TECNICAS DE AUDITORIA ASISTIDAS

POR COMPUTADORA

También conocidas por su sigla en ingles como CAATs (Computer

Assisted Audit Techniques).

NORMAS

Normas Internacionales de Auditoria emitidas por IFAC (International

Federation of Accountants) en la NIA ( Norma Internacional de Auditoria o
International Standards on Auditing, ISA) 15 y 16, donde se contempla la
necesidad de utilizar otras técnicas además de las manuales.

Norma ISA 401, sobre Sistemas de Información por Computadora.

El SAS No. 94 (The Effect of Information Technology on the Auditor's

Consideration of Internal Control in a Financial Statement Audit) dice que en
una organización que usa Tecnologías de Información IT, se puede ver
afectada en uno de los siguientes cinco componentes del control interno:

 El Ambiente de Control.
 Evaluación de Riesgos.
 Actividades de Control.
 Información.
 Comunicación y Monitoreo

Todo esto y además de la forma en que se inicializan, registran,

procesan y reporta las transacciones.

La norma SAP 1009 (Statement of Auditing Practice) denominada

Computer Assisted Audit Techniques (CAATs) o Técnicas de Auditoria
Asistidas por Computador (TAACs), plantea la importancia del uso de TAACs
en auditorias en un entorno de sistemas de información por computadora.
TÉCNICAS MANUALES

Inspección: De documentos, procedimientos, activos, para verificar su

existencia, más que para determinar la forma en que se están
utilizando.
Observación: De procesos o acciones
Investigación o indagación.
Confirmación: Ratificar datos.
Cálculo: Precisión matemática
Revisión Analítica: Investigación de fluctuaciones o partidas poco
usuales.

TÉCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADOR (TAAC'S)

Computer Assisted Audit Techniques (CAAT).

El SAP 1009 los define como programas de computador y datos que el

auditor usa como parte de los procedimientos de auditoria para procesar datos
de significancia en un sistema de información.

El SAP 1009 describe los procedimientos de auditoria en que pueden ser

usados las TAACs :

 Pruebas de detalles de transacciones y balances (Recálculos de

intereses, extracción de ventas por encima de cierto valor, Etc.)

 Procedimientos analíticos, por ejemplo identificación de inconsistencias

o fluctuaciones significativas.

 Pruebas de controles generales, tales como configuraciones en sistemas

operativos, procedimientos de acceso al sistema, comparación de
códigos y versiones.
  Programas de muestreo para extractar datos.

 Pruebas de control en aplicaciones.

 Recálculos.

Datos de Prueba

Se alimenta la aplicación con datos preparados por el auditor y de los

cuales conoce los resultados luego de procesarlos. El objetivo es conocer que
hace el programa y la acción de los controles implementados su ausencia.

Uso: Evaluación de controles específicos.

 Verificación de validaciones
 Prueba de perfiles de acceso
 Prueba a transacciones seleccionadas

Anotaciones:

 Un elemento de gran importancia en esta técnica es el diseño de los

datos de prueba, lo que en últimas determinara la efectividad de esta
técnica. Es recomendable seleccionar datos normales, ilógicos,
imposibles, con valores extremos, etc.

 Es necesario para el funcionamiento de la actividad normal, pues se

corre el riesgo de mezclar la información.

 Es sencillo su uso, pero debe tenerse claro su objetivo.

La IFAC en su SAP 1009, plantea:

Las técnicas de datos de prueba se usan durante una auditoria alimentando

datos (por ejemplo, una muestra de transacciones) al sistema de cómputo de
una entidad, y comparando los resultados obtenidos con resultados
predeterminados.

ITF (Integrated Test Facility).

Prueba Integrada de Facilidad, también conocida como prueba de mini

compañía.

Su objetivo y uso es similar al caso anterior pero su gran diferencia principal

radica en su implementación sin detener el funcionamiento normal de la
instalación, mezclando los datos de prueba con los datos reales, en la misma
aplicación.
Simulación Paralela

Programas independientes creados por la auditoría para procesar datos reales

y simular proceso real.
Software de Auditoría

Según El SAP 1009, en su parágrafo 26:

"El software de auditoría consiste en programas de computadora usados por el

auditor, como parte de sus procedimientos de auditoría, para procesar datos de
importancia de auditoria del sistema de contabilidad de la entidad. Puede
consistir en programas de paquete, programas escritos para un propósito,
programas de utilería o programas de administración del sistema.
Independientemente de la fuente de los programas, el auditor deberá verificar
su validez para fines de auditoría antes de su uso".

SOFTWARE GENERAL DE AUDITORIA

SOFTWARE DE AUDITORIA A LA MEDIDA

Paquete de Auditoría

Son programas generalizados de computadora diseñados para desempeñar

funciones de procesamiento de datos que incluyen leer archivos de
computadora, seleccionar información, realizar cálculos, crear archivos de
datos e imprimir informes en un formato especificado por el auditor". Son
usados para control de secuencias, búsquedas de registros, selección de
datos, revisión de operaciones lógicas y muestreo.

