UNIDAD No.

6
Auditoria de
Aplicaciones
Recopilacin Materiales -Curso Auditoria
V Escuela de Auditoria USAC

Definiciones

SOFTWARE/ PROGRAMA:

Conjunto de instrucciones que dirigen al Hardware.

Software/Programas del Sistema

Llamados Programas Supervisorios, realizan funciones generalizadas para uno o ms

programas de aplicacin.

Software de Aplicaciones:

Este software permite aplicar la computadora para resolver un problema especfico o

desempear una tarea especfica. Pueden ser:

1. Software diseado a la Medida

2. Paquetes de Aplicacin General

Aplicaciones

Una aplicacin informtica habitualmente

persigue como finalidad:
Registra fielmente la informacin considerada de inters en torno a
las operaciones llevadas a cabo por una determinada organizacin.

Permitir la realizacin de procesos de clculo y edicin.

Facilitar respuestas a consultas de todo tipo.
Generar informes que sirvan de ayuda para cualquier finalidad de
inters en la organizacin.

Aplicaciones de soporte a los procesos

Cmo ayudan a las organizaciones las

aplicaciones de soporte a los procesos?

Aplicaciones de soporte a los procesos

Permiten a la entidad:
Aplicar y ejecutar de manera consistente las reglas de negocio
Procesar grandes volmenes de transacciones y datos
Mejorar los tiempos de respuesta, disponibilidad y exactitud de la
informacin
Facilitar el anlisis de la informacin extrada de acuerdo a las
necesidades
Mejorar el monitoreo de las diferentes actividades, procedimientos y
cumplimiento de polticas de la entidad
Reducir el riesgo de que los controles sean circundantes
Mejorar el logro de una efectiva segregacin de funciones mediante la
implementacin de controles de seguridad en las aplicaciones, bases
de datos y sistemas operativos
5

AUDITORIA DE P.E.D.
Es la verificacin del control en tres reas:
Aplicaciones y Mantenimiento de Aplicaciones:
Las aplicaciones incluyen todas las funciones de informacin del negocio, en cuyo
procesamiento interviene un computador. Los sistemas de aplicacin abarcan uno
o ms departamentos de la organizacin, as como la operacin del computador y
el desarrollo de sistemas.

Desarrollo de Sistemas:
Cubre las actividades de los analistas de sistemas y los programadores, quienes
desarrollan y modifican los archivos de las aplicaciones, los programas del
computador y otros procedimientos.

Operaciones de la Instalacin:
Abarca todas las actividades relativas al equipo de computacin y los archivos de
informacin. Esto comprende la operacin del computador, la biblioteca de los
archivos del computador, el equipo de captura de datos y la distribucin de la
informacin.

EL CONTROL INTERNO SE MATERIALIZA

FUNDAMENTALMENTE EN CONTROLES DE DOS
TIPOS:

Controles Manuales

Controles
Automticos

AUDITORIA EN SISTEMAS
COMPUTACIONALES
Controles Generales
Controles Especficos
TAACs

Controles Generales

Organizacin
Hardware y Software
Seguridad Fsica
Seguridad Lgica
Control de Desarrollo de Cambios de Sistemas
Planes de Contingencia y Backups

Controles Especficos

Test Integrado
Reconocimiento del Sistema a Evaluar
Delimitacin de Objetivos
Determinar los Puntos de Control ms Importantes
Preparar los Datos a ser Ingresados y Proyectar los
resultados Esperados
Ingreso de datos y obtencin de reportes
Comparacin de los Datos

TAACs (Tcnicas de Auditoria Aplicadas por

Computador

Reducen sustancialmente la aplicacin de las

pruebas manuales.
Ahorros de dinero, tiempo y esfuerzo
Reasignacin de los recursos a las reas de
anlisis y de valor agregado para el negocio.

Tipos de TAACs

Comparacin de Cdigo Fuente

Comparacin de Cdigo Objeto
Operacin Paralela
Simulacin Paralela

Las TAAC's pueden ser usadas en:

Pruebas de detalles de transacciones y balances (Reclculos de

intereses, extraccin de ventas por encima de cierto valor, etc.)

Procedimientos analticos: por ejemplo

inconsistencias o fluctuaciones significativas.

