Unidad 02 - Metodologia y Plan de Auditoria

Capitulo 04: Tecnicas de Auditoria 1

Tcnicas de Auditora
Las tcnicas de auditora son mtodos prcticos de
investigacin y prueba que utiliza el auditor para obtener la
evidencia que fundamente sus opiniones, conclusiones y
reportes.
Las tcnicas seleccionadas y aplicadas se convierten en
procedimientos de auditora.

Tcnica Ocular
Consiste en observar en forma directa y paralela la manera
como los responsables de la administracin, desarrollan y
documentan los procesos o procedimientos que la
organizacin utiliza para ejecutar las actividades objeto de
control.

Tcnica Ocular
Comparacin
Es el acto de apreciar la similitud o diferencia existente entre dos o ms
elementos o situaciones.
En la auditoria supone cotejar y evaluar los mismos criterios aceptables
que facilitan la labor del auditor para obtener de dicha accin un
resultado o conclusin.

Observacin
Es el examen visual u ocular realizado para cerciorarse de hechos,
circunstancias y de como se ejecutan las operaciones.
Es de utilidad en todas las fases del proceso de auditoria. Puede ser
efectuada de manera abierta o discreta.

Tcnica Verbal u Oral
Permite obtener informacin mediante el dialogo con los
integrantes de la organizacin o los de su entorno relevante
Con el propsito de averiguar o indagar posibles debilidades de los
procedimientos, prcticas de control interno y otras situaciones que
el auditor considere importante en el desarrollo de su trabajo.

Tcnica Verbal u Oral
Indagacin:
Es el acto de obtener informacin verbal sobre un asunto mediante
averiguaciones directas o conversaciones con los funcionarios de la
entidad. Suelen aportar elementos de juicio en los que puede
confiarse si son razonables y consistentes.
Es de especial utilidad cuando se examinan reas o asuntos no
documentados, sin embargo sus resultados no constituyen por s solos
evidencia suficiente.

Unidad 02 - Metodologia y Plan de Auditoria

Capitulo 04: Tecnicas de Auditoria 2
Tcnica Verbal u Oral
Entrevistas
Pueden ser efectuadas a los directivos, funcionarios y trabajadores
en general de la entidad auditada o a personas beneficiarias u otras
vinculadas respecto de los programas u operaciones sujetas a
examen.
Deben ser apropiadamente preparadas, definindose previamente a su
realizacin quienes sern los entrevistados y las preguntas que se
formularn.
Debern ser documentadas y advertirse al entrevistado de su propsito o
finalidad.

Tcnica Verbal u Oral
Encuestas
Son tiles para recopilar informacin de un gran universo de datos o
grupos de personas.
Presentan como ventaja la economa de costos y tiempos para obtener
informacin, sin embargo exigen una preparacin y definicin de su
alcance adecuada y rigurosa en beneficio de su confiabilidad y utilidad,
es recomendable recurrir a las tcnicas propias de la estadstica.

Tcnica Escrita
Es la actividad de registrar o plasmar informacin que a
juicio del auditor sea importante dentro de su trabajo.

Anlisis
Consiste en identificar, estratificar o clasificar elementos constitutivos del
objeto de anlisis, con el propsito de obtener informacin y llegar a
conclusiones que a juicio del auditor afecten la gestin de la organizacin
auditada.

Conciliacin
Es el cotejo o confrontacin que se hace a la informacin obtenida de
diferentes fuentes sobre un mismo tema, como por ejemplo cumplimiento
de metas, objetivos o de registros independientes pero relacionados
entre s, para establecer su conformidad y veracidad.

Confirmacin
Permite obtener un grado razonable de certeza sobre la existencia,
cumplimiento, veracidad y autenticidad de planes y programas
ejecutados, cobertura de usuarios, operaciones, cifras y datos.


Tcnica Documental
Consiste en obtener informacin escrita que permita
soportar las afirmaciones, anlisis o estudios realizados por
los auditores.

Comprobacin
Verifica la evidencia que apoya o sustenta una operacin o transaccin
con el fin de corroborar su autoridad, legalidad, propiedad y veracidad.

Computacin
Es el anlisis de documentos, programas, datos o hechos asistidos por el
computador y/o software especializados, cuando las operaciones o
transacciones se ejecutan en cantidad tal que su anlisis manual
resultara tedioso.

