CONDICIONES TECNICAS INDICEcondiciones tecnicas indice 25. objeto.....1
Tecnicas de Auditoria_pc SISAS 9
-
Upload
alexander-osorio -
Category
Documents
-
view
218 -
download
0
Transcript of Tecnicas de Auditoria_pc SISAS 9
-
7/22/2019 Tecnicas de Auditoria_pc SISAS 9
1/4
SISAS N 9 "Uso de tcnicas de auditora asistidas por computador" Page 1 of 4
file://D:\Biblioteca d...\SISAS N 9 Uso de tcnicas de auditora asistidas por computador.ht 25/06/03
Misin
Mensaje del
Presidente
Directorio 2002
Membresa
CISA
Seminarios
Asociados
CobiT
Links
Guas de
Auditora
Home
Standares
SISAS N 9Uso de tcnicas de auditora
asistidas por computador(CAATs)
1.1. Relacin con los estndares
La norma 060.020 (evidencia) establece que durante el curso de unaauditora, el auditor de sistemas de informacin debe obtener evidenciasuficiente, confiable, relevante y til para lograr los objetivos de la auditoraefectivamente. Los resultados y conclusiones de la auditora deben estar
apoyados por un apropiado anlisis e interpretacin de esta evidencia.
La norma 050.010 (planificacin de auditora) establece que el auditor de
sistemas de informacin debe proponer los sistemas de informacin para eltrabajo de auditora para dirigir los objetivos de sta y cumplir con las normas
profesionales de auditora.
La norma 030.020 (Cuidado profesional adecuado) establece que Elcuidado profesional adecuado y la observacin de las normas de auditorasdeben ser utilizadas en todos los aspectos de los trabajos del auditor de
sistemas de informacin.
1.2. Necesidad de esta gua
Las tcnicas de auditora asistidas por computador son de suma importancia
para el auditor SI cuando realiza una auditora. CAATs incluyen distintostipos de herramientas y de tcnicas, las que ms se utilizan son los softwaresde auditora generalizado, software utilitario, los datos de prueba y sistemasexpertos de auditora. CAATs se pueden utilizar para realizar variosprocedimientos de auditora incluyendo: Prueba de los detalles deoperaciones y saldos Procedimientos de revisin analticos, Pruebas decumplimiento de los controles generales de sistemas de informacin,Pruebas de cumplimiento de los controles de aplicacin. CAATs puedengenerar una gran parte de la evidencia de la auditora que provienen de lasauditoras de sistemas de informacin y como consecuencia el auditor desistemas de informacin debe planificar cuidadosamente y mostrar elcuidado profesional debido cuando se utiliza los CAAT. Esta gua muestracomo el auditor de sistemas de informacin debe cumplir con las normas
mencionadas. El ajustarse a esta gua no es obligatorio, pero el auditor desistema de informacin debe esta preparado para justificar cualquier
incumplimiento a sta.
2. Planificacin
2.1. Los factores a tomar en cuenta cuando se toma la decisin de utilizar
CAAT
Cuando se planifica la auditora, el auditor de sistemas de informacin debeconsiderar una combinacin apropiada de las tcnicas manuales y lastcnicas de auditora asistidas por computador. Cuando se determina utilizar
CAAT los factores a considerar son los siguientes:
Conocimientos computacionales, pericia y experiencia del auditor desistemas de informacin. Disponibilidad de los CAAT y de los sistemas de
informacin.
Eficiencia y efectividad de utilizar los CAAT en lugar de las tcnicas
manuales
Restricciones de tiempo
Pasos para la planificacin de los CAAT
Los pasos ms importantes que el auditor de sistemas de informacin debeconsiderar cuando prepara la aplicacin de los CAATs seleccionados son los
-
7/22/2019 Tecnicas de Auditoria_pc SISAS 9
2/4
SISAS N 9 "Uso de tcnicas de auditora asistidas por computador" Page 2 of 4
file://D:\Biblioteca d...\SISAS N 9 Uso de tcnicas de auditora asistidas por computador.ht 25/06/03
siguientes: Establecer los objetivos de auditora de los CAAT Determinaraccesibilidad y disponibilidad de los sistemas de informacin, losprogramas/sistemas y datos de la organizacin. Definir los procedimientos aseguir (por ejemplo: una muestra estadstica, reclculo, confirmacin, etc).Definir los requerimientos de output. Determinar los requerimientos derecursos Documentar los costos y los beneficios esperados Obtener accesoa las facilidades de los sistemas de informacin de la organizacin, susprogramas/sistemas y sus datos. Documentar los CAATs a utilizar
incluyendo los objetivos, flujogramas de alto nivel y las instrucciones aejecutar . Acuerdo con el cliente (auditado) Los archivos de datos, tantocomo los archivos de operacin detallados (transaccionales, por ejemplo), amenudo son guardados slo por un perodo corto, por lo tanto, el auditor desistemas de informacin debe arreglar que estos archivos sean guardadospor el marco de tiempo de la auditora. Organizar el acceso a los sistemas deinformacin de la organizacin, programas/sistemas y datos con anticipacin
para minimizar el efecto en el ambiente productivo de la organizacin.