Pruebas de controles generales, tales como configuraciones en

sistemas operativos, procedimientos de acceso al sistema,
comparacin de cdigos y versiones.

Programas de muestreo para extractar datos.

Pruebas de control en aplicaciones.

Reclculos.

identificacin

de

Herramientas Necesarias
Herramientas Tradicionales
Procesadores de Texto
Hojas Electrnicas
Software de Anlisis y Extraccin de Datos
Software de Papeles de Trabajo
Software de Presentacin de Grficos

 Si los controles computarizados son dbiles o no existen,

los auditores necesitarn realizar ms pruebas sustantivas.
Las pruebas sustantivas son pruebas de detalle de
transacciones y de balance de cuentas.
Las pruebas de cumplimiento son realizadas para asegurar
que los controles estn establecidos y trabajan
correctamente.
Esto puede implicar el uso de las Tcnicas de Auditora
Asistidas por Computador TAACs.

FINALIDAD DE LA AUDITORIA DE CUMPLIMIENTO:

1. Definicin de los objetivos
- Definir los riesgos
- Definir el nivel de importancia
- Indicacin de los objetivos
2. Recabar de informacin bsica
- Revisar la documentacin
- Entrevistar al usuario y al personal de PED
- Resumen de documentacin de auditora
3. Recabar de Informacin detallada
- Recopilar detalles del contenido de la informacin,
procedimientos y controles
- Preparar la documentacin de auditora
- Revisar cada paso de la aplicacin
- Obtener diagramas de flujo y formatos de archivos
- Obtener copias seleccionadas de documentos

FINALIDAD DE LA AUDITORIA DE CUMPLIMIENTO:

4. Evaluacin del Control (puntos fuertes y dbiles)
- Segregar y clasificar los controles
- Evaluar la efectividad de los controles
- Identificar los controles clave
- Evaluar los riesgos
- Seleccionar las caractersticas que habrn de probarse
- Preparar tabla de evaluacin de controles y lista de
controles clave
5. Diseo de Pruebas de Auditora
- Seleccionar la tcnica de verificacin
- Seleccionar las herramientas de verificacin
- Preparar el programa de auditora

FINALIDAD DE LA AUDITORIA DE CUMPLIMIENTO:

6. Realizacin de Pruebas de Auditora
- Verificar los resultados (verificar, comparar, pruebas
de edicin y razonabilidad)
- Probar las Deficiencias (Verificar los procesos y
controles manuales, verificar los procesos y
controles computarizados: alrededor del
computador, con el computador, a travs del
computador).
7. Evaluacin y Reporte de Resultados:
- Reevaluar los controles y riesgos
- Informe final
- Planear el seguimiento

Confirmacin en
papeles de
Anexos
trabajo

Situaciones Detectadas
Situaciones
Relevantes
Situaciones

Soluciones

Dictamen
de la
Situaciones
Auditoria
Soluciones

Introducci
Empresa
n
Auditora
rea Auditada
Proceso del __

Causas

Causas

Documentacin del sistema

Diagrama de flujo
Constituye
un
elemento
bsico
de
documentacin durante el desarrollo de
sistemas de aplicacin
Es una herramienta til para el anlisis de
auditoria
Identifica todo el procesamiento manual y
computarizado en una aplicacin.
Muestra todos los archivos y transacciones
sujetos a procesamiento.
Muestra quien lleva a cabo el procesamiento y
que es lo que se hace.
Identifica y sigue la pista de cada documento y
archivo de transacciones a travs de la
aplicacin, haciendo nfasis en las tareas de
procesamiento que implican control.

Documentacin del sistema

Diagrama de flujo

Una columna por separado muestra los

diferentes procesos de aplicacin que
tienen lugar dentro de la instalacin de
procesamiento de informacin. Cada paso
importante del procesamiento debe
identificarse en forma precisa o
acompaarse de una breve descripcin
narrativa.
Columnas por separado muestran cada
entidad organizacional significativa que
lleva
a
cabo
el
procesamiento.
Normalmente se asignaran columnas a
nivel departamental con base en las
responsabilidades sobre el procesamiento,
manejo, decisiones o control.

Documentacin del sistema

Diagrama de flujo
Desde el punto de vista del auditor, existen dos
buenas razones para que los diagramas de
flujo se organicen en columnas:

La representacin del procesamiento por

responsabilidades proporciona un buen
mecanismo para evaluar la segregacin de
funciones dentro de una aplicacin.