Tcnica Documental
Rastreo
Es utilizada para hacer seguimiento y control, de modo progresivo y
razonado, a una operacin o conjunto de ellas, de un punto a otro dentro
de un proceso o actividad determinada.

Revisin Analtica
Comprende el anlisis de ndices, indicadores, tendencias y la
investigacin de las fluctuaciones, variaciones y relaciones que resulten
inconsistentes o se desven de las operaciones proyectadas de la
organizacin.

Unidad 02 - Metodologia y Plan de Auditoria

Capitulo 04: Tecnicas de Auditoria 3
Introduccin
Las tcnicas de auditora Asistidas por Computadora son la
utilizacin de determinados paquetes de programas que
actan sobre los datos, realizando con ms frecuencia los
siguientes trabajos:
Seleccin e impresin de muestras de auditorias sobre bases
estadsticas o no estadsticas, a lo que agregamos, sobre la base de
los conocimientos adquiridos por los auditores.
Verificacin matemtica de sumas, multiplicaciones y otros clculos
en los archivos del sistema auditado.

Introduccin
Realizacin de funciones de revisin analtica, al establecer
comparaciones, calcular razones, identificar fluctuaciones y llevar a
cabo clculos de regresin mltiple.
Manipulacin de la informacin al calcular subtotales, sumar y
clasificar la informacin, volver a ordenar en serie la informacin, etc.
Examen de registros de acuerdo con los criterios especificados.
Bsqueda de alguna informacin en particular, la cual cumpla ciertos
criterios, que se encuentra dentro de las bases de datos del sistema
que se audita.
Generalidades
La auditora y la auditora informtica tienen una demanda
creciente y crecientes exigencias de cobertura y
granularidad.

El auditor es un recurso limitado, escaso, relativamente
caro.

Existe gran variedad de modos de clasificacin:
Embebidas. (EAM)
Verticales de gestin (de la auditora). GAT/CAAT. IDEA y ACL.
Hacking tico
Compliance

Herramientas
Las herramientas pueden ser especificas, sustitutivas e
incluso ser multipropsito.
Generalmente, el mejor costo-beneficio se obtiene con herramientas
especificas, no multipropsito.
Excepto claro que los costos de formacin, su frecuencia e
intensidad de uso y el propio costo directo de cada herramienta
aconsejen una multipropsito.

Unidad 02 - Metodologia y Plan de Auditoria

Capitulo 04: Tecnicas de Auditoria 4
Herramientas
El objeto
(objetivo y control)
Herramienta
El sujeto
(quien las usa)
La herramienta
depende del objeto
Determina la herramienta
en funcin de objeto y su
dominio de herramienta
Debe dominar (metodologa)
la herramienta (no al reves)
Herramientas
Integracin de la Auditora.

Auditora
SITIC
Auditora
Operativa
Auditora
Financiera
Auditorias de
Sistemas de
Gestin
ISO 9001: 2000 Gestion de la Calidad
ISO 27001 SGSI (ISMS)
ISO 14000 Gestion Medioambiental
Ncleo
comn
creciente
Herramientas segn su procedencia
De entorno adquisicin construccin.
Lenguajes de programacin, debuggers, analizadores.

De prueba.
ITF (Integrated Test Facilities) usados como mecanismo de vigilancia y
auditoria continuada

Del entorno explotacin-operacin.
El acceso debe ser controlado y supervisado, pues el riesgo de impacto
de un acceso instructivo en un entorno de produccin es muy alto.
Herramientas segn su procedencia
Software de Sistemas
Un ASITIC capaz de lograr acceso privilegiado al SO, software de red,
logs, etc., puede explotar enormes ventajas.

Utilidades
Potentes herramientas, fundamentalmente de extraccin de datos. El
ASITIC debe comprobar que el acceso a utilidades por el personal
auditado esta restringido al mximo, y totalmente trazado, cuando se
usan.

