tÉcnicas de auditorÍa asistidas por computador
TRANSCRIPT
TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR – TAAC’s
• Las TAAC’s son un conjunto de técnicas y herramientas utilizados en el
desarrollo de las auditorias informáticas con el fin de mejorar la eficiencia,
alcance y confiabilidad de los análisis efectuados por el auditor, a los
sistemas y los datos de la entidad auditada.
• Incluyen métodos y procedimientos empleados por el auditor para efectuar
su trabajo y que pueden ser administrativos, analíticos, informáticos, entre
otros; y, los cuales, son de suma importancia para el auditor informático
cuando este realiza una auditoría.
• El uso de los TAAC’s le permiten al auditor obtener suficiente evidencia
confiable sobre el cual, sustentar sus observaciones y recomendaciones, lo
que obliga al auditor a desarrollar destrezas especiales en el uso de estas
técnicas, tales como:
– mayores conocimientos informáticos,
– discernimiento en el uso adecuado de las herramientas informáticas y
analíticas,
– eficiencia en la realización de los análisis, etc.;
TAAC’sASPECTOS GENERALES
APLICACIÓN (TÉCNICAS)
VENTAJAS
PLANIFICACIÓN
USO DE
TAAC’s
DOCUMENTACIÓN E INFORMES
TIPOS DE HERRAMIENTAS
TAAC's
– sin dejar a un lado las técnicas tradicionales de auditoría como son la
inspección, observación, confirmación, revisión, entre otros
Auditoría asistida por computadora
La norma SAP 1009 (Statement of Auditing Practice) denominada Computer
Assisted Audit Techniques (CAATs) o Técnicas de Auditoría Asistidas por
Computador (TAAC's), plantea la importancia del uso de TAAC’s en la auditoría de
sistemas y las define como programas de computador y datos que el auditor usa
como parte de los procedimientos de auditoría para procesar datos de significancia
en un sistema de información.
SAS No. 94 (The Effect of Information Technology on the Auditor's Consideration of
Internal Control in a Financial Statement audit) indica que una organización que usa
Tecnologías de Información IT, se puede ver afectada en uno de los 5 componentes
del control interno: El ambiente de control, evaluación de riesgos, actividades de
control, información, comunicación y monitoreo además de la forma en que se
inicializan, registran, procesan y reporta las transacciones (hacer investigación
sobre estos componentes en función del SAS 94 y coso I).
NIA 330 – Procedimientos en Respuesta a Riesgos Evaluados
El uso de Técnicas de Auditoría con Ayuda de Computadora (TAAC's) puede
posibilitar pruebas más extensas de las transacciones electrónicas y archivos de
cuentas.
Estas técnicas pueden usarse para seleccionar transacciones de muestra de los
archivos electrónicos clave. Para escoger transacciones con características
específicas o para pruebas de toda una población en lugar de una muestra.
NIA 500 – Evidencia de Auditoría
En algunas situaciones el auditor puede determinar que se necesitan
procedimientos adicionales de auditoría. Estos, por ejemplo, pueden incluir usar
Técnicas de Auditoría con Ayuda de Computadora (TAAC's) para volver a calcular
la información.
Las TAAC's pueden ser usadas en:
Pruebas de detalles de transacciones y balances (Recálculos de intereses,
extracción de ventas por encima de cierto valor, etc.)
Procedimientos analíticos: por ejemplo identificación de inconsistencias o
fluctuaciones significativas.
Pruebas de controles generales, tales como configuraciones en sistemas
operativos, procedimientos de acceso al sistema, comparación de códigos y
versiones.
Programas de muestreo para extractar datos.
Pruebas de control en aplicaciones.
Recálculos.
El proceso de auditoría de la información
• Si los controles computarizados son débiles o no existen, los auditores
necesitarán realizar más pruebas sustantivas.
– Las pruebas sustantivas son pruebas de detalle de transacciones y de
balance de cuentas.
• Las pruebas de cumplimiento son realizadas para asegurar que los controles
están establecidos y trabajan correctamente.
– Esto puede implicar el uso de las Técnicas de Auditoría Asistidas por
Computador – TAAC’s.