Este formato de los diagramas hace resaltar

uno de los tipos de situaciones ms propensas
a error que puede presentarse en la
evaluacin de sistemas: la interrelacin o
interaccin entre departamentos u otras
entidades organizacionales.

Documentacin del sistema

Diagrama de flujo

Deben prepararse dos o tres veces antes de que

representen la aplicacin en forma comprensible y
razonable. Presenta una imagen general que ayuda en
muchas formas al anlisis posterior de la aplicacin, pues
estos representan:
1. Que es lo que sucede durante el procesamiento normal de
las transacciones, los archivos y los datos de salida.
2. Muchos de los controles incorporados en el flujo del
procesamiento de la aplicacin.
3. El tipo de utilizacin que se da actualmente (o lo planeado)
a los distintos archivos dentro de la aplicacin.

Documentacin del sistema

Diagrama de flujo

Si
la
aplicacin
es
extremadamente compleja,
el auditor puede considerar
conveniente
seleccionar
solamente aquellos pasos
de procesamiento y puntos
de control que le interesen y
volver a preparar el
diagrama de flujo en un
formato condensado.
El nuevo diagrama de flujo
puede entonces representar
nicamente aquellos puntos
de
control
y
de
procesamiento
de
la
aplicacin que requerirn
ser probados.

Simbologia

Documentacin del sistema

Programas fuente
Los programas fuente (escritos en lenguaje simblico: Basic, cobol, fortran,
Java, Java Script, Visual Fox, Visual Basic, Plataforma Netbeans, ERP, Oracle,
SQL, AS400, etc.) de las aplicaciones que correspondan, son listados, y a
travs de un anlisis detallado de las instrucciones que contiene, se
obtiene informacin relativa al proceso que se realiza por computador.
A esta revisin se le denomina tambin verificacin de escritorio o
verificacin de la codificacin de los programas. Bajo este enfoque, un
miembro del equipo de auditoria lee y analiza la codificacin detallada de
la aplicacin escrita por los programadores. Este procedimiento requiere
de una persona con mucha experiencia en programacin, quien debe tener
conocimiento profundo del lenguaje de programacin de que se trate, as
como del sistema operativo y del equipo de computacin especifico que
corresponda.

Documentacin del sistema

Programas fuente

Las dificultades relativas a esta tcnica de recopilacin de

informacin, se refieren principalmente al nivel de
experiencia requerido, pues no existen muchas personas
suficientemente capacitadas para efectuar esta revisin, ya
que resulta bastante difcil rastrear la lgica del programa a
travs de los listados de codificacin.
Asimismo, en las aplicaciones grandes que incluyen varios
programas, los requerimientos para la revisin manual de la
codificacin, suelen tambin no hacerla factible desde un
punto de vista econmico.

Documentacin del sistema

Diseo de archivos

Un archivo en computacin, es una coleccin de registros

que tienen una relacin en comn.
Los elementos que deben tomarse en consideracin para el
diseo de archivos, son:
Los datos que deben contener los archivos, de acuerdo
con las salidas o reportes que se necesiten.
Frecuencia de actualizacin de los archivos.
Dispositivo en que debe ubicarse el archivo.

Documentacin del sistema

Diseo de archivos

Atendiendo a la volatilidad de la informacin que

contienen, los archivos pueden clasificarse en:
Maestros:
es
un
archivo
de
informacin
semipermanente, que generalmente se actualiza
peridicamente.
De Transacciones: llamado tambin de detalle, contiene
informacin corriente, operaciones diarias o peridicas
y usualmente sirva para actualizar un archivo maestro.

Documentacin del sistema

Diseo de archivos
Los archivos se pueden organizar, principalmente:

Archivos secuenciales:
Los registros son almacenados en forma ascendente y colocados
adyacentemente uno al otro, de tal manera que puedan ser grabados
y ledos en su secuencia fsica como las cintas magnticas.

