AUDITORIA TECNOLOGIA INFORMATICA - Mi sitio de Auditoría, todo a cerca de...
Transcript of AUDITORIA TECNOLOGIA INFORMATICA - Mi sitio de Auditoría, todo a cerca de...
2
TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR – TAAC’s
TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR – TAAC’s
3
TAAC’sASPECTOS GENERALES
APLICACIÓN (TÉCNICAS)
VENTAJAS
PLANIFICACIÓN
USO DE TAAC’s
DOCUMENTACIÓN E INFORMES
TIPOS DE HERRAMIENTAS
TAAC's
TAAC’sLas TAAC’s son un conjunto de técnicas y herramientasutilizados en el desarrollo de las auditorias informáticas con elfin de mejorar la eficiencia, alcance y confiabilidad de losanálisis efectuados por el auditor, a los sistemas y los datosde la entidad auditada.Incluyen métodos y procedimientos empleados por el auditorpara efectuar su trabajo y que pueden ser administrativos,analíticos, informáticos, entre otros; y, los cuales, son desuma importancia para el auditor informático cuando esterealiza una auditoría.
4
TAAC’sEl uso de los TAAC’s le permiten al auditor obtenersuficiente evidencia confiable sobre el cual, sustentar susobservaciones y recomendaciones, lo que obliga al auditor adesarrollar destrezas especiales en el uso de estas técnicas,tales como: mayores conocimientos informáticos,discernimiento en el uso adecuado de las herramientasinformáticas y analíticas, eficiencia en la realización de losanálisis, etc.; sin dejar a un lado las técnicas tradicionalesde auditoría como son la inspección, observación,confirmación, revisión, entre otros
5
Auditoría asistida por computadoraLa norma SAP 1009 (Statement of Auditing Practice) denominadaComputer Assisted Audit Techniques (CAATs) o Técnicas deAuditoría Asistidas por Computador (TAAC's), plantea la importanciadel uso de TAAC’s en la auditoría de sistemas y las define comoprogramas de computador y datos que el auditor usa como parte delos procedimientos de auditoría para procesar datos de significanciaen un sistema de información. –RETIRADA--SAS No. 94 (The Effect of Information Technology on the Auditor'sConsideration of Internal Control in a Financial Statement audit)indica que una organización que usa Tecnologías de Información IT,se puede ver afectada en uno de los 5 componentes del controlinterno: El ambiente de control, evaluación de riesgos, actividadesde control, información, comunicación y monitoreo además de laforma en que se inicializan, registran, procesan y reporta lastransacciones.
6
Auditoría asistida por computadoraNIA 330 – Procedimientos en Respuesta a Riesgos EvaluadosEl uso de Técnicas de Auditoría con Ayuda de Computadora(TAAC's) puede posibilitar pruebas más extensas de lastransacciones electrónicas y archivos de cuentas.Estas técnicas pueden usarse para seleccionar transacciones demuestra de los archivos electrónicos clave. para escogertransacciones con características específicas o para pruebas de todauna población en lugar de una muestra.NIA 500 – Evidencia de Auditoría en algunas situaciones el auditor puede determinar que se necesitan procedimientos adicionales de auditoría. Estos, por ejemplo, pueden incluir usar Técnicas de Auditoría con Ayuda de Computadora (TAAC's) para volver a calcular la información.
7
Auditoría asistida por computadora
Las TAAC's pueden ser usadas en:� Pruebas de detalles de transacciones y balances (Recálculos de
intereses, extracción de ventas por encima de cierto valor, etc.)� Procedimientos analíticos: por ejemplo identificación de
inconsistencias o fluctuaciones significativas.� Pruebas de controles generales, tales como configuraciones en
sistemas operativos, procedimientos de acceso al sistema,comparación de códigos y versiones.
� Programas de muestreo para extractar datos.� Pruebas de control en aplicaciones.� Recálculos.
8
El proceso de auditoría de la información
Si los controles computarizados son débiles o no existen, los auditores necesitarán realizar más pruebas sustantivas.
� Las pruebas sustantivas son pruebas de detalle de transacciones y de balance de cuentas.
