Tcnicas de Auditora Las tcnicas de auditora son mtodos prcticos de investigacin y prueba que utiliza el auditor para obtener la evidencia que fundamente sus opiniones, conclusiones y reportes. Las tcnicas seleccionadas y aplicadas se convierten en procedimientos de auditora.
Tcnica Ocular Consiste en observar en forma directa y paralela la manera como los responsables de la administracin, desarrollan y documentan los procesos o procedimientos que la organizacin utiliza para ejecutar las actividades objeto de control.
Tcnica Ocular Comparacin Es el acto de apreciar la similitud o diferencia existente entre dos o ms elementos o situaciones. En la auditoria supone cotejar y evaluar los mismos criterios aceptables que facilitan la labor del auditor para obtener de dicha accin un resultado o conclusin.
Observacin Es el examen visual u ocular realizado para cerciorarse de hechos, circunstancias y de como se ejecutan las operaciones. Es de utilidad en todas las fases del proceso de auditoria. Puede ser efectuada de manera abierta o discreta.
Tcnica Verbal u Oral Permite obtener informacin mediante el dialogo con los integrantes de la organizacin o los de su entorno relevante Con el propsito de averiguar o indagar posibles debilidades de los procedimientos, prcticas de control interno y otras situaciones que el auditor considere importante en el desarrollo de su trabajo.
Tcnica Verbal u Oral Indagacin: Es el acto de obtener informacin verbal sobre un asunto mediante averiguaciones directas o conversaciones con los funcionarios de la entidad. Suelen aportar elementos de juicio en los que puede confiarse si son razonables y consistentes. Es de especial utilidad cuando se examinan reas o asuntos no documentados, sin embargo sus resultados no constituyen por s solos evidencia suficiente.
Unidad 02 - Metodologia y Plan de Auditoria
Capitulo 04: Tecnicas de Auditoria 2 Tcnica Verbal u Oral Entrevistas Pueden ser efectuadas a los directivos, funcionarios y trabajadores en general de la entidad auditada o a personas beneficiarias u otras vinculadas respecto de los programas u operaciones sujetas a examen. Deben ser apropiadamente preparadas, definindose previamente a su realizacin quienes sern los entrevistados y las preguntas que se formularn. Debern ser documentadas y advertirse al entrevistado de su propsito o finalidad.
Tcnica Verbal u Oral Encuestas Son tiles para recopilar informacin de un gran universo de datos o grupos de personas. Presentan como ventaja la economa de costos y tiempos para obtener informacin, sin embargo exigen una preparacin y definicin de su alcance adecuada y rigurosa en beneficio de su confiabilidad y utilidad, es recomendable recurrir a las tcnicas propias de la estadstica.
Tcnica Escrita Es la actividad de registrar o plasmar informacin que a juicio del auditor sea importante dentro de su trabajo.
Anlisis Consiste en identificar, estratificar o clasificar elementos constitutivos del objeto de anlisis, con el propsito de obtener informacin y llegar a conclusiones que a juicio del auditor afecten la gestin de la organizacin auditada.
Conciliacin Es el cotejo o confrontacin que se hace a la informacin obtenida de diferentes fuentes sobre un mismo tema, como por ejemplo cumplimiento de metas, objetivos o de registros independientes pero relacionados entre s, para establecer su conformidad y veracidad.
Confirmacin Permite obtener un grado razonable de certeza sobre la existencia, cumplimiento, veracidad y autenticidad de planes y programas ejecutados, cobertura de usuarios, operaciones, cifras y datos.
Tcnica Documental Consiste en obtener informacin escrita que permita soportar las afirmaciones, anlisis o estudios realizados por los auditores.
Comprobacin Verifica la evidencia que apoya o sustenta una operacin o transaccin con el fin de corroborar su autoridad, legalidad, propiedad y veracidad.
Computacin Es el anlisis de documentos, programas, datos o hechos asistidos por el computador y/o software especializados, cuando las operaciones o transacciones se ejecutan en cantidad tal que su anlisis manual resultara tedioso.
Tcnica Documental Rastreo Es utilizada para hacer seguimiento y control, de modo progresivo y razonado, a una operacin o conjunto de ellas, de un punto a otro dentro de un proceso o actividad determinada.
Revisin Analtica Comprende el anlisis de ndices, indicadores, tendencias y la investigacin de las fluctuaciones, variaciones y relaciones que resulten inconsistentes o se desven de las operaciones proyectadas de la organizacin.
Unidad 02 - Metodologia y Plan de Auditoria
Capitulo 04: Tecnicas de Auditoria 3 Introduccin Las tcnicas de auditora Asistidas por Computadora son la utilizacin de determinados paquetes de programas que actan sobre los datos, realizando con ms frecuencia los siguientes trabajos: Seleccin e impresin de muestras de auditorias sobre bases estadsticas o no estadsticas, a lo que agregamos, sobre la base de los conocimientos adquiridos por los auditores. Verificacin matemtica de sumas, multiplicaciones y otros clculos en los archivos del sistema auditado.
