acceso general han sido diseñados para evitar el acceso al sistema de usuarios  autorizados para restringir y controlar el acceso de los usuarios no autorizados y para restringir y controlar el acceso de los usuarios autorizados. Así tenemos:
- Software de Seguridad. El auditor debe confirmar con la ayuda de un especialista en sistemas si este software de seguridad ha sido adecuadamente implantando.
El auditor debe obtener copia de las tablas de contraseñas y verificar si los usuarios con acceso a determinadas aplicaciones guardan una lógica con sus funciones específicas.
- Registro de operaciones: Es un registro completo de cada actividad de procesamiento realizada en el computador. Este registro puede ser revisado por el personal de operaciones para identificar las actividades inusuales de procesamiento.