Las pruebas de cumplimiento son realizadas para asegurar que los controles están establecidos y trabajan correctamente.
� Esto puede implicar el uso de las Técnicas de Auditoría Asistidas por Computador – TAAC’s.
Diseño de pruebas para la utilización de las TAAC’sAntes de utilizar las TAAC’s el auditor debe diseñar la forma en que se va allevar a cabo el examen, mediante el establecimiento oportuno de losobjetivos que busca el examen, establecer los sistemas de informacióncríticos de la organización y la disponibilidad que se tiene para acceder aellos, seleccionar los métodos y pruebas a realizarse durante la ejecucióndel examen, definir los reportes que se deberán generar como evidencias einformes de auditoria y otros procedimientos adicionales necesarios para laejecución exitosa del examen.Es necesario tener mucho cuidado respecto a la confidencialidad de losdatos y sistemas a los cuales acceda durante su revisión. Para ello, deberealizarse una adecuada planificación, selección y diseño de las técnicas yherramientas a utilizar, que permita tener una seguridad razonable sobre laefectividad, confiabilidad y confidencialidad de los resultados que se vayana obtener durante el examen.
10
Auditando alrededor del computador
Auditoría alrededor del computador asume que a través dela presencia de salidas exactas se verifica el correctoprocesamiento de las operaciones.
Este tipo de auditoría presta posa o ninguna atención a losprocesos de control dentro del ambiente de TI.
Generalmente no es un enfoque efectivo para llevar a cabouna auditoría de un ambiente computarizado.
Auditando a través del computadorCuando se audita a través del computador, el auditorsigue las pistas de auditoría a través de la fase deoperaciones internas o proceso automatizado dedatos.Los intentos de verificación de los procesos de controlinvolucran el uso de Programas de SI.Los enfoques primarios son:1) Programas de testeo,
2) Programas computarizado s de validación
3) Software de revisión de sistemas
4) Auditoría continua.
Auditoría DENTRO DEL COMPUTADOR
Auditoría dentro del computador implica el uso de TAAC’s para ayudar en diversas tareas de auditoría.
Este enfoque es prácticamente obligatorio, ya que los datos son almacenados en medios informáticos y el acceso manual es casi imposible.
Las TAAC’s son eficaces y ahorran tiempo.
Aplicación de TAAC's en la Auditoría Informática
Una de las ventajas más notorias de las TAAC’s es la versatilidadque estas presentan para la realización del trabajo de campo de laauditoría, (se pueden utilizar sin importar el tipo de organización, sutamaño, sus operaciones y sector del mercado).Para ello el auditor debe tener el suficiente discernimiento yexperiencia profesional para establecer la técnica o herramienta autilizar.El auditor dispone de una clasificación estandarizada respecto a lasprincipales TAAC’s aplicadas por auditores de todo el mundo:� Técnicas Administrativas.� Técnicas para evaluar los controles de Aplicaciones en
Producción.� Técnicas para análisis de Transacciones.� Técnicas para análisis de Datos.� Técnicas para análisis de Aplicaciones.
14
técnicas administrativas
Permiten al auditor establecer el alcance de la revisión, definir lasáreas de interés y la metodología a seguir para la ejecución delexamen.Selección de Áreas de AuditoríaMediante esta técnica, el auditor establece las aplicaciones críticaso módulos específicos dentro de dichas aplicaciones que necesitanser revisadas periódicamente, que permitan obtener informaciónrelevante respecto a las operaciones normales del negocio.Esta técnica es muy utilizada por los auditores internos deempresas corporativas grandes o medianas con un alto volumende transacciones y exige que el departamento de auditoría internaconstruya sus propios aplicativos (con la ayuda del departamentode sistemas), para que puedan realizar su trabajo de formaeficiente.
15
técnicas administrativas
ModelajeEsta técnica es muy similar a la técnica de Selección de Áreas deAuditoria, cuya diferencia radica en los objetivos y criterios deselección de las áreas de interés; ya que esta técnica tiene comoobjetivo medir la gestión financiera de la organización y todo loque ello involucra.Sistema de puntajesA través de esta técnica el auditor selecciona las aplicacionescríticas de la organización de acuerdo a un análisis de los riesgosasociados a dichas aplicaciones y que están directamenterelacionadas con la naturaleza del negocio mediante asignarle acada riesgo un puntaje de ocurrencia, de tal forma que seanexaminadas detalladamente aquellas aplicaciones con mayornivel de vulnerabilidad ante posibles riesgos.
