taacs pruebas de auditoria alrededor del or

5/9/2018 TAACs Pruebas de Auditoria Alrededor Del or - slidepdf.com

http://slidepdf.com/reader/full/taacs-pruebas-de-auditoria-alrededor-del-or 1/47

CAPITULO I

1.1. SISTEMAS DE INFORMACIÓN

Es el conjunto de elementos y procedimientos íntimamente ligados, interactuando

entre sí y con las demás partes de la organización a la que pertenecen (el sistema

mayor), llevan a cabo el proceso de captación de datos y entrega de información

con el objeto de proporcionar los conocimientos necesarios a las personas

indicadas, para que puedan decidir la actitud más adecuada a tomar frente a

determinadas alternativas o circunstancias.

1.1.1 INFORMACIÓN Y DATOS

En sistemas los datos son la materia prima de la cual se deriva la

información. Los datos son señales, hechos, cifras, palabras, símbolos o

gráficas que representan una idea, objeto, condición o situación, pero que

no afecta el comportamiento.

La información es el conjunto de datos seleccionados y organizados conrespecto al usuario. La conversión de datos a información es la principal

función del procesamiento de datos, sea este manual, mecánico o

electrónico.

La disponibilidad de datos e información en una empresa es de vital

importancia, se compara con el torrente sanguíneo en el cuerpo humano.

1.1.2 CICLO DE VIDA DE LOS DATOS

Los datos, dentro del sistema de información, tienen su propio ciclo vital.

Tres aspectos de este ciclo son especialmente importantes para el

desarrollo, diseño y operación de los sistemas:

¿Cómo se generan los datos?

¿Qué clase de manipulación o procesamiento de datos se lleva a cabo?



2

¿Cómo se lleva a cabo la comunicación de información, el almacenamiento

y la recuperación de datos?

En el siguiente diagrama se presenta el ciclo vital de los datos:

– Generación: Es el resultado de algún fenómeno del ambiente o de la

compañía, se observa y registra

– Almacenamiento: Por lo menos brevemente se guarda el dato, en la

mente del hombre, en un documento o en un dispositivo de alguna clase,

hasta que el dato pueda aplicarse o utilizarse.

– Recuperación: Consiste en la conversión del dato de un código inteligiblepara el usuarios, generalmente presentados en reporte.

– Valoración: El valor de los datos depende de su exactitud, confiabilidad y

oportunidad. También hay el aspecto económico, toda vez que el

almacenamiento tiene un costo, por lo que hay que vigilar constantemente

los archivos de daros para eliminar los que sean inútiles.

– Transportación: Los datos se transportan constantemente de la fuente alalmacenamiento, al procesamiento, al usuario y al almacenamiento. (las

flechas).

– Distribución: Antes de hacer llegar a los usuarios, pueden o no ocurrir dos

sub-fases: La reproducción y la clasificación.

– Reproducción: Cuando del almacenamiento en algún medio debe

reproducirse otro.

– Clasificación: A menudo los datos se acumulan en forma aleatoria y hay

que acomodarlos para que sean útiles.



3

– Manipulación: Cambios en los datos cuantitativos, mediante sumas,

restas, otros cálculos, para cambiarlos de forma o para ampliar su

significado mediante fórmulas o ecuaciones.

– Síntesis: El conjunto de muchos trozos de datos, para estructurar un todo

significativo o un informe completo, es algo que requiere sintetizar todo

aquello.

– Destrucción: Los registros de datos pueden volver a almacenarse, o bien

destruirse, después de su valoración o su uso. La destrucción de los

registros de datos puede llevarse a cabo por rutina, después de usarlos una

vez, o puede ocurrir durante la revisión de los registros antiguos.

El problema práctico más importante del ciclo vital de los datos, es el de

almacenamiento y recuperación. El campo rápidamente creciente de los sistemas

de información, se basa en la determinación de lo que hay que almacenar, de lo

que hay que recuperar, y de la forma de recuperar información (los datos que son

significativos para las tareas administrativas), en el momento apropiado.

La información “es el fluido vital de toda compañía y la materia prima básica en eltoma de decisiones, resolución de problemas y análisis de oportunidades”.1

CAPÍTULO II

2.1. TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR (TAACs)

1 Revista Dirección y Control, México 1979, pag,21)



4

Las Técnicas de Auditoría Asistidas por Computador ( TAAC’s) son un conjunto

de técnicas y herramientas utilizados en el desarrollo de las auditorias

informáticas con el fin de mejorar la eficiencia, alcance y confiabilidad de los

análisis efectuados por el auditor, a los sistemas y los datos de la entidad

auditada.

Incluyen métodos y procedimientos empleados por el auditor para efectuar su

trabajo y que pueden ser administrativos, analíticos, informáticos, entre otros; y,

los cuales, son de suma importancia para el auditor informático cuando este

realiza una auditoría.

El uso de los TAAC’s le permiten al auditor obtener suficiente evidencia confiablesobre el cual, sustentar sus observaciones y recomendaciones, lo que obliga al

auditor a desarrollar destrezas especiales en el uso de estas técnicas, tales como:

mayores conocimientos informáticos, discernimiento en el uso adecuado de las

herramientas informáticas y analíticas, eficiencia en la realización de los análisis,

etc.; sin dejar a un lado las técnicas tradicionales de auditoría como son la

inspección, observación, confirmación, revisión, entre otros.

2.2. Auditoría asistida por computadora

La norma SAP 1009 (Statement of Auditing Practice) denominada Computer

Assisted Audit Techniques (CAATs) o Técnicas de Auditoría Asistidas por

Computador (TAAC's), plantea la importancia del uso de TAAC’s en la auditoría

de sistemas y las define como programas de computador y datos que el auditor

usa como parte de los procedimientos de auditoría para procesar datos de

significancia en un sistema de información.

–RETIRADA- SAS No. 94 (The Effect of Information Technology on the Auditor's

Consideration of Internal Control in a Financial Statement audit) indica que una

organización que usa Tecnologías de Información IT, se puede ver afectada en



5

uno de los 5 componentes del control interno: El ambiente de control, evaluación

de riesgos, actividades de control, información, comunicación y monitoreo además

de la forma en que se inicializan, registran, procesan y reporta las transacciones.

