Descargar

Técnicas de auditoría asistidas por computador – TAAC’s

Enviado por Pablo Turmero

    edu.red 1

    edu.red TAAC’s Las TAAC’s son un conjunto de técnicas y herramientas utilizados en el desarrollo de las auditorias informáticas con el fin de mejorar la eficiencia, alcance y confiabilidad de los análisis efectuados por el auditor, a los sistemas y los datos de la entidad auditada. Incluyen métodos y procedimientos empleados por el auditor para efectuar su trabajo y que pueden ser administrativos, analíticos, informáticos, entre otros; y, los cuales, son de suma importancia para el auditor informático cuando este realiza una auditoría. 2

    edu.red TAAC’s El uso de los TAAC’s le permiten al auditor obtener suficiente evidencia confiable sobre el cual, sustentar sus observaciones y recomendaciones, lo que obliga al auditor a desarrollar destrezas especiales en el uso de estas técnicas, tales como: mayores conocimientos informáticos, discernimiento en el uso adecuado de las herramientas informáticas y analíticas, eficiencia en la realización de los análisis, etc.; sin dejar a un lado las técnicas tradicionales de auditoría como son la inspección, observación, confirmación, revisión, entre otros 3

    edu.red Auditoría asistida por computadora La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit Techniques (CAATs) o Técnicas de Auditoría Asistidas por Computador (TAAC's), plantea la importancia del uso de TAAC’s en la auditoría de sistemas y las define como programas de computador y datos que el auditor usa como parte de los procedimientos de auditoría para procesar datos de significancia en un sistema de información. –RETIRADA– SAS No. 94 (The Effect of Information Technology on the Auditor's Consideration of Internal Control in a Financial Statement audit) indica que una organización que usa Tecnologías de Información IT, se puede ver afectada en uno de los 5 componentes del control interno: El ambiente de control, evaluación de riesgos, actividades de control, información, comunicación y monitoreo además de la forma en que se inicializan, registran, procesan y reporta las transacciones. 4

    edu.red Auditoría asistida por computadora NIA 330 – Procedimientos en Respuesta a Riesgos Evaluados El uso de Técnicas de Auditoría con Ayuda de Computadora (TAAC's) puede posibilitar pruebas más extensas de las transacciones electrónicas y archivos de cuentas. Estas técnicas pueden usarse para seleccionar transacciones de muestra de los archivos electrónicos clave. para escoger transacciones con características específicas o para pruebas de toda una población en lugar de una muestra. NIA 500 – Evidencia de Auditoría en algunas situaciones el auditor puede determinar que se necesitan procedimientos adicionales de auditoría. Estos, por ejemplo, pueden incluir usar Técnicas de Auditoría con Ayuda de Computadora (TAAC's) para volver a calcular la información. 5

    edu.red Auditoría asistida por computadora Las TAAC's pueden ser usadas en: Pruebas de detalles de transacciones y balances (Recálculos de intereses, extracción de ventas por encima de cierto valor, etc.) Procedimientos analíticos: por ejemplo identificación de inconsistencias o fluctuaciones significativas. Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparación de códigos y versiones. Programas de muestreo para extractar datos. Pruebas de control en aplicaciones. Recálculos. 6

    edu.red El proceso de auditoría de la información Si los controles computarizados son débiles o no existen, los auditores necesitarán realizar más pruebas sustantivas. Las pruebas sustantivas son pruebas de detalle de transacciones y de balance de cuentas. Las pruebas de cumplimiento son realizadas para asegurar que los controles están establecidos y trabajan correctamente. Esto puede implicar el uso de las Técnicas de Auditoría Asistidas por Computador – TAAC’s.

    edu.red Diseño de pruebas para la utilización de las TAAC’s Antes de utilizar las TAAC’s el auditor debe diseñar la forma en que se va a llevar a cabo el examen, mediante el establecimiento oportuno de los objetivos que busca el examen, establecer los sistemas de información críticos de la organización y la disponibilidad que se tiene para acceder a ellos, seleccionar los métodos y pruebas a realizarse durante la ejecución del examen, definir los reportes que se deberán generar como evidencias e informes de auditoria y otros procedimientos adicionales necesarios para la ejecución exitosa del examen. Es necesario tener mucho cuidado respecto a la confidencialidad de los datos y sistemas a los cuales acceda durante su revisión. Para ello, debe realizarse una adecuada planificación, selección y diseño de las técnicas y herramientas a utilizar, que permita tener una seguridad razonable sobre la efectividad, confiabilidad y confidencialidad de los resultados que se vayan a obtener durante el examen. 8

    edu.red Auditando alrededor del computador Auditoría alrededor del computador asume que a través de la presencia de salidas exactas se verifica el correcto procesamiento de las operaciones. Este tipo de auditoría presta posa o ninguna atención a los procesos de control dentro del ambiente de TI. Generalmente no es un enfoque efectivo para llevar a cabo una auditoría de un ambiente computarizado.