16
técnicas administrativas
Software de Auditoría MultisitioSe basa sobre el mismo concepto de los sistemas distribuidos, enel que una organización con varias sucursales u oficinas remotas,dispone de un software de auditoria capaz de ser utilizado endichas sucursales y a la vez, pueda actualizar y almacenar lainformación resultante en una base de datos principal,generalmente ubicada en la matriz de la organización.Centros de competenciaConsiste en centralizar la información que va a ser examinadapor el auditor, a través de la designación de un lugar específicoque recibirá los datos provenientes de todas las sucursalesremotas y que luego serán almacenadas, clasificadas yexaminadas por el software de auditoria.
17
Técnicas para evaluar los controles de Aplicaciones en Producción
Se orientan básicamente a verificar cálculos en aplicaciones complejas, comprobar la exactitud del procesamiento en forma global y específica y verificar el cumplimiento de los controles preestablecidos.Método de Datos de PruebaConsiste en la elaboración de un conjunto de registros que sean representativos de una o varias transacciones que son realizadas por la aplicación que va a ser examinada, y que luego serán ingresadas en dicha aplicación para la verificación del procesamiento exitoso de los datos.Facilidad de Prueba Integrada (ITF)Similar a la de datos de prueba, con la diferencia de que en esta se trabajan con datos reales y ficticios.Simulación paralelaEsta es una técnica en la que el auditor elabora, a través de lenguajes deprogramación o programas utilitarios avanzados, una aplicación similar a la queva a ser auditada, con el objetivo de ingresar simultáneamente la mismainformación en ambas aplicaciones para verificar la exactitud del procesamientode datos de la aplicación en producción.
18
Técnicas para Análisis de Transacciones
Tienen como objetivo la selección y análisis de transaccionessignificativas de forma permanente, utilizando procedimientosanalíticos y técnicas de muestreo.Archivo de revisión de auditoría como control del sistema (SCARF)
consiste en el diseño de ciertas medidas de control para elprocesamiento electrónico de los datos, para luego incorporarlosdentro de los aplicativos en producción (como rutinashuéspedes), con el objetivo de garantizar un control permanentede las transacciones realizadas.El resultado final será la generación de un archivo de datos quealmacenará una réplica de los registros que hayan presentadoanomalías.
19
Técnicas para Análisis de Transacciones
Archivo de revisión de auditoría por muestreo (SARF)Esta es una técnica muy utilizada por los auditores externos yconsiste en la definición de ciertos parámetros de selección deregistros utilizando muestreo, para luego analizarlosdetalladamente.
Registros ExtendidosTécnica muy particular y útil para los auditores que handesarrollado ciertas destrezas en el análisis de datos; y, consisteen la conservación histórica de todos los cambios que hayasufrido una transacción en particular, convirtiéndose en un LOGde auditoría.
20
Técnicas para el Análisis de Datos
Están orientadas hacia el uso de programas informáticosespecializados que le permiten al auditor, de forma eficiente yflexible, examinar la información que ha sido procesadaelectrónicamente a través de los sistemas de información,aplicativos o programas utilitarios.Programas generalizados de auditoríaEs una de las técnicas de mayor desarrollo y aplicación en losúltimos años. Se encuentran disponibles en el mercado,numerosos paquetes de auditoría con muy buen desempeño yflexibilidad en los tipos de archivos que pueden examinar. Losmás conocidos y difundidos en nuestro medio son IDEA y ACL.Ventajas - Facilidad para el diseño de las pruebas de auditoría,flexibilidad en cuanto a los formatos de archivo y la adaptabilidadpara manejar y presentar la información.