Diseño de pruebas para la utilización de las TAAC’s
• Antes de utilizar las TAAC’s el auditor debe diseñar la forma en que se va a
llevar a cabo el examen, mediante el establecimiento oportuno de los
objetivos que busca el examen, establecer los sistemas de información
críticos de la organización y la disponibilidad que se tiene para acceder a
ellos, seleccionar los métodos y pruebas a realizarse durante la ejecución del
examen, definir los reportes que se deberán generar como evidencias e
informes de auditoria y otros procedimientos adicionales necesarios para la
ejecución exitosa del examen.
• Es necesario tener mucho cuidado respecto a la confidencialidad de los datos
y sistemas a los cuales acceda durante su revisión. Para ello, debe realizarse
una adecuada planificación, selección y diseño de las técnicas y
herramientas a utilizar, que permita tener una seguridad razonable sobre la
efectividad, confiabilidad y confidencialidad de los resultados que se vayan a
obtener durante el examen.
Auditando alrededor del computador
• Auditoría alrededor del computador asume que a través de la presencia de
salidas exactas se verifica el correcto procesamiento de las operaciones.
• Este tipo de auditoría presta poca o ninguna atención a los procesos de
control dentro del ambiente de TI.
• Generalmente no es un enfoque efectivo para llevar a cabo una auditoría de
un ambiente computarizado.
Auditando a través del computador
• Cuando se audita a través del computador, el auditor sigue las pistas de
auditoría a través de la fase de operaciones internas o proceso automatizado
de datos.
• Los intentos de verificación de los procesos de control involucran el uso de
Programas de SI.
• Los enfoques primarios son:
1) Programas de testeo,
2) Programas computarizado s de validación
3) Software de revisión de sistemas
4) Auditoría continúa.
Auditoría DENTRO DEL COMPUTADOR
• Auditoría dentro del computador implica el uso de TAAC’s para ayudar en
diversas tareas de auditoría.
• Este enfoque es prácticamente obligatorio, ya que los datos son
almacenados en medios informáticos y el acceso manual es casi imposible.
• Las TAAC’s son eficaces y ahorran tiempo.
Aplicación de TAAC's en la Auditoría Informática
Una de las ventajas más notorias de las TAAC’s es la versatilidad que estas
presentan para la realización del trabajo de campo de la auditoría, (se pueden
utilizar sin importar el tipo de organización, su tamaño, sus operaciones y sector del
mercado).
Para ello el auditor debe tener el suficiente discernimiento y experiencia profesional
para establecer la técnica o herramienta a utilizar.
El auditor dispone de una clasificación estandarizada respecto a las principales
TAAC’s aplicadas por auditores de todo el mundo:
Técnicas Administrativas.
Técnicas para evaluar los controles de Aplicaciones en Producción.
Técnicas para análisis de Transacciones.
Técnicas para análisis de Datos.
Técnicas para análisis de Aplicaciones.
Técnicas Administrativas
Permiten al auditor establecer el alcance de la revisión, definir las áreas de interés
y la metodología a seguir para la ejecución del examen.
Selección de Áreas de Auditoría
Mediante esta técnica, el auditor establece las aplicaciones críticas o módulos
específicos dentro de dichas aplicaciones que necesitan ser revisadas
periódicamente, que permitan obtener información relevante respecto a las
operaciones normales del negocio.
Esta técnica es muy utilizada por los auditores internos de empresas corporativas
grandes o medianas con un alto volumen de transacciones y exige que el
departamento de auditoría interna construya sus propios aplicativos (con la ayuda
del departamento de sistemas), para que puedan realizar su trabajo de forma
eficiente.
Técnicas Administrativas
Modelaje
Esta técnica es muy similar a la técnica de Selección de Áreas de Auditoria, cuya
diferencia radica en los objetivos y criterios de selección de las áreas de interés; ya
que esta técnica tiene como objetivo medir la gestión financiera de la organización
y todo lo que ello involucra.
