Tecnicas de Auditoria_pc SISAS 9

7/22/2019 Tecnicas de Auditoria_pc SISAS 9

1/4

SISAS N 9 "Uso de tcnicas de auditora asistidas por computador" Page 1 of 4

file://D:\Biblioteca d...\SISAS N 9 Uso de tcnicas de auditora asistidas por computador.ht 25/06/03

Misin

Mensaje del

Presidente

Directorio 2002

Membresa

CISA

Seminarios

Asociados

CobiT

Links

Guas de

Auditora

Home

Standares

SISAS N 9Uso de tcnicas de auditora

asistidas por computador(CAATs)

1.1. Relacin con los estndares

La norma 060.020 (evidencia) establece que durante el curso de unaauditora, el auditor de sistemas de informacin debe obtener evidenciasuficiente, confiable, relevante y til para lograr los objetivos de la auditoraefectivamente. Los resultados y conclusiones de la auditora deben estar

apoyados por un apropiado anlisis e interpretacin de esta evidencia.

La norma 050.010 (planificacin de auditora) establece que el auditor de

sistemas de informacin debe proponer los sistemas de informacin para eltrabajo de auditora para dirigir los objetivos de sta y cumplir con las normas

profesionales de auditora.

La norma 030.020 (Cuidado profesional adecuado) establece que Elcuidado profesional adecuado y la observacin de las normas de auditorasdeben ser utilizadas en todos los aspectos de los trabajos del auditor de

sistemas de informacin.

1.2. Necesidad de esta gua

Las tcnicas de auditora asistidas por computador son de suma importancia

para el auditor SI cuando realiza una auditora. CAATs incluyen distintostipos de herramientas y de tcnicas, las que ms se utilizan son los softwaresde auditora generalizado, software utilitario, los datos de prueba y sistemasexpertos de auditora. CAATs se pueden utilizar para realizar variosprocedimientos de auditora incluyendo: Prueba de los detalles deoperaciones y saldos Procedimientos de revisin analticos, Pruebas decumplimiento de los controles generales de sistemas de informacin,Pruebas de cumplimiento de los controles de aplicacin. CAATs puedengenerar una gran parte de la evidencia de la auditora que provienen de lasauditoras de sistemas de informacin y como consecuencia el auditor desistemas de informacin debe planificar cuidadosamente y mostrar elcuidado profesional debido cuando se utiliza los CAAT. Esta gua muestracomo el auditor de sistemas de informacin debe cumplir con las normas

mencionadas. El ajustarse a esta gua no es obligatorio, pero el auditor desistema de informacin debe esta preparado para justificar cualquier

incumplimiento a sta.

2. Planificacin

2.1. Los factores a tomar en cuenta cuando se toma la decisin de utilizar

CAAT

Cuando se planifica la auditora, el auditor de sistemas de informacin debeconsiderar una combinacin apropiada de las tcnicas manuales y lastcnicas de auditora asistidas por computador. Cuando se determina utilizar

CAAT los factores a considerar son los siguientes:

Conocimientos computacionales, pericia y experiencia del auditor desistemas de informacin. Disponibilidad de los CAAT y de los sistemas de

informacin.

Eficiencia y efectividad de utilizar los CAAT en lugar de las tcnicas

manuales

Restricciones de tiempo

Pasos para la planificacin de los CAAT

Los pasos ms importantes que el auditor de sistemas de informacin debeconsiderar cuando prepara la aplicacin de los CAATs seleccionados son los


2/4



siguientes: Establecer los objetivos de auditora de los CAAT Determinaraccesibilidad y disponibilidad de los sistemas de informacin, losprogramas/sistemas y datos de la organizacin. Definir los procedimientos aseguir (por ejemplo: una muestra estadstica, reclculo, confirmacin, etc).Definir los requerimientos de output. Determinar los requerimientos derecursos Documentar los costos y los beneficios esperados Obtener accesoa las facilidades de los sistemas de informacin de la organizacin, susprogramas/sistemas y sus datos. Documentar los CAATs a utilizar

incluyendo los objetivos, flujogramas de alto nivel y las instrucciones aejecutar . Acuerdo con el cliente (auditado) Los archivos de datos, tantocomo los archivos de operacin detallados (transaccionales, por ejemplo), amenudo son guardados slo por un perodo corto, por lo tanto, el auditor desistemas de informacin debe arreglar que estos archivos sean guardadospor el marco de tiempo de la auditora. Organizar el acceso a los sistemas deinformacin de la organizacin, programas/sistemas y datos con anticipacin

para minimizar el efecto en el ambiente productivo de la organizacin.