Introduccin Realizacin de funciones de revisin analtica, al establecer comparaciones, calcular razones, identificar fluctuaciones y llevar a cabo clculos de regresin mltiple. Manipulacin de la informacin al calcular subtotales, sumar y clasificar la informacin, volver a ordenar en serie la informacin, etc. Examen de registros de acuerdo con los criterios especificados. Bsqueda de alguna informacin en particular, la cual cumpla ciertos criterios, que se encuentra dentro de las bases de datos del sistema que se audita. Generalidades La auditora y la auditora informtica tienen una demanda creciente y crecientes exigencias de cobertura y granularidad.
El auditor es un recurso limitado, escaso, relativamente caro.
Existe gran variedad de modos de clasificacin: Embebidas. (EAM) Verticales de gestin (de la auditora). GAT/CAAT. IDEA y ACL. Hacking tico Compliance
Herramientas Las herramientas pueden ser especificas, sustitutivas e incluso ser multipropsito. Generalmente, el mejor costo-beneficio se obtiene con herramientas especificas, no multipropsito. Excepto claro que los costos de formacin, su frecuencia e intensidad de uso y el propio costo directo de cada herramienta aconsejen una multipropsito.
Unidad 02 - Metodologia y Plan de Auditoria
Capitulo 04: Tecnicas de Auditoria 4 Herramientas El objeto (objetivo y control) Herramienta El sujeto (quien las usa) La herramienta depende del objeto Determina la herramienta en funcin de objeto y su dominio de herramienta Debe dominar (metodologa) la herramienta (no al reves) Herramientas Integracin de la Auditora.
Auditora SITIC Auditora Operativa Auditora Financiera Auditorias de Sistemas de Gestin ISO 9001: 2000 Gestion de la Calidad ISO 27001 SGSI (ISMS) ISO 14000 Gestion Medioambiental Ncleo comn creciente Herramientas segn su procedencia De entorno adquisicin construccin. Lenguajes de programacin, debuggers, analizadores.
De prueba. ITF (Integrated Test Facilities) usados como mecanismo de vigilancia y auditoria continuada
Del entorno explotacin-operacin. El acceso debe ser controlado y supervisado, pues el riesgo de impacto de un acceso instructivo en un entorno de produccin es muy alto. Herramientas segn su procedencia Software de Sistemas Un ASITIC capaz de lograr acceso privilegiado al SO, software de red, logs, etc., puede explotar enormes ventajas.
Utilidades Potentes herramientas, fundamentalmente de extraccin de datos. El ASITIC debe comprobar que el acceso a utilidades por el personal auditado esta restringido al mximo, y totalmente trazado, cuando se usan.
Herramientas segn su funcin Captura de datos. Recoge informacin, captura datos, que sern usados (analizados, interpretados, utilizados) en fase posterior o simultanea. Muestras. Es una tcnica estadstica de la que se sabe mucho y se abusa muco (por la ignorancia de quienes lo hacen). Vigilancia. Es una variante del muestreo. Forense. Variante especial de la recogida de dato.
Unidad 02 - Metodologia y Plan de Auditoria
Capitulo 04: Tecnicas de Auditoria 5 Herramientas segn su funcin Anlisis El anlisis o interpretacin y evaluacin de la informacin recogida puede ser concomitante con la recogida de la informacin (alertas y gestin de incidencias) o ser diferidas, incluso con horizontes muy amplios.
Herramientas segn su uso o propsito Las herramientas de auditora pueden usarse para: Auditora SITIC Otros uso, legtimos o ilegtimos.
Auditorias con SITIC Auditora Interna o Externa, Auditora Operativa, Auditora de Cuentas, Auditora SITIC, Auditora ISO 9001: 2000, ISO 27001, ISO 14000, apartes de las intervenciones de control de directivos y supervisores, CSA (Control Self Assement). Herramientas segn su ubicacin Naturaleza cclica y administrativa del ciclo de vida de la ASITIC. Auditora integral, que minimice solapes y lagunas de unas y otras intervenciones. Auditora continua, que acorde los ciclos deteccin- correccin y con ello facilite reducir el riesgo. Paquetes integrales de auditora que integren las labores administrativas y las tcnicas. 1. Evaluacin de Riesgos 2. Calendario de auditora 3. Presupuesto 4. Programa de auditora 5. Pruebas de auditora 6. Anlisis 7. Hallazgos 8. Informe Aplicable a ASITIC discreta puntual o periodica; no continua Herramientas segn su ubicacin Prospectiva Auditora SITIC 2007-2017 Automatizada Continua Integrada mbito Embedida 2007 2017 Herramientas segn su ubicacin Herramientas embebidas. Herramientas construidas/adquiridas al tiempo que la aplicacin/sistema principal, normalmente por requerimiento de un ASITIC que ha participado en el proyecto o por el buen hacer de los desarrolladores.
Herramientas intrusivas. Insertan en el sistema algn servicio para generar logs; o bien durante el hacking tico, dejen algn tipo de traza.
Herramientas no intrusivas. Como lo hacen las GAS/CAAT. Herramientas segn su ubicacin Auditora Continua/Auditora en Lnea. El objetivo es asegurar que las transacciones en tiempo real se benefician de monitorizacin y controles tambin en tiempo real.