A continuación se presentan las Normas Internacionales de Auditoría que hacen

mención a las Técnicas de Auditoria Asistidas por Computador:

NIA 330 – Procedimientos en Respuesta a Riesgos Evaluados

El uso de Técnicas de Auditoría con Ayuda de Computadora (TAAC's) puede

posibilitar pruebas más extensas de las transacciones electrónicas y archivos de

cuentas.

Estas técnicas pueden usarse para seleccionar transacciones de muestra de los

archivos electrónicos clave, para escoger transacciones con característicasespecíficas o para pruebas de toda una población en lugar de una muestra.

NIA 500 – Evidencia de Auditoría

En algunas situaciones el auditor puede determinar que se necesitan

procedimientos adicionales de auditoría. Estos, por ejemplo, pueden incluir usar

Técnicas de Auditoría con Ayuda de Computadora (TAAC's) para volver a calcular

la información.

Las TAAC's pueden ser usadas en:

Pruebas de detalles de transacciones y balance (Recálculos de

intereses, extracción de ventas por encima de cierto valor, etc.)

Procedimientos analíticos: por ejemplo identificación de inconsistencias o

fluctuaciones significativas.

Pruebas de controles generales: tales como configuraciones en sistemas

operativos, procedimientos de acceso al sistema, comparación de códigos

y versiones.

Programas de muestreo para extractar datos.

Pruebas de control en aplicaciones.

Recálculos



6

2.3. El Proceso De Auditoría De La Información

a. Si los controles computarizados son débiles o no existen, los auditores

necesitarán realizar más pruebas sustantivas.

– Las pruebas sustantivas son pruebas de detalle de transacciones y

de balance de cuentas.

a. Las pruebas de cumplimiento son realizadas para asegurar que los

controles están establecidos y trabajan correctamente.

– Esto puede implicar el uso de las Técnicas de Auditoría Asistidas

por Computador (TAAC’s).

2.4. Diseño De Pruebas Para La Utilización De Las TAAC’s

• Antes de utilizar las TAAC’s el auditor debe diseñar la forma en que se va a

llevar a cabo el examen, mediante el establecimiento oportuno de los

objetivos que busca el examen, establecer los sistemas de información

críticos de la organización y la disponibilidad que se tiene para acceder a

ellos, seleccionar los métodos y pruebas a realizarse durante la ejecución

del examen, definir los reportes que se deberán generar como evidencias einformes de auditoria y otros procedimientos adicionales necesarios para la

ejecución exitosa del examen.

• Es necesario tener mucho cuidado respecto a la confidencialidad de los

datos y sistemas a los cuales acceda durante su revisión. Para ello, debe

realizarse una adecuada planificación, selección y diseño de las técnicas y

herramientas a utilizar, que permita tener una seguridad razonable sobre la

efectividad, confiabilidad y confidencialidad de los resultados que se vayan

a obtener durante el examen.

2.5. Auditando Alrededor Del Computador



7

• Auditoría alrededor del computador asume que a través de la presencia de

salidas exactas se verifica el correcto procesamiento de las operaciones.

• Este tipo de auditoría presta poca o ninguna atención a los procesos de

control dentro del ambiente de TI.

• Generalmente no es un enfoque efectivo para llevar a cabo una auditoría

de un ambiente computarizado.

• Cuando se audita a través del computador, el auditor sigue las pistas de

auditoría a través de la fase de operaciones internas o proceso

automatizado de datos.

• Los intentos de verificación de los procesos de control involucran el uso de

Programas de SI.

• Los enfoques primarios son:1) Programas de testeo,

2) Programas computarizados de validación

3) Software de revisión de sistemas

4) Auditoría continúa.

2.6. Auditoría Dentro Del Computador

Auditoría dentro del computador implica el uso de TAAC’s para ayudar endiversas tareas de auditoría.

Este enfoque es prácticamente obligatorio, ya que los datos son almacenados en

medios informáticos y el acceso manual es casi imposible. Las TAAC’s son

eficaces y ahorran tiempo.

2.7. Aplicación de TAAC's en la Auditoría Informática

Una de las ventajas más notorias de las TAAC’s es la versatilidad que estas

presentan para la realización del trabajo de campo de la auditoría, (se pueden

utilizar sin importar el tipo de organización, su tamaño, sus operaciones y sector

del mercado).



8

Para ello el auditor debe tener el suficiente discernimiento y experiencia

profesional para establecer la técnica o herramienta a utilizar.

El auditor dispone de una clasificación estandarizada respecto a las principales

TAAC’s aplicadas por auditores de todo el mundo:

Técnicas Administrativas.

Técnicas para evaluar los controles de Aplicaciones en Producción.

Técnicas para análisis de Transacciones.

Técnicas para análisis de Datos.

Técnicas para análisis de Aplicaciones.

2.7.1 Técnicas Administrativas

Permiten al auditor establecer el alcance de la revisión, definir las áreas de interésy la metodología a seguir para la ejecución del examen.

2.7.2 Selección de Áreas de Auditoría

Mediante esta técnica, el auditor establece las aplicaciones críticas o módulos

específicos dentro de dichas aplicaciones que necesitan ser revisadas

periódicamente, que permitan obtener información relevante respecto a las

operaciones normales del negocio.

Esta técnica es muy utilizada por los auditores internos de empresas corporativasgrandes o medianas con un alto volumen de transacciones y exige que el

departamento de auditoría interna construya sus propios aplicativos (con la ayuda

del departamento de sistemas), para que puedan realizar su trabajo de forma

eficiente.

a. Modelaje

Esta técnica es muy similar a la técnica de Selección de Áreas de Auditoria, cuya

diferencia radica en los objetivos y criterios de selección de las áreas de interés;

ya que esta técnica tiene como objetivo medir la gestión financiera de la

organización y todo lo que ello involucra.

b. Sistema de puntajes



9

A través de esta técnica el auditor selecciona las aplicaciones críticas de la

organización de acuerdo a un análisis de los riesgos asociados a dichas

aplicaciones y que están directamente relacionadas con la naturaleza del negocio

mediante asignarle a cada riesgo un puntaje de ocurrencia, de tal forma que sean

examinadas detalladamente aquellas aplicaciones con mayor nivel de

vulnerabilidad ante posibles riesgos.

c. Software de Auditoría Multisitio

Se basa sobre el mismo concepto de los sistemas distribuidos, en el que una

organización con varias sucursales u oficinas remotas, dispone de un software de

auditoria capaz de ser utilizado en dichas sucursales y a la vez, pueda actualizar y

almacenar la información resultante en una base de datos principal, generalmenteubicada en la matriz de la organización.

d. Centros de competencia

Consiste en centralizar la información que va a ser examinada por el auditor, a

través de la designación de un lugar específico que recibirá los datos

provenientes de todas las sucursales remotas y que luego serán almacenadas,

clasificadas y examinadas por el software de auditoria.