El auditor de sistemas de informacin debe evaluar el efecto que los cambiosa los programas/sistemas de produccin puedan tener en el uso de losCAAT. Cuando el auditor de sistemas de informacin lo hace, debeconsiderar el efecto de estos cambios en la integridad y utilidad de los

CAATs, tanto como la integridad de los programas/sistemas y los datosutilizados por el auditor de sistemas de informacin. Probando los CAATs Elauditor de sistemas de informacin debe obtener una garanta razonable dela integridad, confiabilidad, utilidad y seguridad de los CAATs por medio deuna planificacin, diseo, prueba, procesamiento y revisin adecuados de ladocumentacin. Esto debe ser hecho antes de depender de los CAATs. Lanaturaleza, el tiempo y extensin de las pruebas depende de la disponibilidad

y la estabilidad de los CAATs.

La seguridad de los datos y de los CAATs Los CAATs pueden ser utilizadospara extraer informacin de programas/sistemas y datos de produccinconfidenciales. El auditor de sistemas de informacin debe salvaguardar lainformacin de los programas/sistemas y los datos de produccin con un

nivel apropiado de confidencialidad y seguridad. Al hacerlo el auditor debeconsiderar el nivel de confidencialidad y seguridad que exige la organizacina la cual pertenecen los datos. El auditor de sistemas de informacin debeutilizar y documentar los resultados de los procedimientos aplicados paraasegurar la integridad, confiabilidad, utilidad y seguridad permanentes de losCAATs. Por ejemplo, debe incluir una revisin del mantenimiento de losprogramas y controles de los cambios de programa de auditora para

determinar que slo se hacen los cambios autorizados al CAAT.

Cuando los CAAT estn en un ambiente que no est bajo el control delauditor de sistemas de informacin. Un nivel de control apropiado debe serimplementado para identificar los cambios a los CAAT. Cuando se hacencambios a los CAAT el auditor de sistemas de informacin debe asegurarsede su integridad, confiabilidad, utilidad y seguridad por medio de unaplanificacin, diseo, prueba, procesamiento y revisin apropiados de la

documentacin, antes de confiar en ellos.

3. Realizacin de la auditora

3.1. Recolectar evidencia de la auditora

El uso de los CAAT debe ser controlado por el auditor de sistemas deinformacin para asegurar razonablemente que se cumple con los objetivosde la auditora y las especificaciones detalladas de los CAAT . El auditordebe: Realizar una conciliacin de los totales de control; Realizar una revisinindependiente de la lgica de los CAAT Realizar una revisin de los controlesgenerales de los sistemas de informacin de la organizacin que puedancontribuir a la integridad de los CAAT (por ejemplo: controles de los cambiosen los programas y el acceso a los archivos de sistema, programa y/o

datos).

3.2. El software de auditora generalizado

Cuando el auditor de sistema de informacin utiliza el software de auditorageneralizado para acceder a los datos de produccin, se debe tomar lasmedidas apropiadas para proteger la integridad de los datos de laorganizacin. Adems, el auditor de sistemas de informacin tendr que

estar involucrado en el diseo del sistema y las tcnicas que se utilizaronpara el desarrollo y mantencin de los programas/sistemas de aplicacin de

la organizacin.


3/4



3.3. Software utilitario

Cuando el auditor de sistemas de informacin utiliza el software utilitario debeconfirmar que no tuvieron lugar ninguna intervencin no planificada duranteel procesamiento y que ste software ha sido obtenido desde la biblioteca desistema apropiado, mediante una revisin del log de la consola del sistema o

de la informacin de contabilidad del sistema. El auditor de sistemas deinformacin tambin debe tomar las medidas apropiadas para proteger laintegridad del sistema y programas de la organizacin, puesto que estos

utilitarios podran fcilmente daar el sistema y sus archivos.