La auditora continua exige servicios en lnea. Puede ser total o por muestreo
Unidad 02 - Metodologia y Plan de Auditoria
Capitulo 04: Tecnicas de Auditoria 6 Herramientas segn su ubicacin Auditora Continua/Auditora en Lnea. Las condiciones de xito para una auditora continua son estrictas: Alta automatizacin de la deteccin, con filtros sofisticados y alarmas en tiempo real. Herramientas de auditora avanzadas y paramtricas. Excelente y gil interfaz con los auditores altamente cualificados. Mnimo estorbo al auditado.
Las tcnicas de auditora continua recorren: Registro de transacciones, las herramientas de consulta (query) CAAT (Computer Assisted Audit Tools), SGBD, Datawarehouses, datamining, IA, redes neuronales, XBRL. Herramientas segn su ubicacin Auditora diferida Cooperativa
Universo de transacciones Selecciona, con CAAT y CRITERIO, una muestra de Transacciones Aplicacin Web remite la transaccin seleccionada al auditado e incorpora mascara (peticin y cuestionario) Tabula respuestas Emite Informe 1 2 3 4 5 6 7 Todo este proceso puede desencadenarse -punto4- en tiempo real o algo muy diferido Auditado Auditor Herramientas segn su ubicacin Herramientas exentas El amplio uso por los ASITIC Herramientas especficamente diseadas como de auditora.
Herramientas horizontales Groupware. Son aplicaciones o suites particularmente diseadas para el trabajo en equipo, sobre las que se pueden hacer integraciones. GRC. Software de Governance, Risk and Compliance puede considerarse parcialmente incluido en esta categora ofimtica, admite entradas propias de los sistemas de vigilancia.
Herramientas segn su ubicacin Herramientas verticales Pueden serlo mas de gestin o mas tcnicas. Las mas de gestin se inclinan a las horizontales y el Groupware. Las mas tcnicas fundamentalmente en las GAS (Generalized Audit Software), SAS (Statement on Auditing Standard)
Herramientas verticales de gestin Audinfor. www.audinfor.com Bindview. Software de cumplimiento de seguridad. www.paisley.com, www.protivity.com/portal/site/pro-us/, www.rvrsystem.com. Paisley. Su producto AutoAudit es una conocida herramienta vertical de gestin. Protivity Inc. Consultores de gestion de riesgos. TeamMate. Herramienta de gestion de papeles de trabajo. www.pwc.com/teammate/ Tripwire. www.tripwire.com/index.cfm Herramientas segn su ubicacin Herramienta verticales tcnicas. Son herramientas especializadas. Atacan a los archivos de datos y no a los programas de aplicacin, por lo general suelen ser invariantes de los programas y mas objetivas en cuanto a los datos.
ACL, IDEA. Importan datos (no intrusivas) de archivos en una gran variedad de soportes y codificados segn una variedad de estndares. Calculo, creando campos lgicos, resultando de aplicar una formula a los campos originalmente importados.
Unidad 02 - Metodologia y Plan de Auditoria
Capitulo 04: Tecnicas de Auditoria 7 Herramientas segn su productividad El director ejecutivo de auditora debe asegurar que los recursos de auditora interna sean adecuados, suficientes y efectivamente asignados para cumplir con el plan aprobado. Standards for IS Auditing (SISA) (Normas Generales para la auditora de los Sistemas de Informacin) Cdigo Titulo Puntos Concretos S6 Realizacin de labores de Auditora 04, 05, 07, 08, 09, 10 S7 Reporte 03,07 S8 Actividades de seguimiento 08,09 IS Auditing Guidelines (ISAG) (Directrices de Auditora) Cdigo Titulo Puntos concretos G3 Uso de CAAT Todo G8 Documentacin de la Auditora Todo G10 Muestreo en Auditora Todo G35 Actividades de Seguimiento 2.3.1, 2.3.2, 2.6, 4.1.2 Herramientas segn su Cobertura Es deseable una gran cobertura costo-beneficio y a veces se considera necesaria.
Conseguirla depende de una hbil combinacin de herramientas embebidas y GAS/CAAT.
Productos Herramientas gratuitas www.bsa.org/espana/antipiracy/free-software-Audit-tools.cfm ACL. Audit Command Languaje www.acl.com/default.aspx?bhcp=1 IDEA. Interactive Data Extraction and Analysis www.caseware-idea.com Symantec. www.symantec.com/enterprise/index.jsp Computer Associates ca.com/us/products Otras John de Ripper, Nessus, Nikto, Nmap, pcAnywhere, pof, Security Check, Wireshark, Yersinia. Conclusiones La auditora SITIC esta en evolucin constante, ello depende de: Las nuevas demandas y objetivos La disponibilidad de herramientas y tcnicas que permitan: Hacer ciertas pruebas. Con mayor cobertura. Con menor riesgo/error. Con mayor productividad.
Contemplar las herramientas y tcnicas, sin hacerlo desde la perspectiva de su productividad, puede ser propio de tecnlogos o de historiadores; pero seria un error imperdonable en empresarios, gestores, economistas, responsables de auditora y auditores.