Sistema de puntajes
A través de esta técnica el auditor selecciona las aplicaciones críticas de la
organización de acuerdo a un análisis de los riesgos asociados a dichas
aplicaciones y que están directamente relacionadas con la naturaleza del negocio
mediante asignarle a cada riesgo un puntaje de ocurrencia, de tal forma que sean
examinadas detalladamente aquellas aplicaciones con mayor nivel de
vulnerabilidad ante posibles riesgos.
Software de Auditoría Multisitio
Se basa sobre el mismo concepto de los sistemas distribuidos, en el que una
organización con varias sucursales u oficinas remotas, dispone de un software de
auditoria capaz de ser utilizado en dichas sucursales y a la vez, pueda actualizar y
almacenar la información resultante en una base de datos principal, generalmente
ubicada en la matriz de la organización.
Centros de competencia
Consiste en centralizar la información que va a ser examinada por el auditor, a
través de la designación de un lugar específico que recibirá los datos provenientes
de todas las sucursales remotas y que luego serán almacenadas, clasificadas y
examinadas por el software de auditoria.
Técnicas para evaluar los controles de Aplicaciones en Producción
Se orientan básicamente a verificar cálculos en aplicaciones complejas, comprobar
la exactitud del procesamiento en forma global y específica y verificar el
cumplimiento de los controles preestablecidos.
Método de Datos de Prueba
Consiste en la elaboración de un conjunto de registros que sean representativos de
una o varias transacciones que son realizadas por la aplicación que va a ser
examinada, y que luego serán ingresadas en dicha aplicación para la verificación
del procesamiento exitoso de los datos.
Facilidad de Prueba Integrada (ITF)
Similar a la de datos de prueba, con la diferencia de que en esta se trabajan con
datos reales y ficticios.
Simulación paralela
Esta es una técnica en la que el auditor elabora, a través de lenguajes de
programación o programas utilitarios avanzados, una aplicación similar a la que va
a ser auditada, con el objetivo de ingresar simultáneamente la misma información
en ambas aplicaciones para verificar la exactitud del procesamiento de datos de la
aplicación en producción.
Técnicas para Análisis de Transacciones
Tienen como objetivo la selección y análisis de transacciones significativas de forma
permanente, utilizando procedimientos analíticos y técnicas de muestreo.
Archivo de revisión de auditoría como control del sistema (SCARF)
Consiste en el diseño de ciertas medidas de control para el procesamiento
electrónico de los datos, para luego incorporarlos dentro de los aplicativos en
producción (como rutinas huéspedes), con el objetivo de garantizar un control
permanente de las transacciones realizadas.
El resultado final será la generación de un archivo de datos que almacenará una
réplica de los registros que hayan presentado anomalías.
Archivo de revisión de auditoría por muestreo (SARF)
Esta es una técnica muy utilizada por los auditores externos y consiste en la
definición de ciertos parámetros de selección de registros utilizando muestreo, para
luego analizarlos detalladamente.
Registros Extendidos
Técnica muy particular y útil para los auditores que han desarrollado ciertas
destrezas en el análisis de datos; y, consiste en la conservación histórica de todos
los cambios que haya sufrido una transacción en particular, convirtiéndose en un
LOG de auditoría.
Técnicas para el Análisis de Datos
Están orientadas hacia el uso de programas informáticos especializados que le
permiten al auditor, de forma eficiente y flexible, examinar la información que ha
sido procesada electrónicamente a través de los sistemas de información,
aplicativos o programas utilitarios.
Programas generalizados de auditoría
Es una de las técnicas de mayor desarrollo y aplicación en los últimos años. Se
encuentran disponibles en el mercado, numerosos paquetes de auditoría con muy
buen desempeño y flexibilidad en los tipos de archivos que pueden examinar. Los
más conocidos y difundidos en nuestro medio son IDEA y ACL.
Ventajas - Facilidad para el diseño de las pruebas de auditoría, flexibilidad en cuanto
a los formatos de archivo y la adaptabilidad para manejar y presentar la información.
Programas de auditoría a la medida
Programas desarrollados especialmente para el análisis de datos de un sistema de
información en particular, cubriendo todas las funciones y características que este
posea, de acuerdo a los objetivos del auditor.