2.7.3 Técnicas para evaluar los controles de Aplicaciones en Producción

Se orientan básicamente a verificar cálculos en aplicaciones complejas,

comprobar la exactitud del procesamiento en forma global y específica y verificar

el cumplimiento de los controles preestablecidos.

a. Método de Datos de Prueba

Consiste en la elaboración de un conjunto de registros que sean representativos

de una o varias transacciones que son realizadas por la aplicación que va a ser



10

examinada, y que luego serán ingresadas en dicha aplicación para la verificación

del procesamiento exitoso de los datos.

b. Facilidad de Prueba Integrada (ITF)

Similar a la de datos de prueba, con la diferencia de que en esta se trabajan con

datos reales y ficticios.

c. Simulación paralela

Esta es una técnica en la que el auditor elabora, a través de lenguajes de

programación o programas utilitarios avanzados, una aplicación similar a la que

va a ser auditada, con el objetivo de ingresar simultáneamente la misma

información en ambas aplicaciones para verificar la exactitud del procesamientode datos de la aplicación en producción.

2.7.4 Técnicas para Análisis de Transacciones

Tienen como objetivo la selección y análisis de transacciones significativas de

forma permanente, utilizando procedimientos analíticos y técnicas de muestreo.

Archivo de revisión de auditoría como control del sistema (SCARF)

Consiste en el diseño de ciertas medidas de control para el procesamiento

electrónico de los datos, para luego incorporarlos dentro de los aplicativos en

producción (como rutinas huéspedes), con el objetivo de garantizar un control

permanente de las transacciones realizadas.

El resultado final será la generación de un archivo de datos que almacenará una

réplica de los registros que hayan presentado anomalías.

Archivo de revisión de auditoría por muestreo (SARF)

Esta es una técnica muy utilizada por los auditores externos y consiste en la

definición de ciertos parámetros de selección de registros utilizando muestreo,

para luego analizarlos detalladamente.



11

Registros Extendidos

Técnica muy particular y útil para los auditores que han desarrollado ciertas

destrezas en el análisis de datos; y, consiste en la conservación histórica de todos

los cambios que haya sufrido una transacción en particular, convirtiéndose en un

LOG de auditoría.

2.7.5 Técnicas para el Análisis de Datos

Están orientadas hacia el uso de programas informáticos especializados que le

permiten al auditor, de forma eficiente y flexible, examinar la información que ha

sido procesada electrónicamente a través de los sistemas de información,

aplicativos o programas utilitarios.

Programas Generalizados de Auditoría

Es una de las técnicas de mayor desarrollo y aplicación en los últimos años. Se

encuentran disponibles en el mercado, numerosos paquetes de auditoría con muy

buen desempeño y flexibilidad en los tipos de archivos que pueden examinar. Los

más conocidos y difundidos en nuestro medio son IDEA y ACL.

Ventajas - Facilidad para el diseño de las pruebas de auditoría, flexibilidad en

cuanto a los formatos de archivo y la adaptabilidad para manejar y presentar lainformación.

Programas de auditoría a la medida

Programas desarrollados especialmente para el análisis de datos de un sistema

de información en particular, cubriendo todas las funciones y características que

este posea, de acuerdo a los objetivos del auditor.

Pueden ser desarrollados directamente por el auditor con la ayuda del personal

de informática de la organización o viceversa, de acuerdo al grado de complejidad

que tenga el sistema de auditoría a ser desarrollado.

Programas Utilitarios



12

Son programas estandarizados para la ejecución de actividades muy diversas

para el manejo de la información, gestión de documentos, realización de cálculos

matemáticos y estadísticos, almacenamiento de datos y control de proyectos, etc.;

los cuales, son muy utilizados por los auditores durante la ejecución de todo el

proceso de auditoría.

2.7.6 Técnicas para el Análisis de Aplicaciones

Poseen un grado mayor de complejidad respecto a su aplicación y grado de

conocimiento técnico que debe poseer el auditor, pues se orientan hacia la

evaluación del funcionamiento interno de las aplicaciones en producción y la

forma en que estos procesan la información.

a. Técnica de Imagen instantánea

Consiste en obtener una imagen instantánea del procesamiento electrónico de

datos en un momento determinado, a través de la identificación única de ciertas

transacciones de interés para el auditor y que, mediante rutinas especiales, son

seleccionadas para revisar el flujo que esta ha seguido dentro del sistema.

b. Técnica de Mapeo

Utilizada para medir la eficiencia de ejecución de las rutinas que integran elsistema, a través de la utilización de programas especializados para dicho fin que

mediante reportes presentan las veces en que se ejecutan las rutinas

implementadas y el tiempo que le ha tomado al procesador ejecutarlas.

Pueden determinar las rutinas que no han sido utilizadas y aquellas que

posiblemente han sido incorporadas con fines fraudulentos.

c. Técnica de Rastreo

Mediante esta técnica se establece el orden en que han sido ejecutadas las

rutinas durante una determinada transacción, lo cual permite evaluar si el orden

secuencial en que se va ejecutando cada una de las etapas del procesamiento

electrónico de datos coincide con los procesos institucionales preestablecidos.



13

2.7. 7 Análisis Lógico de las Aplicaciones

Esta técnica consiste en la revisión del programa de acuerdo a las

especificaciones técnicas y operativas presentadas en los Manuales de Diseño y

Usuario, que permita identificar errores o inconsistencia

El auditor debe poseer un alto grado de comprensión sobre la lógica del programa

y de los manuales que lo acompañan; pero para ello, el auditor debe estar

plenamente convencido de que los manuales del programa están adecuadamente

elaborados y libres de errores significativos.