Herramientas segn su procedencia
TCP/IP e Internet
Hacking tico
Admutate, AirSnort, ARIN, ArpSpoof, Auditpol, BoSniffer, Enum, HTTPort, Legion, IpEye,
LanManager Hash, Neotrace, nmap, Silk Rope 2000, SMAC, SniffDet, Spector, SQL2.exe,
SQLbf, SQLsmack, Traceroute, T-Sight, TTYWatcher, WebCracker, Whois, Win Nuke,
WinDump, WinSniffer, Wireshark, WS_Ping_Pro, Yersinia, Zombie Zapper.

Especficas de Auditora y Herramientas Ofimticas

Herramientas segn su funcin
Captura de datos.
Recoge informacin, captura datos, que sern usados (analizados,
interpretados, utilizados) en fase posterior o simultanea.
Muestras.
Es una tcnica estadstica de la que se sabe mucho y se abusa muco (por la ignorancia de
quienes lo hacen).
Vigilancia.
Es una variante del muestreo.
Forense.
Variante especial de la recogida de dato.

Unidad 02 - Metodologia y Plan de Auditoria

Capitulo 04: Tecnicas de Auditoria 5
Herramientas segn su funcin
Anlisis
El anlisis o interpretacin y evaluacin de la informacin recogida
puede ser concomitante con la recogida de la informacin (alertas y
gestin de incidencias) o ser diferidas, incluso con horizontes muy
amplios.

Herramientas segn su uso o propsito
Las herramientas de auditora pueden usarse para:
Auditora SITIC
Otros uso, legtimos o ilegtimos.

Auditorias con SITIC
Auditora Interna o Externa, Auditora Operativa, Auditora de Cuentas,
Auditora SITIC, Auditora ISO 9001: 2000, ISO 27001, ISO 14000,
apartes de las intervenciones de control de directivos y supervisores,
CSA (Control Self Assement).
Herramientas segn su ubicacin
Naturaleza cclica y
administrativa del ciclo de
vida de la ASITIC.
Auditora integral, que
minimice solapes y lagunas
de unas y otras
intervenciones.
Auditora continua, que
acorde los ciclos deteccin-
correccin y con ello facilite
reducir el riesgo.
Paquetes integrales de
auditora que integren las
labores administrativas y las
tcnicas.
1. Evaluacin de Riesgos
2. Calendario de auditora
3. Presupuesto
4. Programa de auditora
5. Pruebas de auditora
6. Anlisis
7. Hallazgos
8. Informe
Aplicable a
ASITIC
discreta
puntual o
periodica;
no continua
Herramientas segn su ubicacin
Prospectiva Auditora SITIC 2007-2017
Automatizada
Continua
Integrada mbito
Embedida
2007
2017
Herramientas segn su ubicacin
Herramientas embebidas.
Herramientas construidas/adquiridas al tiempo que la aplicacin/sistema
principal, normalmente por requerimiento de un ASITIC que ha
participado en el proyecto o por el buen hacer de los desarrolladores.

Herramientas intrusivas.
Insertan en el sistema algn servicio para generar logs; o bien durante el
hacking tico, dejen algn tipo de traza.

Herramientas no intrusivas.
Como lo hacen las GAS/CAAT.
Herramientas segn su ubicacin
Auditora Continua/Auditora en Lnea.
El objetivo es asegurar que las transacciones en tiempo real se
benefician de monitorizacin y controles tambin en tiempo real.

La auditora continua exige servicios en lnea. Puede ser total o por
muestreo

Unidad 02 - Metodologia y Plan de Auditoria

Capitulo 04: Tecnicas de Auditoria 6
Herramientas segn su ubicacin
Auditora Continua/Auditora en Lnea.
Las condiciones de xito para una auditora continua son estrictas:
Alta automatizacin de la deteccin, con filtros sofisticados y alarmas en
tiempo real.
Herramientas de auditora avanzadas y paramtricas.
Excelente y gil interfaz con los auditores altamente cualificados.
Mnimo estorbo al auditado.

Las tcnicas de auditora continua recorren:
Registro de transacciones, las herramientas de consulta (query)
CAAT (Computer Assisted Audit Tools), SGBD, Datawarehouses,
datamining, IA, redes neuronales, XBRL.
Herramientas segn su ubicacin
Auditora diferida Cooperativa

Universo de
transacciones
Selecciona, con CAAT y
CRITERIO, una muestra de
Transacciones
Aplicacin Web remite la
transaccin seleccionada al
auditado e incorpora mascara
(peticin y cuestionario)
Tabula respuestas
Emite Informe
1
2
3
4
5
6
7
Todo este proceso puede
desencadenarse -punto4-
en tiempo real o algo muy
diferido
Auditado
Auditor
Herramientas segn su ubicacin
Herramientas exentas
El amplio uso por los ASITIC
Herramientas especficamente diseadas como de auditora.