    edu.red Auditando a través del computador Cuando se audita a través del computador, el auditor sigue las pistas de auditoría a través de la fase de operaciones internas o proceso automatizado de datos. Los intentos de verificación de los procesos de control involucran el uso de Programas de SI. Los enfoques primarios son: Programas de testeo, Programas computarizado s de validación Software de revisión de sistemas Auditoría continua.

    edu.red Auditoría DENTRO DEL COMPUTADOR Auditoría dentro del computador implica el uso de TAAC’s para ayudar en diversas tareas de auditoría. Este enfoque es prácticamente obligatorio, ya que los datos son almacenados en medios informáticos y el acceso manual es casi imposible. Las TAAC’s son eficaces y ahorran tiempo.

    edu.red Aplicación de TAAC's en la Auditoría Informática Una de las ventajas más notorias de las TAAC’s es la versatilidad que estas presentan para la realización del trabajo de campo de la auditoría, (se pueden utilizar sin importar el tipo de organización, su tamaño, sus operaciones y sector del mercado). Para ello el auditor debe tener el suficiente discernimiento y experiencia profesional para establecer la técnica o herramienta a utilizar. El auditor dispone de una clasificación estandarizada respecto a las principales TAAC’s aplicadas por auditores de todo el mundo: Técnicas Administrativas. Técnicas para evaluar los controles de Aplicaciones en Producción. Técnicas para análisis de Transacciones. Técnicas para análisis de Datos. Técnicas para análisis de Aplicaciones. 12

    edu.red técnicas administrativas Permiten al auditor establecer el alcance de la revisión, definir las áreas de interés y la metodología a seguir para la ejecución del examen. Selección de Áreas de Auditoría Mediante esta técnica, el auditor establece las aplicaciones críticas o módulos específicos dentro de dichas aplicaciones que necesitan ser revisadas periódicamente, que permitan obtener información relevante respecto a las operaciones normales del negocio. Esta técnica es muy utilizada por los auditores internos de empresas corporativas grandes o medianas con un alto volumen de transacciones y exige que el departamento de auditoría interna construya sus propios aplicativos (con la ayuda del departamento de sistemas), para que puedan realizar su trabajo de forma eficiente. 13

    edu.red técnicas administrativas Modelaje Esta técnica es muy similar a la técnica de Selección de Áreas de Auditoria, cuya diferencia radica en los objetivos y criterios de selección de las áreas de interés; ya que esta técnica tiene como objetivo medir la gestión financiera de la organización y todo lo que ello involucra. Sistema de puntajes A través de esta técnica el auditor selecciona las aplicaciones críticas de la organización de acuerdo a un análisis de los riesgos asociados a dichas aplicaciones y que están directamente relacionadas con la naturaleza del negocio mediante asignarle a cada riesgo un puntaje de ocurrencia, de tal forma que sean examinadas detalladamente aquellas aplicaciones con mayor nivel de vulnerabilidad ante posibles riesgos. 14

    edu.red técnicas administrativas Software de Auditoría Multisitio Se basa sobre el mismo concepto de los sistemas distribuidos, en el que una organización con varias sucursales u oficinas remotas, dispone de un software de auditoria capaz de ser utilizado en dichas sucursales y a la vez, pueda actualizar y almacenar la información resultante en una base de datos principal, generalmente ubicada en la matriz de la organización. Centros de competencia Consiste en centralizar la información que va a ser examinada por el auditor, a través de la designación de un lugar específico que recibirá los datos provenientes de todas las sucursales remotas y que luego serán almacenadas, clasificadas y examinadas por el software de auditoria. 15

    edu.red Técnicas para evaluar los controles de Aplicaciones en Producción Se orientan básicamente a verificar cálculos en aplicaciones complejas, comprobar la exactitud del procesamiento en forma global y específica y verificar el cumplimiento de los controles preestablecidos. Método de Datos de Prueba Consiste en la elaboración de un conjunto de registros que sean representativos de una o varias transacciones que son realizadas por la aplicación que va a ser examinada, y que luego serán ingresadas en dicha aplicación para la verificación del procesamiento exitoso de los datos. Facilidad de Prueba Integrada (ITF) Similar a la de datos de prueba, con la diferencia de que en esta se trabajan con datos reales y ficticios. Simulación paralela Esta es una técnica en la que el auditor elabora, a través de lenguajes de programación o programas utilitarios avanzados, una aplicación similar a la que va a ser auditada, con el objetivo de ingresar simultáneamente la misma información en ambas aplicaciones para verificar la exactitud del procesamiento de datos de la aplicación en producción. 16