Pueden ser desarrollados directamente por el auditor con la ayuda del personal de
informática de la organización o viceversa, de acuerdo al grado de complejidad que
tenga el sistema de auditoría a ser desarrollado.
Programas Utilitarios
Son programas estandarizados para la ejecución de actividades muy diversas para
el manejo de la información, gestión de documentos, realización de cálculos
matemáticos y estadísticos, almacenamiento de datos y control de proyectos, etc.;
los cuales, son muy utilizados por los auditores durante la ejecución de todo el
proceso de auditoría.
Técnicas para el Análisis de Aplicaciones
Poseen un grado mayor de complejidad respecto a su aplicación y grado de
conocimiento técnico que debe poseer el auditor, pues se orientan hacia la
evaluación del funcionamiento interno de las aplicaciones en producción y la forma
en que estos procesan la información.
Técnica de Imagen instantánea
Consiste en obtener una imagen instantánea del procesamiento electrónico de
datos en un momento determinado, a través de la identificación única de ciertas
transacciones de interés para el auditor y que, mediante rutinas especiales, son
seleccionadas para revisar el flujo que esta ha seguido dentro del sistema.
Técnica de Mapeo
Utilizada para medir la eficiencia de ejecución de las rutinas que integran el sistema,
a través de la utilización de programas especializados para dicho fin que mediante
reportes presentan las veces en que se ejecutan las rutinas implementadas y el
tiempo que le ha tomado al procesador ejecutarlas.
Pueden determinar las rutinas que no han sido utilizadas y aquellas que
posiblemente han sido incorporadas con fines fraudulentos.
Técnica de Rastreo
Mediante esta técnica se establece el orden en que han sido ejecutadas las rutinas
durante una determinada transacción, lo cual permite evaluar si el orden secuencial
en que se va ejecutando cada una de las etapas del procesamiento electrónico de
datos coincide con los procesos institucionales preestablecidos.
Análisis Lógico de las Aplicaciones
Esta técnica consiste en la revisión del programa de acuerdo a las especificaciones
técnicas y operativas presentadas en los Manuales de Diseño y Usuario, que
permita identificar errores o inconsistencia
El auditor debe poseer un alto grado de comprensión sobre la lógica del programa
y de los manuales que lo acompañan; pero para ello, el auditor debe estar
plenamente convencido de que los manuales del programa están adecuadamente
elaborados y libres de errores significativos.
Ventajas del uso de las técnicas de auditoría asistidas por computadora
(TAAC)
Incrementan o amplían el alcance de la investigación y permiten realizar
pruebas que no pueden efectuarse manualmente;
Incrementan el alcance y calidad de los muestreos, verificando un gran
número de elementos;
Elevan la calidad y fiabilidad de las verificaciones a realizar;
Reducen el período de las pruebas y procedimientos de muestreos a un
menor costo;
Garantizan el menor número de interrupciones posibles a la entidad auditada;
Brindan al auditor autonomía e independencia de trabajo;
Permiten efectuar simulaciones sobre los procesos sujetos a examen y
monitorear el trabajo de las unidades;
Realizar un planeamiento a priori sobre los puntos con potencial violación del
Control Interno;
Disminución considerable del riesgo de no-detección de los problemas;
Posibilidad de que los auditores actuantes puedan centrar su atención en
aquellos indicadores que muestren saldos inusuales o variaciones
significativas, que precisan de ser revisados como parte de la auditoría;
Elevación de la productividad y de la profundidad de los análisis realizados
en la auditoría;
Posibilidad de rescatar valor[11] en el resultado de cada auditoría;
Elevación de la autoestima profesional del auditor, al dominar técnicas de
punta que lo igualan al desarrollo de la disciplina
Análisis de la aplicación de CAAT
Planificación de CAAT
Considerar una combinación apropiada de las técnicas manuales y las técnicas de
auditoría asistidas por computadora. Cuando se determina utilizar CAAT los factores
a considerar son los siguientes:
• Conocimientos computacionales, pericia y experiencia del auditor de
sistemas de información.
