taacs auditoria ped (2)
TRANSCRIPT
DIANA MARCELA QUIRA
AUDITORIA PED
TAAC´S
ORIGEN
Desde el punto de vista de la NIA 16, al hablar de Técnicas de Auditoria con Ayuda del Computador (TAACs), esta parece referirse casi exclusivamente a los programas de “Análisis y Extracción de Base de Datos” como podrían ser desde una planilla electrónica, pasando por un IDEA o ACL y llegando a un nivel de mayor complejidad Access, SQL Server, Oracle por poner algunos ejemplos, reforzando esta impresión que nos da la NIA 16 nos encontramos con una clasificación que realiza Eduardo Leyton Gutierrez al hablar de las CAATs:
Sin embargo se podría ser más amplios al hablar de TAACs, y hablar de Técnicas y “Herramientas” de Auditoria con Ayuda del Computador, tal como lo expresa el término CAATs en inglés. Partiendo de esta ampliación, podemos hacer una nueva clasificación de las TAACs, que se clasifica de acuerdo a las etapas en las que se desarrolla una auditoria: Planificación; Ejecución - Supervisión; Análisis de Riesgos; Análisis y Evaluación de Base de Datos; Herramientas Integradas y Programas para propósitos específicos.
La clasificación mencionada en el párrafo anterior, así como los requisitos generales y específicos se basan en requisitos técnicos de Licitaciones públicas que establecieron en su momento instituciones como Bancos Centrales y otras organizaciones serias como son: El Banco Central de Nicaragua el 2005; Empresa Portuaria Santo Tomás de Castilla el 2006 (España); Procuraduría de los Derechos Humanos el 2005 (Guatemala); Superintendencia Bancaria de Colombia (2005); Procuraduría General de la Nación el 2005 (Colombia)
DEFINICION Son de suma importancia para el auditor de TI cuando
realiza una auditoría. CAAT incluyen distintos tipos de herramientas, las que más se utilizan son los software de auditoría generalizado, software utilitario, los datos de prueba y sistemas expertos de auditoría. Las CAAT se pueden utilizar para realizar varios procedimientos de auditoría incluyendo:
1. Prueba de los detalles de operaciones y saldos.2. Procedimientos de revisión analíticos. 3. Pruebas de cumplimiento de los controles generales de
sistemas de información. 4. Pruebas de cumplimiento de los controles de aplicación.
OBJETIVOS Los objetivos globales y el alcance de una auditoría no cambian cuando una
auditoría se conduce en un entorno de CIS según se definió en la Norma Internacional de Auditoría (NIA) "Auditoría en un entorno de sistemas de información por computadora"; sin embargo, la aplicación de procedimientos de auditoría puede requerir que el auditor considere técnicas que usen la compu tadora como una herramienta de auditoría. Estos diversos usos de la computadora son conocidos como Técnicas de Auditoría con Ayuda de Computadora (TAACs).
La NIA "Auditoría en un entorno de sistemas de información por computadora"
comenta algunos de los usos de TAACs como sigue:
La ausencia de documentos de entrada o la falta de un rastro visible de auditoría puede requerir el uso de TAACs en la aplicación de procedimientos sustantivos y de cumplimiento.
La efectividad y eficiencia de los procedimientos de auditoría puede ser mejorada mediante el uso de TAACs.
El propósito de esta norma es proporcionar lineamientos en el uso de TAACs. Aplica a todos los usos de TAACs que impliquen una computadora de cualquier tipo o tamaño. Las consideraciones especiales que se refieren a entornos de computadora en negocios pequeños se discuten en el párrafo 24.