El auditor de sistemas de informacin debe evaluar el efecto que los cambiosa los programas/sistemas de produccin puedan tener en el uso de losCAAT. Cuando el auditor de sistemas de informacin lo hace, debeconsiderar el efecto de estos cambios en la integridad y utilidad de los
CAATs, tanto como la integridad de los programas/sistemas y los datosutilizados por el auditor de sistemas de informacin. Probando los CAATs Elauditor de sistemas de informacin debe obtener una garanta razonable dela integridad, confiabilidad, utilidad y seguridad de los CAATs por medio deuna planificacin, diseo, prueba, procesamiento y revisin adecuados de ladocumentacin. Esto debe ser hecho antes de depender de los CAATs. Lanaturaleza, el tiempo y extensin de las pruebas depende de la disponibilidad
y la estabilidad de los CAATs.
La seguridad de los datos y de los CAATs Los CAATs pueden ser utilizadospara extraer informacin de programas/sistemas y datos de produccinconfidenciales. El auditor de sistemas de informacin debe salvaguardar lainformacin de los programas/sistemas y los datos de produccin con un
nivel apropiado de confidencialidad y seguridad. Al hacerlo el auditor debeconsiderar el nivel de confidencialidad y seguridad que exige la organizacina la cual pertenecen los datos. El auditor de sistemas de informacin debeutilizar y documentar los resultados de los procedimientos aplicados paraasegurar la integridad, confiabilidad, utilidad y seguridad permanentes de losCAATs. Por ejemplo, debe incluir una revisin del mantenimiento de losprogramas y controles de los cambios de programa de auditora para
determinar que slo se hacen los cambios autorizados al CAAT.
Cuando los CAAT estn en un ambiente que no est bajo el control delauditor de sistemas de informacin. Un nivel de control apropiado debe serimplementado para identificar los cambios a los CAAT. Cuando se hacencambios a los CAAT el auditor de sistemas de informacin debe asegurarsede su integridad, confiabilidad, utilidad y seguridad por medio de unaplanificacin, diseo, prueba, procesamiento y revisin apropiados de la
documentacin, antes de confiar en ellos.
3. Realizacin de la auditora
3.1. Recolectar evidencia de la auditora
El uso de los CAAT debe ser controlado por el auditor de sistemas deinformacin para asegurar razonablemente que se cumple con los objetivosde la auditora y las especificaciones detalladas de los CAAT . El auditordebe: Realizar una conciliacin de los totales de control; Realizar una revisinindependiente de la lgica de los CAAT Realizar una revisin de los controlesgenerales de los sistemas de informacin de la organizacin que puedancontribuir a la integridad de los CAAT (por ejemplo: controles de los cambiosen los programas y el acceso a los archivos de sistema, programa y/o
datos).
3.2. El software de auditora generalizado
Cuando el auditor de sistema de informacin utiliza el software de auditorageneralizado para acceder a los datos de produccin, se debe tomar lasmedidas apropiadas para proteger la integridad de los datos de laorganizacin. Adems, el auditor de sistemas de informacin tendr que
estar involucrado en el diseo del sistema y las tcnicas que se utilizaronpara el desarrollo y mantencin de los programas/sistemas de aplicacin de
la organizacin.
-
7/22/2019 Tecnicas de Auditoria_pc SISAS 9
3/4
SISAS N 9 "Uso de tcnicas de auditora asistidas por computador" Page 3 of 4
file://D:\Biblioteca d...\SISAS N 9 Uso de tcnicas de auditora asistidas por computador.ht 25/06/03
3.3. Software utilitario
Cuando el auditor de sistemas de informacin utiliza el software utilitario debeconfirmar que no tuvieron lugar ninguna intervencin no planificada duranteel procesamiento y que ste software ha sido obtenido desde la biblioteca desistema apropiado, mediante una revisin del log de la consola del sistema o
de la informacin de contabilidad del sistema. El auditor de sistemas deinformacin tambin debe tomar las medidas apropiadas para proteger laintegridad del sistema y programas de la organizacin, puesto que estos
utilitarios podran fcilmente daar el sistema y sus archivos.