Software para un propósito específico o diseñado a la medida

"Son programas de computadora diseñados para desempeñar tareas de

auditoría en circunstancias específicas. Estos programas pueden ser
desarrollados por el auditor, por la entidad, o por un programador externo
contratado por el auditor. En algunos casos el auditor puede usar programas
existentes en la entidad en su estado original o modificado porque puede ser
más eficiente que desarrollar programas independientes". Si se desarrolla a la
medida es posible aprovechar estos programas para aplicar otras técnicas.

Los programas de utilería

"Son usados por la entidad para desempeñar funciones comunes de

procesamiento de datos, como clasificación, creación e impresión de archivos.
Estos programas generalmente no están diseñados para propósitos de
auditoría y, por lo tanto, pueden no contener características tales como conteo
automático de registros o totales de control".

Los programas de administración del sistema

"Son herramientas de productividad sofisticadas que son típicamente parte de

los sistemas operativos sofisticados, por ejemplo software para recuperación
de datos o software para comparación de códigos. Como en el caso anterior
estas herramientas no son específicamente diseñadas para usos de auditoria y
deben ser utilizadas con cuidado".

Rutinas de Auditoría embebidas en Programas de aplicación.

Módulos especiales de recolección de información incluidos en la aplicación y

diseñados con fines específicos. Según SAP 1009, se incluyen en estas
SnapShots. Es una fotografía interna al sistema, es decir a la memoria, lo que
permite obtener resultados intermedios en diferentes momentos de un proceso
o conseguir valores temporales de una variable. Se activa mediante ciertas
condiciones preestablecidas. Permite al auditor rastrear los datos y evaluar los
algoritmos aplicados a los datos

Archivo de revisión de auditoría.

Involucra módulos incrustados en una aplicación que monitorea continuamente

el sistema de transacciones. Recolecta la información en archivos especiales
que puede examinar el auditor.
 MODELOS EMBEBIDOS DE AUDITORIA

En resumen los paquetes de auditoria son usados para control de secuencias,

búsquedas de registros, selección de datos, revisión de operaciones lógicas y
muestreo.

Registros extendidos

Se incluye en algún tipo de registro información significativa sobre las

transacciones o el sistema, que luego pude ser consultada por el auditor.
Técnicas para analizar programas

Traceo

Indica por donde paso el programa cada vez que se ejecuta una instrucción.
Imprime o muestra en la pantalla el valor de las variables, en una porción o en
todo el programa.

Mapeo

Característica del programa tales como tamaño en bytes, localización en

memoria, fecha de última modificación, etc.

Comparación de código.

Involucra los códigos fuentes y códigos objetos.

Job Accounting Software. Informe de Contabilidad del Sistema.

Utilitario del sistema operativo que provee el medio para acumular y registrar la
información necesaria para facturar a los usuarios y evaluar el uso del sistema.

Consideraciones para el uso de TAAC's

 El auditor debe considerar una combinación apropiada de técnicas de

auditoría manual y asistida por computador:

 Conocimiento del sistema sujeto a evaluación.

 Conocimiento, pericia y experiencia del auditor en sistemas de

información.
  Capacidad del auditor para usar la técnica, tanto a nivel de planificación,
ejecución y uso de los resultados obtenidos.

 Disponibilidad de TAACs e instalaciones adecuadas para su

implementación.

 Poco practico de las pruebas manuales, por imposibilidad de rastros

físicos de las entradas, procesamientos y salidas de las transacciones o
por el alto volumen de información manejado.

 Efectividad y eficiencia. Su efectividad debido a la posibilidad de revisar

un grueso volumen de transacciones (o tal vez toda), la fácil
implementación de la revisión analítica. La eficiencia de debe tener en
cuenta en términos de tiempo de preparación, de ejecución y análisis de
resultados, gastos adicionales, etc.

 Oportunidad de evaluar datos e información en el momento en que esta

disponible.

Es importante resaltar que las TAACs se apoyan en programas de computador,

los cuales deben ser desarrollados usando las metodologías de ingeniería de
software. Es responsabilidad del auditor garantizar el control sobre estos
programas, mal haría en confiar la recolección de evidencia a una herramienta
o técnica que funciona errónea o deficientemente. Por lo anterior es su deber
participar en todas las fases del desarrollo (determinación de requerimientos,
diseño, construcción, prueba e implantación). Debe el auditor mantener bajo su
vigilancia estas aplicaciones para evitar que sufran modificaciones no
autorizadas.
Inventario y Auditoria de Sistemas

Para llegar a la fuente de problemas y proveer soluciones rápidas y eficientes,

gerentes y proveedores de servicios de TI necesitan un inventario de hardware
y software de los servidores, estaciones de trabajo, computadoras portátiles y
el software instalado en sus redes.