2.8 Ventajas del Uso de las Técnicas de Auditoría Asistidas por

Computadora (TAAC)

Incrementan o amplían el alcance de la investigación y permiten realizar

pruebas que no pueden efectuarse manualmente;

Incrementan el alcance y calidad de los muestreos, verificando un gran

número de elementos;

Elevan la calidad y fiabilidad de las verificaciones a realizar;

Reducen el período de las pruebas y procedimientos de muestreos a un

menor costo;

Garantizan el menor número de interrupciones posibles a la entidadauditada;

Brindan al auditor autonomía e independencia de trabajo;

Permiten efectuar simulaciones sobre los procesos sujetos a examen y

monitorear el trabajo de las unidades;

Realizar un planeamiento a priori sobre los puntos con potencial violación

del Control Interno;

Disminución considerable del riesgo de no-detección de los problemas;

Posibilidad de que los auditores actuantes puedan centrar su atención en

aquellos indicadores que muestren saldos inusuales o variaciones

significativas, que precisan de ser revisados como parte de la auditoría;

Elevación de la productividad y de la profundidad de los análisis realizados

en la auditoría;



14

Posibilidad de rescatar valor en el resultado de cada auditoría;

Elevación de la autoestima profesional del auditor, al dominar técnicas de

punta que lo igualan al desarrollo de la disciplina.

2.9. Análisis de la aplicación de CAAT

a. Estudio Del Costo Beneficio

b. Costos Indirectos

c. Costos De Oportunidad

d. Diagnóstico Del Personal

1 Elaboración de planes de tra

2 Elaboración de cuestionario3 Trabajo de campo.

4 Control de actividades a real

Evaluación de la problemática d

un sistema informático.

Elaboración de papeles de traba

ACTIVI

2.9.1 Planificación de CAAT



p p

15

Considerar una combinación apropiada de las técnicas manuales y las técnicas

de auditoría asistidas por computadora. Cuando se determina utilizar CAAT los

factores a considerar son los siguientes:

• Conocimientos computacionales, pericia y experiencia del auditor de

sistemas de información.

• Disponibilidad de los CAAT y de los sistemas de información.

• Eficiencia y efectividad de utilizar los CAAT en lugar de las técnicas

manuales

• Restricciones de tiempo

Pasos más importantes que el auditor debe considerar cuando prepara la

aplicación de los CAAT seleccionados son los siguientes:• Establecer los objetivos de auditoría de los CAAT: Determinar

accesibilidad y disponibilidad de los sistemas de información, los

programas/sistemas y datos de la organización.

• Definir los procedimientos a seguir (por ejemplo: una muestra

estadística, recálculo, confirmación, etc.).

• Definir los requerimientos de output.

• Determinar los requerimientos de recursos.

• Documentar los costos y los beneficios esperados.• Obtener acceso a las facilidades de los sistemas de información de la

organización, sus programas/sistemas y sus datos.

• Documentar los CAAT a utilizar incluyendo los objetivos, flujogramas de

alto nivel y las instrucciones a ejecutar.

• Acuerdo con el cliente (auditado): Los archivos de datos, tanto como los

archivos de operación detallados (transaccionales, por ejemplo), a menudo

son guardados sólo por un período corto, por lo tanto, el auditor de

sistemas de información debe arreglar que estos archivos sean guardados

por el marco de tiempo de la auditoría.

• Organizar el acceso a los sistemas de información de la organización,

programas/sistemas y datos con anticipación para minimizar el efecto en el

ambiente productivo de la organización



16

Evaluar el efecto que los cambios a los programas/sistemas de producción

-cambios en la integridad y utilidad de los CAAT- (integridad de los

programas/sistemas y los datos utilizados)

2.9.2 Utilizar CAAT (realización de auditoría)

Cuando se toma la decisión de hacer una auditoría de sistemas con al ayuda de

CAAT es importante tomar en cuenta los pasos que a continuación se describen.

El auditor debe:

1. Realizar una conciliación de los totales de control.

2. Realizar una revisión independiente de la lógica de los CAAT3. Realizar una revisión de los controles generales de los sistemas de

información de la organización que puedan contribuir a la integridad de los

CAAT (por ejemplo: controles de los cambios en los programas y el acceso

a los archivos de sistema, programa y/o datos).

2.9.3 TIPOS DE SOFTWARE

a. Paquete de Auditoría.• Son programas generalizados de computadora diseñados para

desempeñar funciones de procesamiento de datos que incluyen leer bases

de datos, seleccionar información, realizar cálculos, crear archivos de datos

e imprimir informes en un formato especificado por el auditor.

• Son usados para control de secuencias, búsquedas de registros, detección

de duplicaciones, detección de gaps, selección de datos, revisión de

operaciones lógicas y muestreo, algunos de ellos son el IDEA, ACL, etc.

a. Software para un propósito específico o diseñado a la medida.

• Son programas de computadora diseñados para desempeñar tareas de

auditoría en circunstancias específicas. Estos programas pueden ser

desarrollados por el auditor, por la entidad, o por un programador externo



17

contratado por el auditor. Por ejemplo programas que permitan generar

check-list adaptados a las características de la empresa y de los objetivos

de la auditoría.

a. Los programas de utilería.

• Son usados por la organización auditada para desempeñar funciones

comunes de procesamiento de datos, como clasificación, creación e

impresión de archivos. Como por ejemplo planillas de cálculo,

procesadores de texto, etc.

a. Los programas de administración del sistema.

Son herramientas de productividad sofisticadas que son típicamente parte de lossistemas operativos sofisticados, por ejemplo software para recuperación de

datos o software para comparación de códigos.

Como en el caso anterior estas herramientas no son específicamente diseñadas

para usos de auditoría.

Existen en el mercado una gran variedad de este tipo de herramientas como por

ejemplo los que permiten controlar las versiones de un sistema.

b. Rutinas de Auditoría en Programas de aplicación.Módulos especiales de recolección de información incluidos en la aplicación y

diseñados con fines específicos. Se trata de módulos que permiten obtener pistas

de auditora en muchos casos generados a través de trigers programados en las

propias bases de datos.

2.9.4 Documentación de CAAT

Una descripción del trabajo realizado, seguimiento y las conclusiones acerca de

los resultados de los CAAT deben estar registrados en los papeles de trabajo de

la auditoría.



18

Las conclusiones acerca del funcionamiento del sistema de información y de la

confiabilidad de los datos también deben estar registrados en los PT’s de la

auditoría.

El proceso paso a paso de los CAAT debe estar documentado adecuadamente

para permitir que el proceso se mantenga y se repita por otro auditor de sistemas

de información.