Documentacin del sistema

Diseo de archivos
Los archivos se pueden organizar, principalmente:

Archivos secuenciales con ndices:

La organizacin secuencial con ndice implica una lista o ndice separado que
contiene referencia o informacin relativa a la ubicacin de los registros; este
ndice puede formar parte del archivo o estar separado fsicamente,
formando otro archivo. El ndice asociado al archivo hace posible que despus
de un rpido acceso secuencial al mismo, se pueda localizar un registro
individual en un procesamiento secuencial.

Archivos de acceso directo:

La organizacin directa ignora la secuencia fsica de los registros almacenados
y los mismos son accesados con base en su localizacin fsica en el dispositivo
de almacenamiento (discos, tambores magnticos). Cualquier registro puede
ser encontrado sin consultar todos los registros precedentes.

Documentacin del sistema

Sistemas de respaldo
Respaldo del hardware:
Todas las instalaciones de computacin deben
hacer arreglos formales para una capacidad de
procesamiento alterno, en caso de que su centro
de datos quede daado.
Estos planes pueden asumir varias formas e
implican el uso de otra institucin o de otra
instalacin.

Documentacin del sistema

Sistemas de respaldo
Respaldo del hardware:
Los planes ms comunes son:

Interno: pueden brindar su propio respaldo para ciertas

aplicaciones criticas.

Respaldo externo: Si ambos centros de proceso estn situados en el

mismo edifico

Oficinas de servicio: pueden proporcionar respaldo para las

aplicaciones criticas

Documentacin del sistema

Sistemas de respaldo
Respaldo del hardware:
Los planes ms comunes son:
Acuerdo mutuo: Muchas instituciones celebran
convenios con otras instituciones locales para
suministrarse respaldo mutuo con su equipo
Centro de operaciones de recuperacin (COR): Se
refiere a que existe independiente de la institucin,
una localidad de respaldo para el procesamiento, en el
que, generalmente, no se cuenta con equipo, pero si
con todas las instalaciones necesarias para el mismo,
pero si con todas las instalaciones necesarias para el
mismo, energa elctrica, aire acondicionado, etc.

Documentacin del sistema

Sistemas de respaldo
Las preguntas bsicas que hay que hacerse respecto del
respaldo del hardware, son:
Es el sistema de respaldo fsicamente compatible con el
sistema primario?
Est la instalacin de respaldo a una distancia
razonable?
Est trabajando la instalacin de respaldo al 100% de su
capacidad instalada?
Se informa a la instalacin de respaldo sobre los
cambios a un nuevo sistema de hardware?

Documentacin del sistema

Sistemas de respaldo
Respaldo de los programas:
Consiste en tres reas bsicas:
El software del sistema operativo debe
tenerse por lo menos dos copias de la
versin en uso. Una copia almacenada
en la cintoteca para que est
inmediatamente disponible en caso el
original sea daado, y la otra debe estar
en un sitio seguro, en otro local.

Documentacin del sistema

Sistemas de respaldo
Respaldo de los programas:
Consiste en tres reas bsicas:
El software de las aplicaciones, que
incluye versiones de programas fuente y
programas objeto, debe ser respaldado en
la misma forma que el software del
sistema operativo, incluyendo las pruebas
y actualizacin de las copias de respaldo.

Documentacin del sistema

Sistemas de respaldo
Respaldo de los programas:
El respaldo de los programas consiste en tres reas bsicas:

La documentacin del sistema operativo y de los programas

de aplicaciones, tambin debe ser respaldada. Cierto nivel
mnimo de documentacin debe ser mantenido en un local
distinto y debe incluir copias vigentes de:

Grficas de flujo de las aplicaciones

Narraciones descriptivas de todos los sistemas y

programas

Distribucin de los archivos y cdigos de las

transacciones

Instrucciones al operador para las corridas de

programas

Manuales de usuarios

Documentacin del sistema

Sistemas de respaldo

Respaldo de los procedimientos

Los manuales de procedimientos tambin son necesarios
durante la recuperacin derivada de un Desastre. Estos
incluyen, manuales sobre los sistemas y normas de
programacin, biblioteca de documentacin y de archivos,
procedimientos de control de datos y procedimientos que
sealan los planes para las operaciones de PED durante las
emergencias.

Documentacin del sistema

Sistemas
respaldo

de

Respaldo de los archivos

de datos
La retencin de los
archivos vigentes de
datos o de archivos
maestros ms antiguos y
los
archivos
de
transacciones necesarios
para ponerlos al da, es
importante
para
continuar
el
procesamiento en caso de
desastre.