Herramientas horizontales
Groupware.
Son aplicaciones o suites particularmente diseadas para el trabajo en equipo, sobre las que
se pueden hacer integraciones.
GRC.
Software de Governance, Risk and Compliance puede considerarse parcialmente incluido en
esta categora ofimtica, admite entradas propias de los sistemas de vigilancia.

Herramientas segn su ubicacin
Herramientas verticales
Pueden serlo mas de gestin o mas tcnicas.
Las mas de gestin se inclinan a las horizontales y el Groupware.
Las mas tcnicas fundamentalmente en las GAS (Generalized Audit Software), SAS
(Statement on Auditing Standard)

Herramientas verticales de gestin
Audinfor. www.audinfor.com
Bindview. Software de cumplimiento de seguridad. www.paisley.com,
www.protivity.com/portal/site/pro-us/, www.rvrsystem.com.
Paisley. Su producto AutoAudit es una conocida herramienta vertical de
gestin.
Protivity Inc. Consultores de gestion de riesgos.
TeamMate. Herramienta de gestion de papeles de trabajo.
www.pwc.com/teammate/
Tripwire. www.tripwire.com/index.cfm
Herramientas segn su ubicacin
Herramienta verticales tcnicas.
Son herramientas especializadas. Atacan a los archivos de datos y no a
los programas de aplicacin, por lo general suelen ser invariantes de los
programas y mas objetivas en cuanto a los datos.

ACL, IDEA.
Importan datos (no intrusivas) de archivos en una gran variedad de soportes y codificados
segn una variedad de estndares.
Calculo, creando campos lgicos, resultando de aplicar una formula a los campos
originalmente importados.

Unidad 02 - Metodologia y Plan de Auditoria

Capitulo 04: Tecnicas de Auditoria 7
Herramientas segn su productividad
El director ejecutivo de auditora debe asegurar que los
recursos de auditora interna sean adecuados, suficientes y
efectivamente asignados para cumplir con el plan
aprobado.
Standards for IS Auditing (SISA) (Normas Generales para la auditora de los Sistemas de
Informacin)
Cdigo Titulo Puntos Concretos
S6 Realizacin de labores de Auditora 04, 05, 07, 08, 09, 10
S7 Reporte 03,07
S8 Actividades de seguimiento 08,09
IS Auditing Guidelines (ISAG) (Directrices de Auditora)
Cdigo Titulo Puntos concretos
G3 Uso de CAAT Todo
G8 Documentacin de la Auditora Todo
G10 Muestreo en Auditora Todo
G35 Actividades de Seguimiento 2.3.1, 2.3.2, 2.6, 4.1.2
Herramientas segn su Cobertura
Es deseable una gran cobertura costo-beneficio y a veces
se considera necesaria.

Conseguirla depende de una hbil combinacin de herramientas
embebidas y GAS/CAAT.

Productos
Herramientas gratuitas
www.bsa.org/espana/antipiracy/free-software-Audit-tools.cfm
ACL. Audit Command Languaje
www.acl.com/default.aspx?bhcp=1
IDEA. Interactive Data Extraction and Analysis
www.caseware-idea.com
Symantec.
www.symantec.com/enterprise/index.jsp
Computer Associates
ca.com/us/products
Otras
John de Ripper, Nessus, Nikto, Nmap, pcAnywhere, pof, Security Check,
Wireshark, Yersinia.
Conclusiones
La auditora SITIC esta en evolucin constante, ello
depende de:
Las nuevas demandas y objetivos
La disponibilidad de herramientas y tcnicas que permitan:
Hacer ciertas pruebas.
Con mayor cobertura.
Con menor riesgo/error.
Con mayor productividad.

Contemplar las herramientas y tcnicas, sin hacerlo desde la
perspectiva de su productividad, puede ser propio de tecnlogos o
de historiadores; pero seria un error imperdonable en empresarios,
gestores, economistas, responsables de auditora y auditores.