DESCRIPCION Las TAACs son programas y datos de computadora que el auditor usa como parte de
los procedimientos de auditoría para procesar datos importantes para la auditoría contenidos en los sistemas de información de una entidad. Los datos pueden ser datos de transacciones, sobre los que el auditor desea realizar pruebas de controles o procedimientos sustantivos, o pueden ser otros tipos de datos. Por ejemplo, los detalles de la aplicación de algunos controles generales pueden mantenerse en forma de archivos de texto u otros archivos por aplicaciones que no sean parte del sistema contable. El auditor puede usar TAACs para revisar dichos archivos para obtener evidencia de la existencia y operación de dichos controles. Las TAACs pueden consistir en programas de paquete, programas escritos para un propósito, programas de utilería o programas de administración del sistema. Independientemente del origen de los programas, el auditor ratifica que sean apropiados y su validez para fines de auditoría antes de usarlos:
• Los programas en paquete son programas generalizados de computadora diseñados para desempeñar funciones de procesamiento de datos, tales como leer datos, seleccionar y analizar información, hacer cálculos,
crear archivos de datos así como dar informes en un formato especificado por el auditor.• Los programas escritos para un propósito desempeñan tareas de auditoría
en circunstancias específicas. Estos programas pueden desarrollarse por el auditor, por la entidad que está siendo auditada o por un programador externo contratado por el auditor. En algunos casos el auditor puede
usar los programas existentes de una entidad en su estado original o modificados porque así puede ser más eficiente que desarrollar programas
independientes.
DISEÑO DE PRUEBA PARA UTILIZAR LAS TAAC
´S Antes de utilizar las TAAC’s el auditor debe diseñar la forma en
que se va a llevar a cabo el examen, mediante el establecimiento oportuno de los objetivos que busca el examen, establecer los sistemas de información críticos de la organización y la disponibilidad que se tiene para acceder a ellos, seleccionar los métodos y pruebas a realizarse durante la ejecución del examen, definir los reportes que se deberán generar como evidencias e informes de auditoria y otros procedimientos adicionales necesarios para la ejecución exitosa del examen. Es necesario tener mucho cuidado respecto a la confidencialidad de los datos y sistemas a los cuales acceda durante su revisión. Para ello, debe realizarse una adecuada planificación, selección y diseño de las técnicas y herramientas a utilizar, que permita tener una seguridad razonable sobre la efectividad, confiabilidad y confidencialidad de los resultados que se vayan a obtener durante el examen
Los pasos principales que debe tomar el auditor en la aplicación de una TAAC son:
(a) establecer el objetivo de aplicación de la TAAC;(b) determinar el contenido y accesibilidad de los archivos de la entidad;(c) identificar los archivos específicos o bases de datos que deben examinarse;(d) entender la relación entre las tablas de datos cuando deba examinarse una base de datos;(e) definir las pruebas o procedimientos específicos y transacciones relacionadas y saldos afectados;(f) definir los requerimientos de datos de salida;(g) convenir con el usuario y departamentos de CIS, si es apropiado, en las copias de los archivos relevantes o tablas de bases de datos que deben hacerse en la fecha y momento apropiado del corte;(h) identificar al personal que puede participar en el diseño y aplicación de la TAAC;(i) refinar las estimaciones de costos y beneficios;(j) asegurarse que el uso de la TAAC está controlado y documentado en forma apropiada;(k) organizar las actividades administrativas, incluyendo las habilidades necesarias e instalaciones de computación;(l) conciliar los datos que deban usarse para la TAAC con los registros contables;(m) ejecutar la aplicación de la TAAC; y(n) evaluar los resultados.
AUDITORIA DENTRO DEL COMPUTADOR
Auditoría dentro del computador implica el uso de TAAC’s para ayudar en diversas tareas de auditoría. Este enfoque es prácticamente obligatorio, ya que los datos son almacenados en medios informáticos y el acceso manual es casi imposible. Las TAAC’s son eficaces y ahorran tiempo.
DISPONIBILIDAD TAAC´S
El auditor deberá considerar la disponibilidad de las TAACs, instalaciones adecuadas de computación y los sistemas de información y datos necesarios basados en computadoras. El auditor puede planear el uso de otras instalaciones de computación cuando el uso de TAACs en una computadora de la entidad no es económico o no es factible, por ejemplo, a causa de una incompatibilidad entre el programa del paquete del auditor y la computadora de la entidad. Además, el auditor puede elegir usar sus propias instalaciones, como microcomputadoras o laptops.