Esta tarea se hace cada vez más difícil con la expansión de la red más allá de
las paredes de la organización hacia múltiples localidades – muchas veces
internacionales - incluyendo las viviendas de empleados.

Ciertos tipos de software proveen un inventario completo y comprehensivo de

hardware y software. Realizan Auditoria automática recurrente de
computadoras mantiene el inventario al día y exacto siempre.

Entre los datos referentes al Inventario y Configuración de Computadoras

deberían incluir:

Hardware:
 CPUs, tarjetas PCI, memoria y discos con notas de usuario

Software:
 Licencias, números de versiones, ubicación y descripción
 Información de sistema del DMI y SMBIOS incluyendo:
 Marca y modelo de la computadora, número de serie, tipo de mother
board
 Configuración detallados adicionales
 Información del sistema operativo, número de versión y service pack
 Inventario de conexiones de red internas y externas

Parametrización Actualizada de la red incluyendo:

 Dirección IP del WAN y Gateway

 Dirección de DNS, WINS, DHCP y MAC
  Detalles del CPU, RAM y volumen de disco
 Impresoras, locales y de red

AUDITORIA DE REDES LOCALES

Los auditores de sistemas deben, en las empresas actuales, obligatoriamente

enfrentar su labor profesional en Redes de Computadores, por donde se
transporta información sensitiva y vital para las organizaciones

Objeto de Estudio

Siendo consistente con la metodología empleada a lo largo del curso se

propone dividir los diferentes escenarios en grupo y para cada uno evaluar los
riesgos a que esta expuesto el sistema.

1. Diseño e implementación de la red

a. Análisis de necesidades
b. Diseño y escogencia de la arquitectura.

Revisar el procedimiento seguido en la selección, adquisición e instalación de

la red LAN. Evaluar los estándares soportados en la arquitectura seleccionada

2. Documentación de la Red

a. Revisar los manuales de diseño.

b. Verificar que exista un plano de las instalaciones correctamente
documentados los centros de cableado, los servidores, el cableado y los
puntos de red.

3. Mantenimiento y adecuación de la Red

a. Verificar que se evalué la calidad de la red en cuanto a disponibilidad,

fiabilidad y velocidad de acuerdo a las aplicaciones y usuarios que soporta.
b. Evaluar si los cambios funcionales de la organización se ven reflejados en
modificaciones de la LAN.
c. Conocer si se realiza mantenimiento a la red y si quienes lo hacen son
idóneos en estas actividades.
d. Evaluar si las labores de mantenimiento no han generados problemas con
información o funcionamiento de la red.

4. Estado actual
a. Políticas de seguridad
Evaluar si existen políticas de seguridad.
Si existen, si son acordes con la organización.
Si son conocidas por el personal.
Para evaluar las políticas de seguridad revisar el capitulo en este curso sobre
este tema.
b. Controles Físicos
c. Controles lógicos
i. Detección de usuarios no autorizados
ii. Calidad de contraseñas
iii. Intentos de intromisión
Deteccion de intrusos
d. Controles de personal
i. Usuarios del sistema
ii. Perfiles de usuario
iii. Capacitación
e. Controles de Estaciones
f. Controles del Servidor
i. Sistema operativo de soporte
ii. Objetos en el servidor
iii. Servicios activos
g. Hardware de comunicaciones.
5. Proteccion de recursos.
a. Soporte a los usuarios
i. Evaluar si existe una persona capacitada para dar soporte los usuarios de la
red y que se encargue de tareas como las siguientes:
ii. Capacitar a los usuarios para el buen uso de los recursos
iii. Explicar sobre las políticas de seguridad a que están sujetos
iv. Garantizar los recursos de hardware y software que estos requieren para el
cumplimiento de sus labores.
b. Respaldo.
Este respaldo debe ser entendido en todas las facetas:
Hardware:
Servidores
Equipos de Comunicación de datos
Medios de transmisión:
Canales de comunicación
Software:
Personal
En particular se debe evaluar la existencia de un método de hacer las copias
de respaldo de la información de la empresa.
Verificar que:
- Se cumpla.
- Que se hagan copias en diferentes medios.
- Que estén claramente etiquetados los medios.
- Que se realicen pruebas de los medios.
c. Protección de aplicaciones y programas

i. Verificar si se tiene instalado programa antivirus o en su defecto se han

tomado las medidas de seguridad para evitar la contaminación.
ii. Corroborar que los accesos a Internet están aislado de los sistemas que
manejen información sensitiva.
d. Software no autorizado
Evaluar si se tienen claras políticas y son de conocimiento de los usuarios
sobre el software a instalar.
Verificar que se realizan revisiones periódicas del software licenciado.
e. Planes de contingencia.
Revisar la existencia de planes de contingencia.
Si existen corroborar que:
Sean conocidos por todos.
Que se hayan realizado simulacros.
Que se tengan convenios por escrito en para los casos que se requieran
recursos extra-empresa