 Sistema de Retencion Abuelo-Padre-Hijo

El da lunes haces tu copia de respaldo sobre el
disco A (abuelo)
El da martes haces tu copia de respaldo
sobre el disco B (padre)
El da mircoles haces tu copia de respaldo
sobre el disco C (hijo)

Tcnicas de Auditoria
Existen dos principales enfoques
alternativos para probar los controles
de aplicacin:
1. Probando los resultados y
2. Probando el procesamiento

Tcnicas de Auditoria
Probando los resultados
El probar los resultados proporciona una
inferencia de que si los resultados son
correctos, los controles esenciales estn
funcionando adecuadamente.
La desventaja de este enfoque es que las
pruebas de resultados pueden dar lugar a que,
injustificadamente, se suponga que debido a
que las cosas estn bien ahora, seguirn
estndolo.

Tcnicas de Auditoria
Probando los resultados
Tcnicas en las auditorias no computarizadas de las aplicaciones

Confirmacin
Se lleva a cabo mediante correspondencia directa con terceros, para corroborar
transacciones o saldos.
Comparacin
Consiste en comparar las partidas que contiene un archivo, con otro archivo
independiente o con las partidas fsicas que representan.
Pruebas de edicin y de razonabilidad
sirven para detectar condiciones que no deberan existir si los controles de
prevencin fuesen efectivos
La naturaleza especifica de las pruebas de razonabilidad y edicin, puede variar
ampliamente dependiendo de la imaginacin del auditor, de su comprensin de
la informacin y de la importancia que esta tiene para la organizacin.

Tcnicas de Auditoria
Tcnicas Manuales
Inspeccin. De documentos, procedimientos, activos,
para verificar su existencia, mas que para determinar
la forma en que se estn utilizando.
Observacin. De procesos o acciones
Investigacin o indagacin.
Confirmacin. Ratificar datos.
Clculo. Precisin matemtica
Revisin Analtica. Investigacin de fluctuaciones o
partidas poco usuales.

PLANIFICACIN
USO DE

VENTAJAS

TAACs

DOCUMENTACIN
E INFORMES

APLICACIN
(TCNICAS)

ASPECTOS
GENERALES

TAACs

TIPOS DE
HERRAMIENTAS
TAAC's

46

TAACs
Las TAACs son un conjunto de tcnicas y herramientas utilizados en
el desarrollo de las auditorias informticas con el fin de mejorar la
eficiencia, alcance y confiabilidad de los anlisis efectuados por el
auditor, a los sistemas y los datos de la entidad auditada.
Incluyen mtodos y procedimientos empleados por el auditor para
efectuar su trabajo y que pueden ser administrativos, analticos,
informticos, entre otros; y, los cuales, son de suma importancia
para el auditor informtico cuando este realiza una auditora.

08/04/2014

47

TAACs
El uso de los TAACs le permiten al auditor obtener suficiente
evidencia confiable sobre el cual, sustentar sus observaciones y
recomendaciones, lo que obliga al auditor a desarrollar destrezas
especiales en el uso de estas tcnicas, tales como: mayores
conocimientos informticos, discernimiento en el uso adecuado
de las herramientas informticas y analticas, eficiencia en la
realizacin de los anlisis, etc.; sin dejar a un lado las tcnicas
tradicionales de auditora como son la inspeccin, observacin,
confirmacin, revisin, entre otros

08/04/2014

48

Auditora asistida por computadora

La norma SAP 1009 (Statement of Auditing Practice) denominada
Computer Assisted Audit Techniques (CAATs) o Tcnicas de Auditora
Asistidas por Computador (TAAC's), plantea la importancia del uso de
TAACs en la auditora de sistemas y las define como programas de
computador y datos que el auditor usa como parte de los procedimientos
de auditora para procesar datos de significancia en un sistema de
informacin. RETIRADA-SAS No. 94 (The Effect of Information Technology on the Auditor's
Consideration of Internal Control in a Financial Statement audit) indica que
una organizacin que usa Tecnologas de Informacin IT, se puede ver
afectada en uno de los 5 componentes del control interno: El ambiente de
control, evaluacin de riesgos, actividades de control, informacin,
comunicacin y monitoreo adems de la forma en que se inicializan,
registran, procesan y reporta las transacciones.
08/04/2014