Puede requerirse la cooperación del personal de la entidad para proporcionar las instalaciones de procesamiento en un horario cómodo, para ayudar con actividades como la carga y ejecución de las TAACs en el sistema de la entidad, y proporcionar copias de archivos de datos en el formato requerido por el auditor
APLICACIÓN DE LAS TAAC´S
En la Auditoría Informática Una de las ventajas más notorias de las TAAC’s es la versatilidad que estas presentan para la realización del trabajo de campo de la auditoría, (se pueden utilizar sin importar el tipo de organización, su tamaño, sus operaciones y sector del mercado). Para ello el auditor debe tener el suficiente discernimiento y experiencia profesional para establecer la técnica o herramienta a utilizar. El auditor dispone de una clasificación estandarizada respecto a las principales TAAC’s aplicadas por auditores de todo el mundo:
Técnicas Administrativas. Técnicas para evaluar los controles de Aplicaciones en
Producción. Técnicas para análisis de Transacciones. Técnicas para análisis de Datos. Técnicas para análisis de Aplicaciones.
TECNICAS ADMINISTRATIVAS
Permiten al auditor establecer el alcance de la revisión, definir las áreas de interés y la metodología a seguir para la ejecución del examen.
Seleccionan Áreas de Auditoría Mediante esta técnica, el auditor establece las aplicaciones críticas o módulos específicos dentro de dichas aplicaciones que necesitan ser revisadas periódicamente, que permitan obtener información relevante respecto a las operaciones normales del negocio. Esta técnica es muy utilizada por los auditores internos de empresas corporativas grandes o medianas con un alto volumen de transacciones y exige que el departamento de auditoría interna construya sus propios aplicativos (con la ayuda del departamento de sistemas), para que puedan realizar su trabajo de forma eficiente
TÉCNICAS PARA EVALUAR LOS CONTROLES DE APLICACIONES
EN PRODUCCIÓN Se orientan básicamente a verificar cálculos en aplicaciones
complejas, comprobar la exactitud del procesamiento en forma global y específica y verificar el cumplimiento de los controles preestablecidos. Método de Datos de Prueba Consiste en la elaboración de un conjunto de registros que sean representativos de una o varias transacciones que son realizadas por la aplicación que va a ser examinada, y que luego serán ingresadas en dicha aplicación para la verificación del procesamiento exitoso de los datos. Facilidad de Prueba Integrada (ITF) Similar a la de datos de prueba, con la diferencia de que en esta se trabajan con datos reales y ficticios. Simulación paralela Esta es una técnica en la que el auditor elabora, a través de lenguajes de programación o programas utilitarios avanzados, una aplicación similar a la que va a ser auditada, con el objetivo de ingresar simultáneamente la misma información en ambas aplicaciones para verificar la exactitud del procesamiento de datos de la aplicación en producción
TÉCNICAS PARA ANÁLISIS DE TRANSACCIONES.
Tienen como objetivo la selección y análisis de transacciones significativas de forma permanente, utilizando procedimientos analíticos y técnicas de muestreo. Archivo de revisión de auditoría como control del sistema (SCARF) consiste en el diseño de ciertas medidas de control para el procesamiento electrónico de los datos, para luego incorporarlos dentro de los aplicativos en producción (como rutinas huéspedes), con el objetivo de garantizar un control permanente de las transacciones realizadas. El resultado final será la generación de un archivo de datos que almacenará una réplica de los registros que hayan presentado anomalías.
TÉCNICAS PARA ANÁLISIS DE DATOS.
Están orientadas hacia el uso de programas informáticos especializados que le permiten al auditor, de forma eficiente y flexible, examinar la información que ha sido procesada electrónicamente a través de los sistemas de información, aplicativos o programas utilitarios. Programas generalizados de auditoría Es una de las técnicas de mayor desarrollo y aplicación en los últimos años. Se encuentran disponibles en el mercado, numerosos paquetes de auditoría con muy buen desempeño y flexibilidad en los tipos de archivos que pueden examinar. Los más conocidos y difundidos en nuestro medio son IDEA y ACL. Ventajas - Facilidad para el diseño de las pruebas de auditoría, flexibilidad en cuanto a los formatos de archivo y la adaptabilidad para manejar y presentar la información.