21
Técnicas para el Análisis de Datos
Programas de auditoría a la medidaProgramas desarrollados especialmente para el análisis de datos de unsistema de información en particular, cubriendo todas las funciones ycaracterísticas que este posea, de acuerdo a los objetivos del auditor.Pueden ser desarrollados directamente por el auditor con la ayuda delpersonal de informática de la organización o viceversa, de acuerdo al gradode complejidad que tenga el sistema de auditoría a ser desarrollado.Programas UtilitariosSon programas estandarizados para la ejecución de actividades muydiversas para el manejo de la información, gestión de documentos,realización de cálculos matemáticos y estadísticos, almacenamiento dedatos y control de proyectos, etc.; los cuales, son muy utilizados por losauditores durante la ejecución de todo el proceso de auditoría.
22
Técnicas para el Análisis de Aplicaciones
Poseen un grado mayor de complejidad respecto a suaplicación y grado de conocimiento técnico que debeposeer el auditor, pues se orientan hacia la evaluación delfuncionamiento interno de las aplicaciones en producción yla forma en que estos procesan la información.Técnica de Imagen instantáneaConsiste en obtener una imagen instantánea delprocesamiento electrónico de datos en un momentodeterminado, a través de la identificación única de ciertastransacciones de interés para el auditor y que, medianterutinas especiales, son seleccionadas para revisar el flujoque esta ha seguido dentro del sistema.
23
Técnicas para el Análisis de Aplicaciones
Técnica de MapeoUtilizada para medir la eficiencia de ejecución de las rutinas queintegran el sistema, a través de la utilización de programasespecializados para dicho fin que mediante reportes presentan las vecesen que se ejecutan las rutinas implementadas y el tiempo que le hatomado al procesador ejecutarlas.Pueden determinar las rutinas que no han sido utilizadas y aquellas queposiblemente han sido incorporadas con fines fraudulentos.Técnica de RastreoMediante esta técnica se establece el orden en que han sido ejecutadaslas rutinas durante una determinada transacción, lo cual permiteevaluar si el orden secuencial en que se va ejecutando cada una de lasetapas del procesamiento electrónico de datos coincide con losprocesos institucionales preestablecidos.
24
Técnicas para el Análisis de Aplicaciones
Análisis Lógico de las AplicacionesEsta técnica consiste en la revisión del programa de acuerdo a las especificaciones técnicas y operativas presentadas en los Manuales de Diseño y Usuario, que permita identificar errores o inconsistenciaEl auditor debe poseer un alto grado de comprensión sobrela lógica del programa y de los manuales que loacompañan; pero para ello, el auditor debe estarplenamente convencido de que los manuales del programaestán adecuadamente elaborados y libres de erroressignificativos.
25
Ventajas del uso de las técnicas de auditoría asistidas por computadora (TAAC)
� Incrementan o amplían el alcance de la investigación ypermiten realizar pruebas que no pueden efectuarsemanualmente;
� Incrementan el alcance y calidad de los muestreos,verificando un gran número de elementos;
� Elevan la calidad y fiabilidad de las verificaciones arealizar;
� Reducen el período de las pruebas y procedimientos demuestreos a un menor costo;
� Garantizan el menor número de interrupciones posibles ala entidad auditada;
� Brindan al auditor autonomía e independencia de trabajo;� Permiten efectuar simulaciones sobre los procesos sujetos
a examen y monitorear el trabajo de las unidades;26
Ventajas del uso de las técnicas de auditoría asistidas por computadora (TAAC)
� Realizar un planeamiento a priori sobre los puntos con potencialviolación del Control Interno;
� Disminución considerable del riesgo de no-detección de losproblemas;
� Posibilidad de que los auditores actuantes puedan centrar suatención en aquellos indicadores que muestren saldos inusuales ovariaciones significativas, que precisan de ser revisados comoparte de la auditoría;
� Elevación de la productividad y de la profundidad de los análisisrealizados en la auditoría;
� Posibilidad de rescatar valor[11] en el resultado de cadaauditoría;
� Elevación de la autoestima profesional del auditor, al dominartécnicas de punta que lo igualan al desarrollo de la disciplina
27
Análisis de la aplicación de CAAT
ESTUDIO DELCOSTO BENEFICIO
COSTOSINDIRECTOS
COSTOS DEOPORTUNIDAD
DIAGNÓSTICO DELPERSONAL
28
Equipo Personal Equipo Personal 1 Elaboración de planes de trabajo 3 6 1 12 Elaboración de cuestionarios, encuestas, matrices, etc. 6 12 1 13 Trabajo de campo. 6 12 3 124 Control de actividades a realizar en tiempos estimados reales. 3 6 1 1
5 Evaluación de resultados de los programas operativos. 3 6 1 16 Evaluación de la problemática de las áreas que cuenten con
un sistema informático.3 6 1 3
7 Elaboración de papeles de trabajo e informes de auditoría. 6 12 3 128 Comunicar los resultados y recomendaciones que resulten de
sus evaluaciones.12 12 2 12
9 Comprobar que el área de Sistemas ha tomado las medidas correctivas de los informes de la Auditoría Interna así como de las omisiones que al respecto se verifiquen en el seguimiento de informes.