Los PT’s deben contener la documentación suficiente para describir la aplicación

de los CAAT incluyendo los detalles como:

• Planificación

• Los objetivos de los CAAT

• Los CAAT a utilizar

• Los controles a implementar • El personal involucrado, el tiempo que tomará y los costos.

La documentación debe incluir:

• Los procedimientos de la preparación y la prueba de los CAAT y los

controles relacionados.

• Los detalles de las pruebas realizadas por los CAAT.

• Los detalles de los input (ejemplo: los datos utilizados, esquema de

archivos), el procesamiento (ejemplo: los flujogramas de alto nivel de losCAAT, la lógica).

• Evidencia de auditoría: el output producido (ejemplo: archivos log,

reportes).

• Resultado de la auditoría.

• Conclusiones de la auditoría.

• Las recomendaciones de la auditoría.

2.9.5 Informe/reporte descripción de los CAAT

La sección del informe donde se tratan los objetivos, la extensión y metodología

debe incluir una clara descripción de los CAAT utilizados.



19

Esta descripción no debe ser muy detallada, pero debe proporcionar una buena

visión general al lector. La descripción de los CAAT utilizados también debe ser

incluida en el informe donde se menciona el hallazgo específico relacionado con

el uso de los CAAT.

Si se puede aplicar la descripción de los CAAT a varios hallazgos o si es

demasiado detallado debe ser descrito brevemente en la sección del informe

donde se tratan los objetivos, extensión y metodología y una referencia anexa

para el lector, con una descripción más detallada.

2.9.6 Tipos de herramientas CAAT

• IDEA

Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar

a cabo muestreos y extraer archivos de datos desde cualquier origen ordenadores

centrales a PC, incluso reportes impresos.IDEA es reconocido en todo el mundo, como un estándar en comparaciones con

otras herramientas de análisis de datos, ofreciendo una combinación única en

cuanto a poder de funcionalidad y facilidad de uso.

Áreas de uso de la herramienta

Auditoría externa de estados financieros.

• Precisión: comprobación de cálculos y totales.

• Revisión analítica: comparaciones, perfiles, estadísticas.



20

• Validez: duplicados, excepciones, muestreos estadísticos.

• Integridad: omisiones y coincidencias.

• Cortes: análisis secuencial de fechas y números.

• Valuación: provisiones de inventario.

Auditoría interna.

• Conformidad de políticas.

• Valor del dinero.

• Pruebas de excepción.

• Análisis.

• Comparaciones y coincidencias.

Detección de fraudes.

• Compras y pagos: validación de proveedores, análisis contables.

• Nómina: coincidencias cruzadas, cálculos.

• Lavado de dinero: valores elevados, cifras redondeadas, movimientos

frecuentes.

• Informes y análisis de gestión.

• Transferencias de archivos.

• Bancos e instituciones financieras.• Industrias.

• Organizaciones de ventas al por menor.

• Entes gubernamentales (prestadores de ayudas y beneficios).

• ACL

Es una herramienta CAAT enfocada al acceso de datos, análisis y reportes para

auditores y profesionales financieros.

No es necesario ser un especialista en el uso de CAAT.



21

Posee una poderosa combinación de accesos a datos, análisis y reportes

integrados, ACL lee y compara los datos permitiendo a la fuente de datos

permanecer intacta para una completa integridad y calidad de los mismos.

ACL permite:

• Análisis de datos para un completo aseguramiento.

• Localiza errores y fraudes potenciales.

• Identifica errores y los controla.

• Limpia y normaliza los datos para incrementar la consistencia de los

resultados.

• Realiza un test analítico automático y manda una notificación vía e-mail

con el resultado.• Brinda una vista de la información de la organización y habilita

directamente el acceso a búsquedas de cualquier transacción, de cualquier

fuente a través de cualquier sistema.

• Ahorra tiempo y reduce la necesidad de requerimiento de información a

departamentos de TI muy ocupados

• Acceso a diversos tipo de datos con facilidad.

• Tiene un tamaño ilimitado en el monitoreo de datos y puede procesar

rápidamente millones de transacciones de datos ya que permite leer masde 10,000 y hasta 100,000 registros por segundo.

• Los resultados se pueden ver fácilmente y entenderlos en formatos

tabulares, posee graficas precargadas, también posee un log de actividad

de los registros, que permite analizar y comprar registros pasados con los

nuevos, posee vistas de reportes precargados de Crystal Reports.

• AUTO AUDIT

Es un sistema completo para la automatización de la función de Auditoría,

soportando todo el proceso y flujo de trabajo, desde la fase de planificación,

pasando por el trabajo de campo, hasta la preparación del informe final.



22

Además del manejo de documentos y papeles de trabajo en forma electrónica,

Auto Audit permite seguir la metodología de evaluación de riesgos a nivel de

entidad o de proceso, la planificación de auditorías y recursos, seguimiento de

hallazgos, reportes de gastos y de tiempo, control de calidad, y cuenta con la

flexibilidad de un módulo de reportes “ad hoc”. Todos estos módulos están

completamente integrados y los datos fluyen de uno a otro automáticamente.

Beneficios

• Eficiencia en el trabajo -Aumenta la eficiencia en la conducción de la

evaluación de riesgos y planificación anual.

• Base de conocimiento - Acceso inmediato a toda la documentación deauditorías pasadas, en ejecución o planeadas.

• Flexibilidad - Permite que los auditores puedan trabajar en lugares

distantes con sus réplicas locales de la auditoría en curso y su posterior

sincronización a la base de datos centralizada.

• Estandarización y control - Garantiza el seguimiento de metodologías de

trabajo de acuerdo a las mejores prácticas de la organización con el uso de

una biblioteca de documentos estándares (memoranda, programas,

papeles de trabajo, cuestionarios, evaluaciones, informe final y otros).• Adaptabilidad - Provee una herramienta de reportes “ad hoc” para la

generación de informes, tablas y gráficos con los formatos requeridos para

el Comité de Auditoría o Auditor General.

• Comunicación - Mejora la comunicación con los auditados en el

seguimiento de los hallazgos y planes de acción.

• Reducción de costos y aprovechamiento del recurso más valioso (el

auditor) - Se reducen los costos y el tiempo de documentación y revisión

de papeles, logrando invertir más tiempo en la auditoría, añadiendo valor al

trabajo.