TÉCNICAS PARA ANÁLISIS DE APLICACIONES.
Poseen un grado mayor de complejidad respecto a su aplicación y grado de conocimiento técnico que debe poseer el auditor, pues se orientan hacia la evaluación del funcionamiento interno de las aplicaciones en producción y la forma en que estos procesan la información. Técnica de Imagen instantánea Consiste en obtener una imagen instantánea del procesamiento electrónico de datos en un momento determinado, a través de la identificación única de ciertas transacciones de interés para el auditor y que, mediante rutinas especiales, son seleccionadas para revisar el flujo que esta ha seguido dentro del sistema
DOCUMENTACION El estándar de papeles de trabajo y de procedimientos de
retención para una TAAC es consistente con el de la auditoría como un todo (ver NIA 230, “Documentación”).Los papeles de trabajo necesitan contener suficiente documentación para describir la aplicación de la TAAC, tal como:
a) Planeación• objetivos de la TAAC;• consideración de la TAAC especifica que se va a usar • controles que se van a ejercer; y• personal, tiempo, y costo.b) Ejecución• preparación de la TAAC y procedimientos de prueba y controles;• detalles de las pruebas realizadas por la TAAC;• detalles de datos de entrada, procesamiento y datos de salida; e• información técnica relevante sobre el sistema de contabilidad de la entidad, tal como la organización de archivos.futuros.
c) Evidencia de auditoría• datos de salida proporcionados;• descripción del trabajo de auditoría desarrollado en los datos de salida; y• conclusiones de auditoría.d) Otros• recomendaciones a la administración de la entidad,• además, puede ser útil documentar las sugerencias para usar la TAAC en años
INFORMES TAAC´S
La sección del informe donde se tratan los objetivos, la extensión y metodología debe incluir una clara descripción de los CAAT utilizados. Esta descripción no debe ser muy detallada, pero debe proporcionar una buena visión general al lector.
TIPOS DE HERRAMIENTAS
IDEA
Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar a cabo muestreos y extraer archivos de datos desde cualquier origen ordenadores centrales a PC, incluso reportes impresos. IDEA es reconocido en todo el mundo, como un estándar en comparaciones con otras herramientas de análisis de datos, ofreciendo una combinación única en cuanto a poder de funcionalidad y facilidad de uso.
ACL
Definición: (ACL: Access Control List - lista de control de acceso)
Es una herramienta TAAC enfocada al acceso de datos, análisis y reportes para auditores y profesionales financieros. ACL permite: 1. Análisis de datos para un completo aseguramiento. 2. Localiza errores y fraudes potenciales.3. Identifica errores y los controla. 4. Limpia y normaliza los datos para incrementar la
consistencia de los resultados. 5. Realiza un test analítico automático y manda una
notificación vía e-mail con el resultado.
AUTO AUDIT
Es un sistema completo para la automatización de la función de Auditoría, soportando todo el proceso y flujo de trabajo, desde la fase de planificación, pasando por el trabajo de campo, hasta la preparación del informe final. Además del manejo de documentos y papeles de trabajo en forma electrónica, Auto Audit permite seguir la metodología de evaluación de riesgos a nivel de entidad o de proceso, la planificación de auditorías y recursos, seguimiento de hallazgos, reportes de gastos y de tiempo, control de calidad, y cuenta con la flexibilidad de un módulo de reportes “ad hoc”. Todos estos módulos están completamente integrados y los datos fluyen de uno a otro automáticamente.
AUDIT CONTROL APL
Es una herramienta para asistir en la construcción de sistemas de gestión de riesgos y controles internos en los procesos de la cadena de valor y los sistemas de información de las empresas. Para este fin, utiliza la técnica de Autoevaluación del Control (CSA: Control Self Assessment) , también conocida con el nombre de Auto aseguramiento del Control (CSA: Control Self Assurance) . Desde la perspectiva administrativa, CSA asiste en la determinación de si la organización está satisfaciendo sus objetivos. Las ventajas claves de implementar un CSA incluyen la detección temprana de riesgos y el desarrollo de planes de acción concretos que salvaguarden los programas organizacionales contra riesgos del negocio significativos.