3.4. Datos de prueba

Cuando el auditor de sistemas de informacin utiliza los datos de pruebadebe estar consiente de que pueden existir ciertos puntos potenciales deerrores en el procesamiento; dado que sta tcnica no evala los datos deproduccin en su ambiente real. El auditor de sistemas de informacintambin debe estar consiente de que el anlisis de los datos de pruebapueden resultar extremadamente complejos y extensos, dependiendo de el

nmero de operaciones procesadas, el nmero de programas sujetos apruebas y la complejidad de los programas/sistemas.

3.5. Localizacin y maping del software de aplicacin

Cuando el auditor de sistemas de informacin utiliza el software de aplicacinpara sus pruebas CAT, debe confirmar que el programa fuente que estevaluando es lo mismo que se utiliza actualmente en produccin. El auditorde sistemas de informacin debe estar consiente de que el software deaplicacin slo indica el potencial de un proceso errneo, no evala los datosde produccin en su ambiente real. Los sistemas de auditora especializadosCuando el auditor de sistemas de informacin utiliza los sistemas de

auditora especializados debe conocer profundamente las operaciones delsistema par confirmar que las sendas de decisin seguidas son apropiadas

para el ambiente/situacin de auditora.

4. La documentacin de los CAATs Papeles de trabajo

Una descripcin del trabajo realizado, seguimiento y las conclusiones acercade los resultados de los CAATs deben estar registrados en los papeles detrabajo de la auditora. Las conclusiones acerca del funcionamiento delsistema de informacin y de la confiabilidad de los datos deben estarregistrados en los papeles de trabajo de la auditora. El proceso paso a pasode los CAAT debe estar documentado adecuadamente para permitir que elproceso se mantenga y se repita por otro auditor de sistemas de informacin.Especficamente los papeles de trabajo deben contener la documentacinsuficiente para describir la aplicacin de los CAAT incluyendo los detalles que

se mencionan en los prrafos siguientes.

Planificacin La documentacin debe incluir lo siguiente:

Los objetivos de los CAAT Los CAAT a utilizar

Los controles a implementar

El personal involucrado, el tiempo que tomar y los costos.

Ejecucin

La documentacin debe incluir: Los procedimientos de la preparacin y laprueba de los CAAT y los controles relacionados. Los detalles de las pruebasrealizadas por los CAAT Los detalles de los input (ejemplo: los datosutilizados, esquema de archivos), el procesamiento (ejemplo: los flujogramasde alto nivel de los CAAT, la lgica) y los outputs (ejemplo: archivos log,reportes). Evidencia de auditora La documentacin debe incluir lo siguiente:El output producido Una descripcin del trabajo de anlisis de auditora quese realiz para el output. Resultado de la auditora Conclusiones de laauditora Otros La documentacin debe incluir lo siguiente: Las

recomendaciones de la auditora

5. Informe/Reporte Descripcin de los CAAT


4/4



La seccin del informe donde se tratan los objetivos, la extensin ymetodologa debe incluir una clara descripcin de los CAAT utilizados. Estadescripcin no debe ser muy detallada, pero debe proporcionar una buenavisin general al lector. La descripcin de los CAAT utilizados tambin debeser incluida en el informe donde se discute el hallazgo especfico relacionadocon el uso de los CAAT. Si se puede aplicar la descripcin de los CAAT avarios hallazgos o si es demasiado detallado debe ser descrito brevemente

en la seccin del informe donde se tratan los objetivos, extensin ymetodologa y una referencia anexa para el lector, con una descripcin ms

detallada.

6. Fecha efectiva

6.1. Esta pauta es efectiva para todos los auditores de los sistemas de

informacin que comiencen durante o despus (de la fecha de emisin).

copyright 1999 Isaca Chile A.G. -Todos los derechos reservados -

This page is designed by : PHF

Tecnicas de Auditoria_pc SISAS 9

Documents

Transcript of Tecnicas de Auditoria_pc SISAS 9