• Seguridad y confidencialidad - Permite la creación de usuarios

definiendo perfiles según su rol dentro de la auditoría para controlar el

acceso de documentos e integridad de la información.



23

• Integración con ACL - Es posible integrar los procesos de análisis de

datos que se efectúan con ACL en los papeles de trabajo de Auto Audit .

a. AUDITCONTROL APL (AUDISIS)

Es una herramienta para asistir en la construcción de sistemas de gestión de

riesgos y controles internos en los procesos de la cadena de valor y los sistemas

de información de las empresas. Para este fin, utiliza la técnica de Autoevaluación

del Control (CSA: Control Self Assessment), también conocida con el nombre de

Autoaseguramiento del Control (CSA: Control Self Assurance).

Desde la perspectiva administrativa, CSA asiste en la determinación de si la

organización está satisfaciendo sus objetivos. Las ventajas claves de implementar

un CSA incluyen la detección temprana de riesgos y el desarrollo de planes deacción concretos que salvaguarden los programas organizacionales contra

riesgos del negocio significativos.

La metodología AUDICONTROL APL fue creada para apoyar el trabajo de:

Analistas y Desarrolladores de Sistemas.

Departamentos de Organización y Métodos.

Auditores de Sistemas.

Departamentos de Control Interno. Administradores de Seguridad en Procesamiento electrónico de datos.

Administradores de Riesgos.

• AUDIMASTER

AuditMaster de Pervasive, es una solución de supervisión de transacciones a

nivel de base de datos. Este sistema controla e informa de toda la actividad que

tiene lugar en una base de datos Pervasive.SQL.

La tecnología de AuditMaster consiste en capturar las operaciones que se

realizan en la base de datos y escribirlas en un archivo de registro. AuditMaster se

divide en tres componentes:



24

• Gestor de eventos (Log event handler) Actúa como una especie de “caja

negra” que captura y escribe en un registro de seguimiento todas las

actividades que se llevan a cabo en la base de datos.

• Base de datos de registro (Log database): El archivo principal de registro

contiene toda la información de seguimiento, por ejemplo, la identificación

de usuario, la identificación de la estación de red, el tiempo y la fecha de la

operación, el nombre de aplicación, el nombre de la tabla de la base de

datos y el tipo de operación. Además, el archivo crea imágenes, antes y

después de la transacción, a efectos de actualización de los registros.

Cada vez que un usuario modifica algún dato, AuditMaster escribe en el

registro tanto el valor antiguo como el nuevo.

• Visor de registros (Log viewer): Permite hacer consultas a la base de datosde registro, lo que permite que un administrador de seguridad compruebe

las actividades realizadas y analice patrones y tendencias.

• DELOS

Delos es un sistema experto que posee conocimientos específicos en materia de

auditoría, seguridad y control en tecnología de información.

Este conocimiento se encuentra estructurado y almacenado en una base de

conocimiento y puede ser incrementado y/o personalizado de acuerdo con lascaracterísticas de cualquier organización y ser utilizado como una guía

automatizada para el desarrollo de actividades específicas.

Delos es una herramienta que fue diseñada pensando en empresas,

organizaciones y profesionistas que deseen incrementar los beneficios derivados

de la tecnología de información a través de actividades relacionadas con

auditoría, seguridad y control en TI.

DATOS DE PRUEBA



25

PRUEBA INTEGRADA -ITF



26

SIMULACIÓN PARALELA

SOFTWARE GENERAL DE AUDITORÍA



27

SOFTWARE DE AUDITORÍA A LA MEDIDA

Rutinas de auditoría en programas de aplicación



28

Archivo de revisión de Auditoría



29

Registros extendidos



30

Traceo



31

Mapeo

Comparación de código



32

CAPITULO III

CASO PRÁCTICO

Antecedentes del caso práctico

El análisis efectuado se realizó en el Banco Guatemalteco deFinanzas, S.A. A

continuación se presentan los datos del banco:

Datos del banco Guatemalteco de Finanzas, S.A.

El banco Guatemalteco de Finanzas, S.A. es un banco privado que inició sus

operaciones en el año de 1975. Las oficinas centrales están ubicadas en la zona

10 de la ciudad de Guatemala. La dirección del banco está a cargo del Consejo

de Administración.

Estructura organizativa del banco

La estructura organizativa es de la siguiente forma: Gerencia General, Gerencia

Financiera y de Riesgos, Asesoría Jurídica, Auditoría Interna, Oficialía de

Cumplimiento, Gerencia de Recursos Humanos, Gerencia Administrativa,

Gerencia de Negocios, Gerencia de Medios informáticos y Operaciones, que es

de donde depende el Departamento de Informática.

Estructura organizativa del departamento de Informática

El departamento de Informática se conforma de la siguiente forma: Gerente, jefe

del departamento de Sistemas, jefe de sección de Desarrollo de Sistemas, jefe de

sección de Análisis de Sistemas. jefe del departamento de Infraestructura

Tecnológica, jefe de sección de Soporte a la infraestructura tecnológica y

operaciones, jefe de sección de Soporte técnico, y Mesa de ayuda (Help desk).

Aplicación del caso práctico



33

El caso práctico presentará la evaluación de los principales riesgos que afectan el

Centro de Procesamiento de Información (CPI), que es el espacio físico dentro del

departamento de Informática, que contiene la computadora central (mainframe) y

el sistema principal de la entidad bancaria (software). Así mismo en el (CPI) se

encuentran las impresoras de alto volumen, cableado de comunicaciones, las

cintas de uso diario y demás equipos y documentación que por sus características

debe de estar custodiadas para evitar accesos no autorizados.

Los objetivos de control interno a observar tienen la finalidad de asegurar que el

Centro de Procesamiento de Información cuente con un ambiente que resguarde

los equipos y el personal que los administra.

La recopilación de información se realizará con entrevistas y observación. Las

técnicas a utilizar serán el examen, la inspección, la comparación, la revisióndocumental y lista de chequeo (check list).

PROGRAMA AUDITORÍA INTERNA PARA REALIZAR REVISIÓN DELCONTROL INTERNO Y OPERACIONES EN EL CENTRO DE

PROCESAMIENTO DE INFORMACIÓN



34

I. INTRODUCCIÓN

El departamento de Informática deberá contar con un espacio dentro de sus

instalaciones, dedicado al Centro de Procesamiento de Información que reúna las

condiciones mínimas de seguridad que protejan los equipos y al personalasignado a éste.