3 6 1 1
10 Evaluación de los controles de seguridades lógicas y físicas. 2 2 1 111 Evaluación de los riegos y controles. 6 12 3 612 Evaluar la existencia de políticas[a], objetivos[b], normas[c],
metodologías[d], así como la asignación de tareas y adecuada
administración[e] de los recursos, humanos e informáticos.
6 12 1 1
Sin uso CAAT Con uso de ACTIVIDADES
Planificación de CAAT
29
Considerar una combinación apropiada de las técnicasmanuales y las técnicas de auditoría asistidas porcomputadora. Cuando se determina utilizar CAAT losfactores a considerar son los siguientes:• Conocimientos computacionales, pericia y experiencia
del auditor de sistemas de información.• Disponibilidad de los CAAT y de los sistemas de
información.• Eficiencia y efectividad de utilizar los CAAT en lugar de
las técnicas manuales• Restricciones de tiempo
Planificación de CAAT
30
Pasos más importantes que el auditor debe considerarcuando prepara la aplicación de los CAAT seleccionadosson los siguientes:• Establecer los objetivos de auditoría de los CAAT:
Determinar accesibilidad y disponibilidad de los sistemasde información, los programas/sistemas y datos de laorganización.
• Definir los procedimientos a seguir (por ejemplo: unamuestra estadística, recálculo, confirmación, etc.).
• Definir los requerimientos de output.• Determinar los requerimientos de recursos.• Documentar los costos y los beneficios esperados.• Obtener acceso a las facilidades de los sistemas de
información de la organización, sus programas/sistemasy sus datos.
Planificación de CAAT
31
• Documentar los CAAT a utilizar incluyendo los objetivos, flujogramas
de alto nivel y las instrucciones a ejecutar.
• Acuerdo con el cliente (auditado): Los archivos de datos, tanto como
los archivos de operación detallados (transaccionales, por ejemplo),
a menudo son guardados sólo por un período corto, por lo tanto, el
auditor de sistemas de información debe arreglar que estos archivos
sean guardados por el marco de tiempo de la auditoría.
• Organizar el acceso a los sistemas de información de la organización,
programas/sistemas y datos con anticipación para minimizar el
efecto en el ambiente productivo de la organización
• Evaluar el efecto que los cambios a los programas/sistemas de
producción -cambios en la integridad y utilidad de los CAAT-
(integridad de los programas/sistemas y los datos utilizados)
Utilizar CAAT (realización de auditoría)
32
Cuando se toma la decisión de hacer una auditoría desistemas con al ayuda de CAAT es importante tomar encuenta los pasos que a continuación se describen. Elauditor debe:1. Realizar una conciliación de los totales de control.2. Realizar una revisión independiente de la lógica de los
CAAT3. Realizar una revisión de los controles generales de los
sistemas de información de la organización que puedancontribuir a la integridad de los CAAT (por ejemplo:controles de los cambios en los programas y el acceso alos archivos de sistema, programa y/o datos).
Utilizar CAAT – TIPOS DE SOFTWARE
33
Paquete de Auditoría.• Son programas generalizados de computadora diseñados
para desempeñar funciones de procesamiento de datosque incluyen leer bases de datos, seleccionarinformación, realizar cálculos, crear archivos de datos eimprimir informes en un formato especificado por elauditor.