    edu.red Técnicas para Análisis de Transacciones Tienen como objetivo la selección y análisis de transacciones significativas de forma permanente, utilizando procedimientos analíticos y técnicas de muestreo. Archivo de revisión de auditoría como control del sistema (SCARF) consiste en el diseño de ciertas medidas de control para el procesamiento electrónico de los datos, para luego incorporarlos dentro de los aplicativos en producción (como rutinas huéspedes), con el objetivo de garantizar un control permanente de las transacciones realizadas. El resultado final será la generación de un archivo de datos que almacenará una réplica de los registros que hayan presentado anomalías. 17

    edu.red Técnicas para Análisis de Transacciones Archivo de revisión de auditoría por muestreo (SARF) Esta es una técnica muy utilizada por los auditores externos y consiste en la definición de ciertos parámetros de selección de registros utilizando muestreo, para luego analizarlos detalladamente. Registros Extendidos Técnica muy particular y útil para los auditores que han desarrollado ciertas destrezas en el análisis de datos; y, consiste en la conservación histórica de todos los cambios que haya sufrido una transacción en particular, convirtiéndose en un LOG de auditoría. 18

    edu.red Técnicas para el Análisis de Datos Están orientadas hacia el uso de programas informáticos especializados que le permiten al auditor, de forma eficiente y flexible, examinar la información que ha sido procesada electrónicamente a través de los sistemas de información, aplicativos o programas utilitarios. Programas generalizados de auditoría Es una de las técnicas de mayor desarrollo y aplicación en los últimos años. Se encuentran disponibles en el mercado, numerosos paquetes de auditoría con muy buen desempeño y flexibilidad en los tipos de archivos que pueden examinar. Los más conocidos y difundidos en nuestro medio son IDEA y ACL. Ventajas – Facilidad para el diseño de las pruebas de auditoría, flexibilidad en cuanto a los formatos de archivo y la adaptabilidad para manejar y presentar la información. 19

    edu.red Técnicas para el Análisis de Datos Programas de auditoría a la medida Programas desarrollados especialmente para el análisis de datos de un sistema de información en particular, cubriendo todas las funciones y características que este posea, de acuerdo a los objetivos del auditor. Pueden ser desarrollados directamente por el auditor con la ayuda del personal de informática de la organización o viceversa, de acuerdo al grado de complejidad que tenga el sistema de auditoría a ser desarrollado. Programas Utilitarios Son programas estandarizados para la ejecución de actividades muy diversas para el manejo de la información, gestión de documentos, realización de cálculos matemáticos y estadísticos, almacenamiento de datos y control de proyectos, etc.; los cuales, son muy utilizados por los auditores durante la ejecución de todo el proceso de auditoría. 20

    edu.red Técnicas para el Análisis de Aplicaciones Poseen un grado mayor de complejidad respecto a su aplicación y grado de conocimiento técnico que debe poseer el auditor, pues se orientan hacia la evaluación del funcionamiento interno de las aplicaciones en producción y la forma en que estos procesan la información. Técnica de Imagen instantánea Consiste en obtener una imagen instantánea del procesamiento electrónico de datos en un momento determinado, a través de la identificación única de ciertas transacciones de interés para el auditor y que, mediante rutinas especiales, son seleccionadas para revisar el flujo que esta ha seguido dentro del sistema. 21

    edu.red Técnicas para el Análisis de Aplicaciones Técnica de Mapeo Utilizada para medir la eficiencia de ejecución de las rutinas que integran el sistema, a través de la utilización de programas especializados para dicho fin que mediante reportes presentan las veces en que se ejecutan las rutinas implementadas y el tiempo que le ha tomado al procesador ejecutarlas. Pueden determinar las rutinas que no han sido utilizadas y aquellas que posiblemente han sido incorporadas con fines fraudulentos. Técnica de Rastreo Mediante esta técnica se establece el orden en que han sido ejecutadas las rutinas durante una determinada transacción, lo cual permite evaluar si el orden secuencial en que se va ejecutando cada una de las etapas del procesamiento electrónico de datos coincide con los procesos institucionales preestablecidos. 22