• Disponibilidad de los CAAT y de los sistemas de información.
• Eficiencia y efectividad de utilizar los CAAT en lugar de las técnicas manuales
• Restricciones de tiempo
Pasos más importantes que el auditor debe considerar cuando prepara la aplicación
de los CAAT seleccionados son los siguientes:
ESTUDIO DEL COSTO BENEFICIO
COSTOS INDIRECTOS
COSTOS DE OPORTUNIDAD
DIAGNÓSTICO DEL PERSONAL
Equipo Personal Equipo Personal
1 Elaboración de planes de trabajo 3 6 1 1
2 Elaboración de cuestionarios, encuestas, matrices, etc. 6 12 1 1
3 Trabajo de campo. 6 12 3 12
4 Control de actividades a realizar en tiempos estimados reales. 3 6 1 1
5 Evaluación de resultados de los programas operativos. 3 6 1 1
6 Evaluación de la problemática de las áreas que cuenten con
un sistema informático.
3 6 1 3
7 Elaboración de papeles de trabajo e informes de auditoría. 6 12 3 12
8 Comunicar los resultados y recomendaciones que resulten de
sus evaluaciones.
12 12 2 12
9 Comprobar que el área de Sistemas ha tomado las medidas
correctivas de los informes de la Auditoría Interna así como
de las omisiones que al respecto se verifiquen en el
seguimiento de informes.
3 6 1 1
10 Evaluación de los controles de seguridades lógicas y físicas. 2 2 1 1
11 Evaluación de los riegos y controles. 6 12 3 6
12 Evaluar la existencia de políticas[a]
, objetivos[b]
, normas[c]
,
metodologías[d]
, así como la asignación de tareas y adecuada
administración[e]
de los recursos, humanos e informáticos.
6 12 1 1
Sin uso CAAT Con uso de
ACTIVIDADES
• Establecer los objetivos de auditoría de los CAAT: Determinar accesibilidad
y disponibilidad de los sistemas de información, los programas/sistemas y
datos de la organización.
• Definir los procedimientos a seguir (por ejemplo: una muestra estadística,
recálculo, confirmación, etc.).
• Definir los requerimientos de output.
• Determinar los requerimientos de recursos.
• Documentar los costos y los beneficios esperados.
• Obtener acceso a las facilidades de los sistemas de información de la
organización, sus programas/sistemas y sus datos.
• Documentar los CAAT a utilizar incluyendo los objetivos, flujogramas de alto
nivel y las instrucciones a ejecutar.
• Acuerdo con el cliente (auditado): Los archivos de datos, tanto como los
archivos de operación detallados (transaccionales, por ejemplo), a menudo
son guardados sólo por un período corto, por lo tanto, el auditor de sistemas
de información debe arreglar que estos archivos sean guardados por el
marco de tiempo de la auditoría.
• Organizar el acceso a los sistemas de información de la organización,
programas/sistemas y datos con anticipación para minimizar el efecto en el
ambiente productivo de la organización
• Evaluar el efecto que los cambios a los programas/sistemas de producción -
cambios en la integridad y utilidad de los CAAT- (integridad de los
programas/sistemas y los datos utilizados)
Utilizar CAAT (realización de auditoría)
Cuando se toma la decisión de hacer una auditoría de sistemas con al ayuda de
CAAT es importante tomar en cuenta los pasos que a continuación se describen. El
auditor debe:
1. Realizar una conciliación de los totales de control.
2. Realizar una revisión independiente de la lógica de los CAAT
3. Realizar una revisión de los controles generales de los sistemas de
información de la organización que puedan contribuir a la integridad de los
CAAT (por ejemplo: controles de los cambios en los programas y el acceso
a los archivos de sistema, programa y/o datos).
Utilizar CAAT – TIPOS DE SOFTWARE
Paquete de Auditoría.
• Son programas generalizados de computadora diseñados para desempeñar
funciones de procesamiento de datos que incluyen leer bases de datos,
seleccionar información, realizar cálculos, crear archivos de datos e imprimir
informes en un formato especificado por el auditor.