• Son usados para control de secuencias, búsquedas deregistros, detección de duplicaciones, detección de gaps,selección de datos, revisión de operaciones lógicas ymuestreo, algunos de ellos son el IDEA, ACL, etc.
34
Software para un propósito específico o diseñado a lamedida.• Son programas de computadora diseñados para
desempeñar tareas de auditoría en circunstanciasespecíficas. Estos programas pueden ser desarrolladospor el auditor, por la entidad, o por un programadorexterno contratado por el auditor. Por ejemploprogramas que permitan generar check-list adaptados alas características de la empresa y de los objetivos de laauditoría.
Los programas de utilería.• Son usados por la organización auditada para
desempeñar funciones comunes de procesamiento dedatos, como clasificación, creación e impresión dearchivos. Como por ejemplo planillas de cálculo,procesadores de texto, etc.
Utilizar CAAT – TIPOS DE SOFTWARE
35
Los programas de administración del sistema.
Son herramientas de productividad sofisticadas que son típicamente parte de los
sistemas operativos sofisticados, por ejemplo software para recuperación de datos o
software para comparación de códigos.
Como en el caso anterior estas herramientas no son específicamente diseñadas para
usos de auditoría.
Existen en el mercado una gran variedad de este tipo de herramientas como por
ejemplo los que permiten controlar las versiones de un sistema.
Utilizar CAAT – TIPOS DE SOFTWARE
36
Rutinas de Auditoría en Programas de aplicación.
Módulos especiales de recolección de información incluidos en la aplicación y diseñados
con fines específicos. Se trata de módulos que permiten obtener pistas de auditora en
muchos casos generados a través de trigers programados en las propias bases de datos
Utilizar CAAT – TIPOS DE SOFTWARE
Documentación de CAAT
37
Una descripción del trabajo realizado, seguimiento y lasconclusiones acerca de los resultados de los CAAT debenestar registrados en los papeles de trabajo de la auditoría.Las conclusiones acerca del funcionamiento del sistema deinformación y de la confiabilidad de los datos tambiéndeben estar registrados en los PT’s de la auditoría.El proceso paso a paso de los CAAT debe estardocumentado adecuadamente para permitir que el procesose mantenga y se repita por otro auditor de sistemas deinformación.Los PT’s deben contener la documentación suficiente paradescribir la aplicación de los CAAT incluyendo los detallescomo:• Planificación• Los objetivos de los CAAT• Los CAAT a utilizar• Los controles a implementar• El personal involucrado, el tiempo que tomará y los
Documentación de CAAT
38
La documentación debe incluir:• Los procedimientos de la preparación y la prueba de los
CAAT y los controles relacionados.• Los detalles de las pruebas realizadas por los CAAT.• Los detalles de los input (ejemplo: los datos utilizados,
esquema de archivos), el procesamiento (ejemplo: losflujogramas de alto nivel de los CAAT, la lógica).
• Evidencia de auditoría: el output producido (ejemplo:archivos log, reportes).
• Resultado de la auditoría.• Conclusiones de la auditoría.• Las recomendaciones de la auditoría.
Informe/reporte descripción de los CAAT
39
La sección del informe donde se tratan los objetivos, la extensión y
metodología debe incluir una clara descripción de los CAAT utilizados.
Esta descripción no debe ser muy detallada, pero debe proporcionar
una buena visión general al lector. La descripción de los CAAT utilizados
también debe ser incluida en el informe donde se menciona el hallazgo
específico relacionado con el uso de los CAAT.
Si se puede aplicar la descripción de los CAAT a varios hallazgos o si es
demasiado detallado debe ser descrito brevemente en la sección del
informe donde se tratan los objetivos, extensión y metodología y una
referencia anexa para el lector, con una descripción más detallada.
Tipos de herramientas CAAT - idea
41
Con esta herramienta se puede leer, visualizar, analizar y manipular
datos; llevar a cabo muestreos y extraer archivos de datos desde
cualquier origen ordenadores centrales a PC, incluso reportes
impresos.