    edu.red Técnicas para el Análisis de Aplicaciones Análisis Lógico de las Aplicaciones Esta técnica consiste en la revisión del programa de acuerdo a las especificaciones técnicas y operativas presentadas en los Manuales de Diseño y Usuario, que permita identificar errores o inconsistencia El auditor debe poseer un alto grado de comprensión sobre la lógica del programa y de los manuales que lo acompañan; pero para ello, el auditor debe estar plenamente convencido de que los manuales del programa están adecuadamente elaborados y libres de errores significativos. 23

    edu.red Ventajas del uso de las técnicas de auditoría asistidas por computadora (TAAC) Incrementan o amplían el alcance de la investigación y permiten realizar pruebas que no pueden efectuarse manualmente; Incrementan el alcance y calidad de los muestreos, verificando un gran número de elementos; Elevan la calidad y fiabilidad de las verificaciones a realizar; Reducen el período de las pruebas y procedimientos de muestreos a un menor costo; Garantizan el menor número de interrupciones posibles a la entidad auditada; Brindan al auditor  autonomía e independencia de trabajo; Permiten efectuar simulaciones sobre los procesos sujetos a examen y monitorear el trabajo de las unidades; 24

    edu.red Ventajas del uso de las técnicas de auditoría asistidas por computadora (TAAC) Realizar un planeamiento a priori sobre los puntos con potencial violación del Control Interno; Disminución considerable del riesgo de no-detección de los problemas; Posibilidad de que los auditores actuantes puedan centrar su atención en aquellos indicadores que muestren saldos inusuales o variaciones significativas, que precisan de ser revisados como parte de la auditoría; Elevación de la productividad y de la profundidad de los análisis realizados en la auditoría; Posibilidad de rescatar valor[11] en el resultado de cada auditoría; Elevación de la autoestima profesional del auditor, al dominar técnicas de punta que lo igualan al desarrollo de la disciplina 25

    edu.red Análisis de la aplicación de CAAT ESTUDIO DEL COSTO BENEFICIO COSTOS INDIRECTOS COSTOS DE OPORTUNIDAD DIAGNÓSTICO DEL PERSONAL 26

    edu.red Planificación de CAAT 27 Considerar una combinación apropiada de las técnicas manuales y las técnicas de auditoría asistidas por computadora. Cuando se determina utilizar CAAT los factores a considerar son los siguientes: Conocimientos computacionales, pericia y experiencia del auditor de sistemas de información. Disponibilidad de los CAAT y de los sistemas de información. Eficiencia y efectividad de utilizar los CAAT en lugar de las técnicas manuales Restricciones de tiempo

    edu.red Planificación de CAAT 28 Pasos más importantes que el auditor debe considerar cuando prepara la aplicación de los CAAT seleccionados son los siguientes: Establecer los objetivos de auditoría de los CAAT: Determinar accesibilidad y disponibilidad de los sistemas de información, los programas/sistemas y datos de la organización. Definir los procedimientos a seguir (por ejemplo: una muestra estadística, recálculo, confirmación, etc.). Definir los requerimientos de output. Determinar los requerimientos de recursos. Documentar los costos y los beneficios esperados. Obtener acceso a las facilidades de los sistemas de información de la organización, sus programas/sistemas y sus datos.

    edu.red Planificación de CAAT 29 Documentar los CAAT a utilizar incluyendo los objetivos, flujogramas de alto nivel y las instrucciones a ejecutar. Acuerdo con el cliente (auditado): Los archivos de datos, tanto como los archivos de operación detallados (transaccionales, por ejemplo), a menudo son guardados sólo por un período corto, por lo tanto, el auditor de sistemas de información debe arreglar que estos archivos sean guardados por el marco de tiempo de la auditoría. Organizar el acceso a los sistemas de información de la organización, programas/sistemas y datos con anticipación para minimizar el efecto en el ambiente productivo de la organización Evaluar el efecto que los cambios a los programas/sistemas de producción -cambios en la integridad y utilidad de los CAAT- (integridad de los programas/sistemas y los datos utilizados)

    edu.red Utilizar CAAT (realización de auditoría) 30 Cuando se toma la decisión de hacer una auditoría de sistemas con al ayuda de CAAT es importante tomar en cuenta los pasos que a continuación se describen. El auditor debe: Realizar una conciliación de los totales de control. Realizar una revisión independiente de la lógica de los CAAT Realizar una revisión de los controles generales de los sistemas de información de la organización que puedan contribuir a la integridad de los CAAT (por ejemplo: controles de los cambios en los programas y el acceso a los archivos de sistema, programa y/o datos).