• Son usados para control de secuencias, búsquedas de registros, detección
de duplicaciones, detección de gaps, selección de datos, revisión de
operaciones lógicas y muestreo, algunos de ellos son el IDEA, ACL, etc.
Software para un propósito específico o diseñado a la medida.
• Son programas de computadora diseñados para desempeñar tareas de
auditoría en circunstancias específicas. Estos programas pueden ser
desarrollados por el auditor, por la entidad, o por un programador externo
contratado por el auditor. Por ejemplo programas que permitan generar
check-list adaptados a las características de la empresa y de los objetivos de
la auditoría.
Los programas de utilería.
• Son usados por la organización auditada para desempeñar funciones
comunes de procesamiento de datos, como clasificación, creación e
impresión de archivos. Como por ejemplo planillas de cálculo, procesadores
de texto, etc.
Los programas de administración del sistema.
Son herramientas de productividad sofisticadas que son típicamente parte de los
sistemas operativos sofisticados, por ejemplo software para recuperación de datos
o software para comparación de códigos.
Como en el caso anterior estas herramientas no son específicamente diseñadas
para usos de auditoría.
Existen en el mercado una gran variedad de este tipo de herramientas como por
ejemplo los que permiten controlar las versiones de un sistema.
Rutinas de Auditoría en Programas de aplicación.
Módulos especiales de recolección de información incluidos en la aplicación y
diseñados con fines específicos. Se trata de módulos que permiten obtener pistas
de auditora en muchos casos generados a través de trigers programados en las
propias bases de datos
Documentación de CAAT
Una descripción del trabajo realizado, seguimiento y las conclusiones acerca de los
resultados de los CAAT deben estar registrados en los papeles de trabajo de la
auditoría.
Las conclusiones acerca del funcionamiento del sistema de información y de la
confiabilidad de los datos también deben estar registrados en los PT’s de la
auditoría.
El proceso paso a paso de los CAAT debe estar documentado adecuadamente para
permitir que el proceso se mantenga y se repita por otro auditor de sistemas de
información.
Los PT’s deben contener la documentación suficiente para describir la aplicación de
los CAAT incluyendo los detalles como:
• Planificación
• Los objetivos de los CAAT
• Los CAAT a utilizar
• Los controles a implementar
• El personal involucrado, el tiempo que tomará y los costos.
La documentación debe incluir:
• Los procedimientos de la preparación y la prueba de los CAAT y los controles
relacionados.
• Los detalles de las pruebas realizadas por los CAAT.
• Los detalles de los input (ejemplo: los datos utilizados, esquema de archivos),
el procesamiento (ejemplo: los flujogramas de alto nivel de los CAAT, la
lógica).
• Evidencia de auditoría: el output producido (ejemplo: archivos log, reportes).
• Resultado de la auditoría.
• Conclusiones de la auditoría.
• Las recomendaciones de la auditoría.
Informe/reporte descripción de los CAAT
La sección del informe donde se tratan los objetivos, la extensión y metodología
debe incluir una clara descripción de los CAAT utilizados.
Esta descripción no debe ser muy detallada, pero debe proporcionar una buena
visión general al lector. La descripción de los CAAT utilizados también debe ser
incluida en el informe donde se menciona el hallazgo específico relacionado con el
uso de los CAAT.
Si se puede aplicar la descripción de los CAAT a varios hallazgos o si es demasiado
detallado debe ser descrito brevemente en la sección del informe donde se tratan
los objetivos, extensión y metodología y una referencia anexa para el lector, con
una descripción más detallada.
Tipos de herramientas CAAT – idea
Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar a
cabo muestreos y extraer archivos de datos desde cualquier origen ordenadores
centrales a PC, incluso reportes impresos.
TIPOS DE HERRAMIENTAS
CAATIDEA
ACL
AUTOAUDITAUDIT
CONTROL APL
AUDIMASTER
DELOS
IDEA es reconocido en todo el mundo, como un estándar en comparaciones con
otras herramientas de análisis de datos, ofreciendo una combinación única en
cuanto a poder de funcionalidad y facilidad de uso.