IDEA es reconocido en todo el mundo, como un estándar en
comparaciones con otras herramientas de análisis de datos,
ofreciendo una combinación única en cuanto a poder de
funcionalidad y facilidad de uso.
Tipos de herramientas CAAT - idea
42
Áreas de uso de la herramientaAuditoría externa de estados financieros.• Precisión: comprobación de cálculos y totales.• Revisión analítica: comparaciones, perfiles, estadísticas.• Validez: duplicados, excepciones, muestreos estadísticos.• Integridad: omisiones y coincidencias.• Cortes: análisis secuencial de fechas y números.• Valuación: provisiones de inventario.Auditoría interna.• Conformidad de políticas.• Valor del dinero.• Pruebas de excepción.• Análisis.• Comparaciones y coincidencias.
Tipos de herramientas CAAT - idea
43
Detección de fraudes.• Compras y pagos: validación de proveedores, análisis contables.• Nómina: coincidencias cruzadas, cálculos.• Lavado de dinero: valores elevados, cifras redondeadas,
movimientos frecuentes.Informes y análisis de gestión.Transferencias de archivos.Bancos e instituciones financieras.Industrias.Organizaciones de ventas al por menor.Entes gubernamentales (prestadores de ayudas y beneficios).
Tipos de herramientas CAAT - ACL
44
Es una herramienta CAAT enfocada al acceso de datos,análisis y reportes para auditores y profesionalesfinancieros.No es necesario ser un especialista en el uso de CAAT.Posee una poderosa combinación de accesos a datos,análisis y reportes integrados, ACL lee y compara losdatos permitiendo a la fuente de datos permanecerintacta para una completa integridad y calidad de losmismos.ACL permite:• Análisis de datos para un completo aseguramiento.• Localiza errores y fraudes potenciales.• Identifica errores y los controla.• Limpia y normaliza los datos para incrementar la
consistencia de los resultados.• Realiza un test analítico automático y manda una
notificación vía e-mail con el resultado.
Tipos de herramientas CAAT - ACL
45
• Brinda una vista de la información de la organización y habilita
directamente el acceso a búsquedas de cualquier transacción, de
cualquier fuente a través de cualquier sistema.
• Ahorra tiempo y reduce la necesidad de requerimiento de
información a departamentos de TI muy ocupados
• Acceso a diversos tipo de datos con facilidad.
• Tiene un tamaño ilimitado en el monitoreo de datos y puede
procesar rápidamente millones de transacciones de datos ya que
permite leer mas de 10,000 y hasta 100,000 registros por segundo.
• Los resultados se pueden ver fácilmente y entenderlos en formatos
tabulares, posee graficas precargadas, también posee un log de
actividad de los registros, que permite analizar y comprar registros
pasados con los nuevos, posee vistas de reportes precargados de
Crystal Reports.
Tipos de herramientas CAAT – auto audit
46
Es un sistema completo para la automatización de la función de
Auditoría, soportando todo el proceso y flujo de trabajo, desde la fase
de planificación, pasando por el trabajo de campo, hasta la
preparación del informe final.
Además del manejo de documentos y papeles de trabajo en forma
electrónica, Auto Audit permite seguir la metodología de evaluación
de riesgos a nivel de entidad o de proceso, la planificación de
auditorías y recursos, seguimiento de hallazgos, reportes de gastos y
de tiempo, control de calidad, y cuenta con la flexibilidad de un
módulo de reportes “ad hoc”. Todos estos módulos están
completamente integrados y los datos fluyen de uno a otro
automáticamente.
Tipos de herramientas CAAT – auto audit
47
Beneficios
Eficiencia en el trabajo -Aumenta la eficiencia en la conducción de la
evaluación de riesgos y planificación anual.
Base de conocimiento - Acceso inmediato a toda la documentación de
auditorías pasadas, en ejecución o planeadas.
Flexibilidad - Permite que los auditores puedan trabajar en lugares
distantes con sus réplicas locales de la auditoría en curso y su
posterior sincronización a la base de datos centralizada.
Estandarización y control - Garantiza el seguimiento de metodologías
de trabajo de acuerdo a las mejores prácticas de la organización con el
uso de una biblioteca de documentos estándares (memoranda,
programas, papeles de trabajo, cuestionarios, evaluaciones, informe
final y otros).