II. OBJETIVO

Verificar el cumplimiento de los controles internos y políticas establecidas, para

salvaguardar los equipos asignados al Centro de Procesamiento de Información.

III. ALCANCE

Los resultados serán referidos al 05 de enero de 2007 e incluirán los siguientes

procedimientos:

• Entrevista con personal del departamento de Informática.

• Revisión de la documentación, para evaluar el cumplimiento de controles

internos y políticas establecidas.

• Revisión de las instalaciones para verificar la adecuada salvaguarda de los

activos.

IV. PROCEDIMIENTO

Para la revisión del control interno y operaciones se revisará lo siguiente:

CONTROL INTERNO

Revisión de control utilizado para el ingreso y egreso de equipos y personal

Se revisará la actualización de los formularios, con la siguiente información:

• Fecha y hora de ingreso y egreso.

• Nombre de la persona que ingresa y persona que la acompaña.

• Motivo del Ingreso.

• Constancia de Autorización para el ingreso de personal o egreso de equipos.

Claves de acceso

Para el control del ingreso del personal se utilizan claves de acceso y una tarjeta

electrónica, se deberá verificar lo siguiente:



35

• Listado de usuarios habilitados para el ingreso al Centro de Procesamiento de

Información.

• Fecha de habilitación.

• Nombre del usuario.

• Fecha que expira la clave.

• Fecha de último acceso.

• Funcionario que autorizó la clave.

• Estatus de la clave.

• Verificar que la clave administrador esté siendo custodiada en sobre lacrado en

bóveda de seguridad del banco.

Inventario de equiposSe deberá solicitar el registro del inventario de equipos, verificando su existencia

física en el centro de cómputo, así como si se está efectuando la amortización del

valor de los mismos.

Control de egreso de equipos

Se deberá verificar la existencia de un control para el egreso de equipos, que

deberá contener como mínimo los siguientes aspectos:

• Fecha del egreso.• Nombre del equipo.

• Motivo del egreso.

• Nombre de la persona que recibe el equipo.

• No. de inventario.

Inventario de cintas de respaldo

Para verificar la existencia física de las cintas de respaldo de información se

solicitará el inventario de cintas de respaldo. Así mismo se deberá verificar la

periodicidad con que se realizanlos back- up de información, así como si se está

efectuando las pruebas para comprobar su funcionalidad.

OPERACIONES Y PROCESOS



36

Seguridad para la protección de los equipos

Para verificar que la adecuada protección de los equipos se deberá verificar la

existencia de los siguientes equipos:

• Cámara de vigilancia. Verificar el medio de almacenamiento de las imágenes.

• Extintores de incendios. Comprobar que la carga no esté vencida.

• Aire acondicionado. Revisar cuando fue realizado el mantenimiento preventivo.

• Dispositivo para evitar inundaciones.

• Alarmas detectoras de `humo y temperatura. Verificar que se realicen las

pruebas periódicamente.

• Reguladores de voltaje y UPS.

• Software y hardware para el control de accesos al Centro de Procesamiento de

Información.

Contratos de mantenimiento

El mantenimiento periódico a los equipos es necesario para mantenerlos en

óptimas condiciones, se deberá verificar el cumplimiento y actualización de estos

contratos. Así mismo verificar la suficiencia de los mismos.

Pólizas de seguro

Para proteger los equipos se deben de contratar seguros que cubran el equipo ysu instalación, así mismo se deberá verificar la actualización de los nuevos

equipos y la fecha de vencimiento.

Plan de contingencia

Un plan de contingencia deberá contemplar todo los procesos críticos de la

organización, para reestablecer sus operaciones y deberá ser eficaz y eficiente,

los aspectos legales, el impacto en el servicio del cliente.

Deberá verificarse la actualización de los procesos, misma que se deberá realizar

por lo menos una vez al año, las pruebas para verificar su funcionalidad y la

distribución al personal responsable.



37

REVISIÓN DEL CONTROL UTILIZADO PARA

EL INGRESO

PT A-1

Hecho IMJXR

Fecha 18/04/08

Reviso EOR

Fecha 18/04/08



38

DE PERSONAL EXTERNO AL CENTRO DE PROCESAMIENTO DE

INFORMACIÓN.

Conforme plan de trabajo se procedió a verificar el control utilizado para el ingreso

de personal externo a las instalaciones del Centro de Procesamiento de

Información. La utilización de este control está establecida en circular normativa

No. Informática-75-2006. Los resultados se presentan a continuación.

REVISIÓN DE LAS CLAVES UTILIZADAS

PARA EL

PT A-2

Hecho IMJXR

Fecha 18/04/08

Reviso EOR

Fecha 18/04/08



39

ACCESO AL CENTRO DE PROCESAMIENTO DE INFORMACIÓN

Conforme plan de trabajo se procedió a verificar las claves de acceso utilizadas

por personal para el ingreso a las instalaciones del Centro de Procesamiento de

Información. La asignación y custodia de claves de acceso está establecida en

circular normativa No. Informática-80-2006. Los resultados se presentan a

continuación.

REVISIÓN DEL CONTROL DE EGRESO DE

EQUIPOS

PT A-3

Hecho IMJXR

Fecha 18/04/08

Reviso EOR

Fecha 18/04/08



40

DEL CENTRO DE PROCESAMIENTO DE INFORMACIÓN

Conforme plan de trabajo se procedió a verificar el control utilizado para el egreso

de personal externo, a las instalaciones del Centro de Procesamiento de

Información. El control para el egreso de equipos está establecido en circular

normativa No. Informática-85-2006. Los resultados se presentan a continuación.



41

INVENTARIO DE EQUIPOS DE COMPUTACIÓN

UBICADOS EN EL CENTRO DE PROCESAMIENTO DE INFORMACIÓN

Conforme plan de trabajo se procedió a verificar el inventario de equipos ubicados

en el Centro de Procesamiento de Información. Este inventario fue realizado

comparando los registros en libros según la conciliación de saldos de la cuenta

110101.02 mobiliario y equipo. Los resultados se presentan a continuación.

PT A-4

Hecho IMJXR

Fecha 18/04/08

Reviso EOR

Fecha 18/04/08



42

INFORME DE CONTROL INTERNO Y DE OPERACIONES

Como parte del programa de trabajo anual del departamento de Auditoría Interna,

adjunto encontrará informe de la revisión efectuada al los controles existentes

para salvaguardar la seguridad física del Centro de Procesamiento de

Información.