Áreas de uso de la herramienta
Auditoría externa de estados financieros.
• Precisión: comprobación de cálculos y totales.
• Revisión analítica: comparaciones, perfiles, estadísticas.
• Validez: duplicados, excepciones, muestreos estadísticos.
• Integridad: omisiones y coincidencias.
• Cortes: análisis secuencial de fechas y números.
• Valuación: provisiones de inventario.
Auditoría interna.
• Conformidad de políticas.
• Valor del dinero.
• Pruebas de excepción.
• Análisis.
• Comparaciones y coincidencias.
Detección de fraudes.
• Compras y pagos: validación de proveedores, análisis contables.
• Nómina: coincidencias cruzadas, cálculos.
• Lavado de dinero: valores elevados, cifras redondeadas, movimientos
frecuentes.
Informes y análisis de gestión.
Transferencias de archivos.
Bancos e instituciones financieras.
Industrias.
Organizaciones de ventas al por menor.
Entes gubernamentales (prestadores de ayudas y beneficios).
Tipos de herramientas CAAT – ACL
Es una herramienta CAAT enfocada al acceso de datos, análisis y reportes para
auditores y profesionales financieros.
No es necesario ser un especialista en el uso de CAAT.
Posee una poderosa combinación de accesos a datos, análisis y reportes
integrados, ACL lee y compara los datos permitiendo a la fuente de datos
permanecer intacta para una completa integridad y calidad de los mismos.
ACL permite:
• Análisis de datos para un completo aseguramiento.
• Localiza errores y fraudes potenciales.
• Identifica errores y los controla.
• Limpia y normaliza los datos para incrementar la consistencia de los
resultados.
• Realiza un test analítico automático y manda una notificación vía e-mail con
el resultado.
• Brinda una vista de la información de la organización y habilita directamente
el acceso a búsquedas de cualquier transacción, de cualquier fuente a través
de cualquier sistema.
• Ahorra tiempo y reduce la necesidad de requerimiento de información a
departamentos de TI muy ocupados
• Acceso a diversos tipo de datos con facilidad.
• Tiene un tamaño ilimitado en el monitoreo de datos y puede procesar
rápidamente millones de transacciones de datos ya que permite leer mas de
10,000 y hasta 100,000 registros por segundo.
• Los resultados se pueden ver fácilmente y entenderlos en formatos tabulares,
posee graficas precargadas, también posee un log de actividad de los
registros, que permite analizar y comprar registros pasados con los nuevos,
posee vistas de reportes precargados de Crystal Reports.
Tipos de herramientas CAAT – auto audit
Es un sistema completo para la automatización de la función de Auditoría,
soportando todo el proceso y flujo de trabajo, desde la fase de planificación,
pasando por el trabajo de campo, hasta la preparación del informe final.
Además del manejo de documentos y papeles de trabajo en forma electrónica, Auto
Audit permite seguir la metodología de evaluación de riesgos a nivel de entidad o
de proceso, la planificación de auditorías y recursos, seguimiento de hallazgos,
reportes de gastos y de tiempo, control de calidad, y cuenta con la flexibilidad de un
módulo de reportes “ad hoc”. Todos estos módulos están completamente integrados
y los datos fluyen de uno a otro automáticamente.
Beneficios
Eficiencia en el trabajo -Aumenta la eficiencia en la conducción de la evaluación de
riesgos y planificación anual.
Base de conocimiento - Acceso inmediato a toda la documentación de auditorías
pasadas, en ejecución o planeadas.
Flexibilidad - Permite que los auditores puedan trabajar en lugares distantes con sus
réplicas locales de la auditoría en curso y su posterior sincronización a la base de
datos centralizada.
Estandarización y control - Garantiza el seguimiento de metodologías de trabajo de
acuerdo a las mejores prácticas de la organización con el uso de una biblioteca de
documentos estándares (memoranda, programas, papeles de trabajo,
cuestionarios, evaluaciones, informe final y otros).
Adaptabilidad - Provee una herramienta de reportes “ad hoc” para la generación de
informes, tablas y gráficos con los formatos requeridos para el Comité de Auditoría
o Auditor General.