    edu.red Utilizar CAAT – TIPOS DE SOFTWARE 31 Paquete de Auditoría. Son programas generalizados de computadora diseñados para desempeñar funciones de procesamiento de datos que incluyen leer bases de datos, seleccionar información, realizar cálculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor. Son usados para control de secuencias, búsquedas de registros, detección de duplicaciones, detección de gaps, selección de datos, revisión de operaciones lógicas y muestreo, algunos de ellos son el IDEA, ACL, etc.

    edu.red 32 Software para un propósito específico o diseñado a la medida. Son programas de computadora diseñados para desempeñar tareas de auditoría en circunstancias específicas. Estos programas pueden ser desarrollados por el auditor, por la entidad, o por un programador externo contratado por el auditor. Por ejemplo programas que permitan generar check-list adaptados a las características de la empresa y de los objetivos de la auditoría. Los programas de utilería. Son usados por la organización auditada para desempeñar funciones comunes de procesamiento de datos, como clasificación, creación e impresión de archivos. Como por ejemplo planillas de cálculo, procesadores de texto, etc. Utilizar CAAT – TIPOS DE SOFTWARE

    edu.red 33 Los programas de administración del sistema. Son herramientas de productividad sofisticadas que son típicamente parte de los sistemas operativos sofisticados, por ejemplo software para recuperación de datos o software para comparación de códigos. Como en el caso anterior estas herramientas no son específicamente diseñadas para usos de auditoría. Existen en el mercado una gran variedad de este tipo de herramientas como por ejemplo los que permiten controlar las versiones de un sistema. Utilizar CAAT – TIPOS DE SOFTWARE

    edu.red 34 Rutinas de Auditoría en Programas de aplicación. Módulos especiales de recolección de información incluidos en la aplicación y diseñados con fines específicos. Se trata de módulos que permiten obtener pistas de auditora en muchos casos generados a través de trigers programados en las propias bases de datos Utilizar CAAT – TIPOS DE SOFTWARE

    edu.red Documentación de CAAT 35 Una descripción del trabajo realizado, seguimiento y las conclusiones acerca de los resultados de los CAAT deben estar registrados en los papeles de trabajo de la auditoría. Las conclusiones acerca del funcionamiento del sistema de información y de la confiabilidad de los datos también deben estar registrados en los PT’s de la auditoría. El proceso paso a paso de los CAAT debe estar documentado adecuadamente para permitir que el proceso se mantenga y se repita por otro auditor de sistemas de información. Los PT’s deben contener la documentación suficiente para describir la aplicación de los CAAT incluyendo los detalles como: Planificación Los objetivos de los CAAT Los CAAT a utilizar Los controles a implementar El personal involucrado, el tiempo que tomará y los costos.

    edu.red Documentación de CAAT 36 La documentación debe incluir: Los procedimientos de la preparación y la prueba de los CAAT y los controles relacionados. Los detalles de las pruebas realizadas por los CAAT. Los detalles de los input (ejemplo: los datos utilizados, esquema de archivos), el procesamiento (ejemplo: los flujogramas de alto nivel de los CAAT, la lógica). Evidencia de auditoría: el output producido (ejemplo: archivos log, reportes). Resultado de la auditoría. Conclusiones de la auditoría. Las recomendaciones de la auditoría.

    edu.red Informe/reporte descripción de los CAAT 37 La sección del informe donde se tratan los objetivos, la extensión y metodología debe incluir una clara descripción de los CAAT utilizados. Esta descripción no debe ser muy detallada, pero debe proporcionar una buena visión general al lector. La descripción de los CAAT utilizados también debe ser incluida en el informe donde se menciona el hallazgo específico relacionado con el uso de los CAAT. Si se puede aplicar la descripción de los CAAT a varios hallazgos o si es demasiado detallado debe ser descrito brevemente en la sección del informe donde se tratan los objetivos, extensión y metodología y una referencia anexa para el lector, con una descripción más detallada.

    edu.red 38

    edu.red Tipos de herramientas CAAT – idea 39 Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar a cabo muestreos y extraer archivos de datos desde cualquier origen ordenadores centrales a PC, incluso reportes impresos. IDEA es reconocido en todo el mundo, como un estándar en comparaciones con otras herramientas de análisis de datos, ofreciendo una combinación única en cuanto a poder de funcionalidad y facilidad de uso.

    edu.red ESTA PRESENTACIÓN CONTIENE MAS DIAPOSITIVAS DISPONIBLES EN LA VERSIÓN DE DESCARGA