AUDIMASTER
AuditMaster de Pervasive, es una solución de supervisión de transacciones a nivel de base de datos. Este sistema controla e informa de toda la actividad que tiene lugar en una base de datos Pervasive.SQL. La tecnología de AuditMaster consiste en capturar las operaciones que se realizan en la base de datos y escribirlas en un archivo de registro. AuditMaster se divide en tres componentes: Gestor de eventos (Log event handler) Actúa como una especie de “caja negra” que captura y escribe en un registro de seguimiento todas las actividades que se llevan a cabo en la base de datos.
DELOS
Delos es un sistema experto que posee conocimientos específicos en materia de auditoría, seguridad y control en tecnología de información. Este conocimiento se encuentra estructurado y almacenado en una base de conocimiento y puede ser incrementado y/o personalizado de acuerdo con las características de cualquier organización y ser utilizado como una guía automatizada para el desarrollo de actividades específicas. Delos es una herramienta que fue diseñada pensando en empresas, organizaciones y profesionistas que deseen incrementar los beneficios derivados de la tecnología de información a través de actividades relacionadas con auditoría, seguridad y control en TI.
SOFTWARE DE AUDITORIA
El software de auditoría consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditoría, para procesar datos de importancia de auditoria del sistema de contabilidad de la entidad. Puede consistir en programas de paquete, programas escritos para un propósito, y programas de utilería. Independientemente de la fuente de los programas, el auditor deberá verificar su validez para fines de auditoria antes de su uso.
Los programas en paquete son programas
generalizados de computadora diseñados para desempeñar funciones de procesamiento de datos que in cluyen leer archivos de computadora, seleccionar información, realizar cálculos, crear archivos de datos e imprimir informes en un formato especi ficado por el auditor.
TIPOS DE SOFTWARE
Planning Advisor Página web: www.methodware.com
Este programa ayuda a automatizar el proceso de planeación de la auditoria. Utilizando este programa se puede identificar y clasificar las areas de mayor exposición mediante criterios de evaluación basados en riesgos. Esta herramienta se puede utilizar en combinación con el Pro audit. Advisor como herramienta de ejecución de la planeación. El progreso de toda la planificación de auditoria puede ser monitorizada en forma centralizada por Planning Advisor. CobiT Advisor Página web: www.methodware.com
Es un programa que automatiza el marco de referencia CobiT. Permite la definición del personal de trabajo en una auditoria, así como elegir el Dominio en el cual se trabajará es decir Planificación y Organización, Adquisición y Mantenimiento, Desarrollo y Soporte y Monitoreo, así como los subdominios o procesos por cada dominio. También se pueden definir los criterios y recursos de información que se evaluarán. Por cada proceso evaluado se tienen los objetivos de control y las guias de auditoría, así como su respectiva evaluación. Tiene la opción para adjuntar archivos como papeles de trabajo, muestra las evaluaciones en formato gráfico y permite generar reportes exportables a Word.
Enterprise Risk Assessor (ERA Lite) Página web: www.methodware.com
Es una herramienta para la gestión y control del riesgo, proporciona: Un sistema consistente de gestión de riesgos; Identificación específica de riesgos para la estrategia y contexto organizacional; Gestión para los planes de acción, y monitoreo mediante una base de datos; Evaluación de riesgos, controles y amenazas semi-cuantitativas, a través de análisis de consecuencias; Gráficos de análisis; Reportes de alta calidad alineados a los requerimientos individuales de los negocios ACL: (Audit Command/Control Language) Página web: www.acl.com
ACL (Lenguaje de Comandos de Auditoria) es un software para análisis y extracción de datos más usado en la actualidad. Con ACL los auditores y profesionales de los negocios pueden transformar grandes cantidades de datos electrónicos en un conocimiento comercial de valor. Es un software, poderoso y fácil de usar, le permite convertir datos en información significativa, lo cual le ayuda a alcanzar sus objetivos de negocios y agregar valor a su organización. Con ACL se podrá realizar la revisión de datos con una cobertura del 100% de los datos, esto significa que se pueden hacer auditorías para toda una población entera, y no para pequeñas muestras.