Tipos de herramientas CAAT – auto audit
48
Adaptabilidad - Provee una herramienta de reportes “ad hoc” para la
generación de informes, tablas y gráficos con los formatos requeridos para el
Comité de Auditoría o Auditor General.
Comunicación - Mejora la comunicación con los auditados en el seguimiento
de los hallazgos y planes de acción.
Reducción de costos y aprovechamiento del recurso más valioso (el auditor) -
Se reducen los costos y el tiempo de documentación y revisión de papeles,
logrando invertir más tiempo en la auditoría, añadiendo valor al trabajo.
Seguridad y confidencialidad - Permite la creación de usuarios definiendo
perfiles según su rol dentro de la auditoría para controlar el acceso de
documentos e integridad de la información.
Integración con ACL - Es posible integrar los procesos de análisis de datos que
se efectúan con ACL en los papeles de trabajo de Auto Audit.
Tipos de herramientas CAAT – auditcontrol apl (audisis)
49
Es una herramienta para asistir en la construcción de sistemas de
gestión de riesgos y controles internos en los procesos de la cadena de
valor y los sistemas de información de las empresas. Para este fin,
utiliza la técnica de Autoevaluación del Control (CSA: Control Self
Assessment), también conocida con el nombre de Autoaseguramiento
del Control (CSA: Control Self Assurance).
Desde la perspectiva administrativa, CSA asiste en la determinación de
si la organización está satisfaciendo sus objetivos. Las ventajas claves
de implementar un CSA incluyen la detección temprana de riesgos y el
desarrollo de planes de acción concretos que salvaguarden los
programas organizacionales contra riesgos del negocio significativos.
Tipos de herramientas CAAT – audicontrol apl (audisis)
50
La metodología AUDICONTROL APL fue creada paraapoyar el trabajo de:� Analistas y Desarrolladores de Sistemas.� Departamentos de Organización y Métodos.� Auditores de Sistemas.� Departamentos de Control Interno.� Administradores de Seguridad en Procesamiento
electrónico de datos.� Administradores de Riesgos.
Tipos de herramientas CAAT - audimaster
51
AuditMaster de Pervasive, es una solución de supervisiónde transacciones a nivel de base de datos. Este sistemacontrola e informa de toda la actividad que tiene lugar enuna base de datos Pervasive.SQL.La tecnología de AuditMaster consiste en capturar lasoperaciones que se realizan en la base de datos yescribirlas en un archivo de registro. AuditMaster sedivide en tres componentes:
• Gestor de eventos (Log event handler) Actúa como unaespecie de “caja negra” que captura y escribe en unregistro de seguimiento todas las actividades que sellevan a cabo en la base de datos.
Tipos de herramientas CAAT - auditmaster
52
• Base de datos de registro (Log database): El archivo principal de
registro contiene toda la información de seguimiento, por ejemplo,
la identificación de usuario, la identificación de la estación de red, el
tiempo y la fecha de la operación, el nombre de aplicación, el
nombre de la tabla de la base de datos y el tipo de operación.
Además, el archivo crea imágenes, antes y después de la
transacción, a efectos de actualización de los registros. Cada vez que
un usuario modifica algún dato, AuditMaster escribe en el registro
tanto el valor antiguo como el nuevo.
• Visor de registros (Log viewer): Permite hacer consultas a la base de
datos de registro, lo que permite que un administrador de seguridad
compruebe las actividades realizadas y analice patrones y
tendencias.
Tipos de herramientas CAAT - delos
53
Delos es un sistema experto que posee conocimientos específicos en
materia de auditoría, seguridad y control en tecnología de
información.
Este conocimiento se encuentra estructurado y almacenado en una
base de conocimiento y puede ser incrementado y/o personalizado de
acuerdo con las características de cualquier organización y ser
utilizado como una guía automatizada para el desarrollo de
actividades específicas.
Delos es una herramienta que fue diseñada pensando en empresas,
organizaciones y profesionistas que deseen incrementar los beneficios
derivados de la tecnología de información a través de actividades
relacionadas con auditoría, seguridad y control en TI.