REVISIÓN DEL CONTROL INTERNO

Revisión del control de accesos al Centro de Procesamiento de Información.Se estableció que según circular normativa No. Informática-75-2006 que indica

que el personal del departamento de Sistemas deberá presentar autorización para

el ingreso al Centro de Procesamiento de Información. Por lo anterior se

considera conveniente que el personal asignado al Centro de Procesamiento de

Información cumpla su función de solicitar la autorización para el ingreso.

Claves de acceso autorizadas para el ingreso al Centro de Procesamiento de

Información.En la revisión efectuada se identificaron 5 claves de acceso habilitadas para el

ingreso al Centro de Procesamiento de Información. Se compararon los usuarios

contra la nómina de empleados activos, estableciendo que la clave asignada al a

clave del Sr. Juan Carlos Gómez, no se ha dado de baja, derivado que es un

exempleado del Banco.

Así mismo la clave de Administrador del Software de acceso al Centro de

Procesamiento de Información no está siendo custodiada en un sobre lacrado en

la Bóveda del Banco.

Estos procedimientos están establecidos en Circular Normativa No. Informática-

80-2006.



43

Inventario de equipos de computación ubicados en el Centro de

Procesamiento de Información.

Tomando el como base conciliación de saldos de la cuenta 110101.02 Mobiliario y

Equipo, se realizó inventario de los equipos asignados al Centro de

Procesamiento de Información. Derivado de esta revisión se obtuvieron resultados

satisfactorios únicamente se observaron dos equipos que no están registrados en

los libros del banco, de la siguiente manera:

• Computador central sin número de inventario ya fue dado de baja en libros.

• Servidor correspondiente a equipo de prueba perteneciente a la empresa GBM

de Guatemala.

Control de egreso de equipos del Centro de Procesamiento de Información.

El control para el egreso de equipos está establecido en circular normativa No.

Informática-85-2006. En esta circular se establece que en el control auxiliar

deberá consignarse la fecha de reingreso de los equipos, así mismo que se

deberá adjuntar la boleta que indica cuál fue el motivo que originó el envió a

reparación.

Inventario de cintas de respaldo.El control de las cintas de respaldo está establecido en circular normativa No.

Informática-95-2006.

Según revisión a esta circular normativa, se comprobó que en el mismo no se

incluye la periodicidad con la que se deberá comprobar la utilidad de las cintas de

respaldo. Únicamente se comprueban cuando se necesita restaurar un proceso.

Por lo anterior es necesario que se incluya este aspecto en la circular normativa.

REVISIÓN DE OPERACIONES Y PROCESOS



44

Revisión de la seguridad física de las instalaciones del Centro de

Procesamiento de Información.

Como parte importante del trabajo efectuado analizamos la seguridad física de las

instalaciones del Centro de Procesamiento de Información. Derivado de este

trabajo se determinó que no existe un procedimiento escrito para el

mantenimiento de los equipos. Un procedimiento para el mantenimiento a los

equipos asigna la periodicidad necesaria de mantenimiento a los equipos.

Actualmente no se ha dado mantenimiento preventivo a los extintores de

incendios, ni a las alarmas detectoras de humo.

Contratos de mantenimiento y seguros.Se estableció que no existe un procedimiento escrito para la negociación y control

de los contratos de mantenimiento ni de seguro. Es importante que se lleve un

control de los contratos de mantenimiento firmados, la fecha de vencimiento, los

derechos y obligaciones adquiridos. A la fecha se encuentran vencidos los

contratos de mantenimiento de aire acondicionado y el seguro de responsabilidad

civil.

Plan de continuidad del negocio.El Banco cuenta con un Plan de Continuidad del Negocio, sin embargo se

observó que el 20 de diciembre de 2006 se realizó la actualización anual, sin

embargo no se distribuyeron las copias al personal involucrado, así mismo no se

han realizado pruebas para verificar la oportunidad de los procesos contenidos en

este plan y documentar los resultados.



45

CONCLUSIONES

1. Las Técnicas de Auditoría Asistidas por Computador (TAACs) constituyen

un conjunto de herramientas que permiten al auditor contar con los

procedimientos indispensables en el momento que le sea solicitado realizar

una auditoría de sistemas computacionales.

2. A través de las TAACs podemos aplicar procedimientos que nos permitan

evaluar los Sistemas de Información de una empresa desde el ingreso de

los datos al programa, pasando por su procesamiento hasta que los

mismos se convierten en información útil para la toma de decisiones a

través de los informes emitidos por los mismos.

3. Mediante las Técnicas de Auditoría Asistidas por Computador podemos

ampliar nuestro alcance de auditoría ya que el uso de una computadora

nos facilita el manejo de un gran volumen de información, con la cual

obtendremos mayor confiabilidad del trabajo realizado.



46

RECOMENDACIONES

1. Es conveniente que el Contador Público y Auditor se mantenga actualizado

en cuanto al manejo de los sistemas de información que se realizan a

través del computador ya que del conocimiento de estos podrá estar en la

capacidad de efectuar una adecuada Auditoría de Sistemas cuando esta

sea solicitada por algún cliente.

2. Conocer a través de la evaluación del control interno, el proceso que se da

dentro de la empresa, en cuanto al registro de sus operaciones en el

sistema contable, esto con el fin de determinar la efectividad de los

operaciones registradas en el mismo de principio a fin.

3. Es importante el conocimiento de todas aquellas técnicas que nos

permitan obtener mejores resultados en nuestra proceso de revisión ya que

el mismo contribuirá a la ejecución de un trabajo más confiable-



47

REFERENCIAS BIBLIOGRAFICAS

• Edwin Ramos Rosales, Tesis “Auditoría Interna en el Departamento de

Informática de una Institución Bancaria”, Facultad de Ciencias Económicas,

Escuela de Auditoría. Año 2008

• Lic. MSc. Marvin Cifuentes Velásquez, diplomado de Auditoría Interna

2008, Conferencia “Técnicas de Auditoría Asistidas por Computador-

TAACs-”, Instituto Guatemalteco de Contadores Públicos y Auditores –

IGCPA-, junio 2008.

• Revista Dirección y Control, México 1979, pag,21)

taacs pruebas de auditoria alrededor del or

Documents