IDEA: (Interactive Data Extraction and Analisis) Página web: www.caseware.com
IDEAiii el que utiliza Price WaterhouseCoopers, es una herramienta de PC basada en la Interrogación de Archivos para ser utilizada por auditores, contadores, investigadores y personal de seguridad informática. Analiza los datos de diversas maneras y permite la extracción, el muestreo y la manipulación de datos para identificar errores, problemas, cuestiones específicas y tendencias.IDEA está diseñado para auditores internos y externos, aunque el uso del software es normalmente diferente. También es una valiosa herramienta para investigadores de fraude, contadores y administradores.
SQL SecureFabricado por BrainTree Security Software, es un conjunto de cuatro herramientas de software que administran todos los aspectos de seguridad y auditoría de la base de datos en ambientes cliente/servidor. Está compuesto de cuatro módulos:a) Password Manager, permite definir los estándares para la asignación de passwords.b) Audit Manager, para la administración completa de pistas y rastros de auditoría audit trail).
Gestor F1 Audisis Página web: www.yanapti.comConcentra funcionalidades tanto de gestión de auditoria como de análisis vautomatizado de datos, en general se puede realizar lo siguiente:• Análisis de Base de Datos• Planificación de equipos de Auditoría de Sistemas y Seguridad: COBIT, ISO 17799/27001, COSO• Control de asignaciones• Gestión de Riesgos• Conexiones ODBC• Módulo de seguridad de accesos y privilegios para usuarios• Pistas de Auditoria• Funcionamiento de la herramienta tanto en Intranet como Internet
TeamMateix el que usa Price WaterhouseCoopers, es un facilitador del desarrollo secuencial de la auditoría. Este a su vez facilita la labor de documentación de todas las tareas efectuadas en el proceso de auditoría. Por tanto, TeamMate es un sistema de “archivo electrónico”, una herramienta fundamental para documentar auditorías de diferentes alcances, ayudando a la aplicación de estándares tanto en la documentación como en la revisión. Adicionalmente facilita la generación de informes de auditoría. TeamMate es usado por más de 14,000 auditores en 275 países alrededor del mundo.
ANALISIS DE LA APLICACIÓN TAAC´S
DATOS DE PRUEBA
EFECTIVIDAD Y EFICIENCIA
La efectividad y eficiencia de los procedimientos de auditoría pueden mejorarse usando las TAACs para obtener y evaluar la evidencia de auditoría. Las TAACs son a menudo un medio eficiente de poner a prueba un gran número de transacciones o controles sobre grandes volúmenes por medio de:• analizar y seleccionar muestras de un gran volumen de transacciones;• aplicar procedimientos analíticos; y• desarrollar procedimientos sustantivos.
Los asuntos relacionados con la eficiencia que pueden ser considerados por el auditor incluyen:• el tiempo para planear, diseñar, ejecutar y evaluar la TAAC; • revisión técnica y horas de asistencia;• diseño e impresión de formas (por ejemplo, confirmaciones); y• disponibilidad de recursos de computación.
Al evaluar la efectividad y eficiencia de una TAAC, el auditor puede considerar el uso continuo de la aplicación de la TAAC. La planeación inicial, diseño y desarrollo de una TAAC generalmente beneficiará a las auditorías de períodos posteriores.
NORMAS RELACIONADAS
ISA/NIA 15(401): Auditoria en un ambiente de sistemas de información por computadora
ISA/NIA 16(1009): Técnicas de auditoria con ayuda de computadora (TAACs) - Computer
Asistes Audit Techniques. (CAATs) ISA/NIA 18(620): Uso del trabajo de un experto SAS 94: The Effect of Information Technology on the Auditor's
Consideration of Internal Control in a Financial Statement audit Declaración 1: Entornos PED – Microcomputadoras
independientes Declaración 2: Entornos PED – Sistemas de computadoras en
línea Declaración 3: Entorno PED – Sistemas de Base de Datos Addendum 1 a NIA 6: Evaluación de riesgos y control interno –
características y consideraciones de PED
GRACIAS