3.4. Datos de prueba
Cuando el auditor de sistemas de informacin utiliza los datos de pruebadebe estar consiente de que pueden existir ciertos puntos potenciales deerrores en el procesamiento; dado que sta tcnica no evala los datos deproduccin en su ambiente real. El auditor de sistemas de informacintambin debe estar consiente de que el anlisis de los datos de pruebapueden resultar extremadamente complejos y extensos, dependiendo de el
nmero de operaciones procesadas, el nmero de programas sujetos apruebas y la complejidad de los programas/sistemas.
3.5. Localizacin y maping del software de aplicacin
Cuando el auditor de sistemas de informacin utiliza el software de aplicacinpara sus pruebas CAT, debe confirmar que el programa fuente que estevaluando es lo mismo que se utiliza actualmente en produccin. El auditorde sistemas de informacin debe estar consiente de que el software deaplicacin slo indica el potencial de un proceso errneo, no evala los datosde produccin en su ambiente real. Los sistemas de auditora especializadosCuando el auditor de sistemas de informacin utiliza los sistemas de
auditora especializados debe conocer profundamente las operaciones delsistema par confirmar que las sendas de decisin seguidas son apropiadas
para el ambiente/situacin de auditora.
4. La documentacin de los CAATs Papeles de trabajo
Una descripcin del trabajo realizado, seguimiento y las conclusiones acercade los resultados de los CAATs deben estar registrados en los papeles detrabajo de la auditora. Las conclusiones acerca del funcionamiento delsistema de informacin y de la confiabilidad de los datos deben estarregistrados en los papeles de trabajo de la auditora. El proceso paso a pasode los CAAT debe estar documentado adecuadamente para permitir que elproceso se mantenga y se repita por otro auditor de sistemas de informacin.Especficamente los papeles de trabajo deben contener la documentacinsuficiente para describir la aplicacin de los CAAT incluyendo los detalles que
se mencionan en los prrafos siguientes.
Planificacin La documentacin debe incluir lo siguiente:
Los objetivos de los CAAT Los CAAT a utilizar
Los controles a implementar
El personal involucrado, el tiempo que tomar y los costos.
Ejecucin
La documentacin debe incluir: Los procedimientos de la preparacin y laprueba de los CAAT y los controles relacionados. Los detalles de las pruebasrealizadas por los CAAT Los detalles de los input (ejemplo: los datosutilizados, esquema de archivos), el procesamiento (ejemplo: los flujogramasde alto nivel de los CAAT, la lgica) y los outputs (ejemplo: archivos log,reportes). Evidencia de auditora La documentacin debe incluir lo siguiente:El output producido Una descripcin del trabajo de anlisis de auditora quese realiz para el output. Resultado de la auditora Conclusiones de laauditora Otros La documentacin debe incluir lo siguiente: Las
recomendaciones de la auditora
5. Informe/Reporte Descripcin de los CAAT
-
7/22/2019 Tecnicas de Auditoria_pc SISAS 9
4/4
SISAS N 9 "Uso de tcnicas de auditora asistidas por computador" Page 4 of 4
file://D:\Biblioteca d...\SISAS N 9 Uso de tcnicas de auditora asistidas por computador.ht 25/06/03
La seccin del informe donde se tratan los objetivos, la extensin ymetodologa debe incluir una clara descripcin de los CAAT utilizados. Estadescripcin no debe ser muy detallada, pero debe proporcionar una buenavisin general al lector. La descripcin de los CAAT utilizados tambin debeser incluida en el informe donde se discute el hallazgo especfico relacionadocon el uso de los CAAT. Si se puede aplicar la descripcin de los CAAT avarios hallazgos o si es demasiado detallado debe ser descrito brevemente
en la seccin del informe donde se tratan los objetivos, extensin ymetodologa y una referencia anexa para el lector, con una descripcin ms
detallada.
6. Fecha efectiva
6.1. Esta pauta es efectiva para todos los auditores de los sistemas de
informacin que comiencen durante o despus (de la fecha de emisin).
copyright 1999 Isaca Chile A.G. -Todos los derechos reservados -
This page is designed by : PHF