Comunicación - Mejora la comunicación con los auditados en el seguimiento de los
hallazgos y planes de acción.
Reducción de costos y aprovechamiento del recurso más valioso (el auditor) - Se
reducen los costos y el tiempo de documentación y revisión de papeles, logrando
invertir más tiempo en la auditoría, añadiendo valor al trabajo.
Seguridad y confidencialidad - Permite la creación de usuarios definiendo perfiles
según su rol dentro de la auditoría para controlar el acceso de documentos e
integridad de la información.
Integración con ACL - Es posible integrar los procesos de análisis de datos que se
efectúan con ACL en los papeles de trabajo de Auto Audit.
Tipos de herramientas CAAT – auditcontrol apl (audisis)
Es una herramienta para asistir en la construcción de sistemas de gestión de riesgos
y controles internos en los procesos de la cadena de valor y los sistemas de
información de las empresas. Para este fin, utiliza la técnica de Autoevaluación del
Control (CSA: Control Self Assessment), también conocida con el nombre de
Autoaseguramiento del Control (CSA: Control Self Assurance).
Desde la perspectiva administrativa, CSA asiste en la determinación de si la
organización está satisfaciendo sus objetivos. Las ventajas claves de implementar
un CSA incluyen la detección temprana de riesgos y el desarrollo de planes de
acción concretos que salvaguarden los programas organizacionales contra riesgos
del negocio significativos.
La metodología AUDICONTROL APL fue creada para apoyar el trabajo de:
Analistas y Desarrolladores de Sistemas.
Departamentos de Organización y Métodos.
Auditores de Sistemas.
Departamentos de Control Interno.
Administradores de Seguridad en Procesamiento electrónico de datos.
Administradores de Riesgos.
Tipos de herramientas CAAT - audimaster
AuditMaster de Pervasive, es una solución de supervisión de transacciones a nivel
de base de datos. Este sistema controla e informa de toda la actividad que tiene
lugar en una base de datos Pervasive.SQL.
La tecnología de AuditMaster consiste en capturar las operaciones que se realizan
en la base de datos y escribirlas en un archivo de registro. AuditMaster se divide en
tres componentes:
• Gestor de eventos (Log event handler) Actúa como una especie de “caja
negra” que captura y escribe en un registro de seguimiento todas las
actividades que se llevan a cabo en la base de datos.
• Base de datos de registro (Log database): El archivo principal de registro
contiene toda la información de seguimiento, por ejemplo, la identificación de
usuario, la identificación de la estación de red, el tiempo y la fecha de la
operación, el nombre de aplicación, el nombre de la tabla de la base de datos
y el tipo de operación. Además, el archivo crea imágenes, antes y después
de la transacción, a efectos de actualización de los registros. Cada vez que
un usuario modifica algún dato, AuditMaster escribe en el registro tanto el
valor antiguo como el nuevo.
• Visor de registros (Log viewer): Permite hacer consultas a la base de datos
de registro, lo que permite que un administrador de seguridad compruebe las
actividades realizadas y analice patrones y tendencias.
Tipos de herramientas CAAT – delos
Delos es un sistema experto que posee conocimientos específicos en materia de
auditoría, seguridad y control en tecnología de información.
Este conocimiento se encuentra estructurado y almacenado en una base de
conocimiento y puede ser incrementado y/o personalizado de acuerdo con las
características de cualquier organización y ser utilizado como una guía
automatizada para el desarrollo de actividades específicas.
Delos es una herramienta que fue diseñada pensando en empresas, organizaciones
y profesionistas que deseen incrementar los beneficios derivados de la tecnología
de información a través de actividades relacionadas con auditoría, seguridad y
control en TI.
DATOS DE PRUEBA
PRUEBA INTEGRADA –ITF
SIMULACIÓN PARALELA
SOFTWARE GENERAL DE AUDITORÍA
SOFTWARE DE AUDITORÍA A LA MEDIDA
Rutinas de auditoría en programas de aplicación
Archivo de revisión de Auditoría
Registros extendidos
Traceo
Mapeo
Comparación de código