49

Auditora asistida por computadora

NIA 330 Procedimientos en Respuesta a Riesgos Evaluados
El uso de Tcnicas de Auditora con Ayuda de Computadora (TAAC's) puede
posibilitar pruebas ms extensas de las transacciones electrnicas y
archivos de cuentas.
Estas tcnicas pueden usarse para seleccionar transacciones de muestra de
los archivos electrnicos clave. para escoger transacciones con
caractersticas especficas o para pruebas de toda una poblacin en lugar
de una muestra.
NIA 500 Evidencia de Auditora
en algunas situaciones el auditor puede determinar que se necesitan
procedimientos adicionales de auditora. Estos, por ejemplo, pueden
incluir usar Tcnicas de Auditora con Ayuda de Computadora (TAAC's) para
volver a calcular la informacin.
08/04/2014

54

 Norma Relacionada: 1220.A2 Debido Cuidado Profesional

Al ejercer el debido cuidado profesional el auditor interno debe considerar la
utilizacin de herramientas de auditora asistidas por computador y otras
tcnicas de anlisis de datos.
207. Evidencia de Auditora
01. Los hallazgos de auditora contenidos en los informes deben estar
sustentados en evidencia suficiente, suficiente, competente y competente y
pertinente pertinente, obtenida por los medios legales y tcnicos aplicables.

Auditora asistida por computadora

Las TAAC's pueden ser usadas en:
Pruebas de detalles de transacciones y balances (Reclculos de
intereses, extraccin de ventas por encima de cierto valor, etc.)
Procedimientos analticos: por ejemplo identificacin de
inconsistencias o fluctuaciones significativas.
Pruebas de controles generales, tales como configuraciones en
sistemas operativos, procedimientos de acceso al sistema,
comparacin de cdigos y versiones.
Programas de muestreo para extractar datos.
Pruebas de control en aplicaciones.
Reclculos.

08/04/2014

56

Planificacin de CAAT

Considerar una combinacin apropiada de las tcnicas manuales y las

tcnicas de auditora asistidas por computadora. Cuando se
determina utilizar CAAT los factores a considerar son los siguientes:
Conocimientos computacionales, pericia y experiencia del auditor
de sistemas de informacin.
Disponibilidad de los CAAT y de los sistemas de informacin.
Eficiencia y efectividad de utilizar los CAAT en lugar de las tcnicas
manuales
Restricciones de tiempo

08/04/2014

57

Planificacin de CAAT
Pasos ms importantes que el auditor debe considerar cuando prepara
la aplicacin de los CAAT seleccionados son los siguientes:
Establecer los objetivos de auditora de los CAAT: Determinar
accesibilidad y disponibilidad de los sistemas de informacin, los
programas/sistemas y datos de la organizacin.
Definir los procedimientos a seguir (por ejemplo: una muestra
estadstica, reclculo, confirmacin, etc.).
Definir los requerimientos de output.
Determinar los requerimientos de recursos.
Documentar los costos y los beneficios esperados.
Obtener acceso a las facilidades de los sistemas de informacin de la
organizacin, sus programas/sistemas y sus datos.
08/04/2014

58

Planificacin de CAAT
Documentar los CAAT a utilizar incluyendo los objetivos, flujogramas
de alto nivel y las instrucciones a ejecutar.
Acuerdo con el cliente (auditado): Los archivos de datos, tanto como
los archivos de operacin detallados (transaccionales, por ejemplo),
a menudo son guardados slo por un perodo corto, por lo tanto, el
auditor de sistemas de informacin debe arreglar que estos archivos
sean guardados por el marco de tiempo de la auditora.
Organizar el acceso a los sistemas de informacin de la organizacin,
programas/sistemas y datos con anticipacin para minimizar el
efecto en el ambiente productivo de la organizacin
Evaluar el efecto que los cambios a los programas/sistemas de
produccin -cambios en la integridad y utilidad de los CAAT(integridad de los programas/sistemas y los datos utilizados)
08/04/2014

59

Tcnicas de Auditoria
Probando el procesamiento
Las funciones y controles clave se verifican
individualmente.
Las pruebas del proceso real proporcionan un
mejor conocimiento de la confiabilidad de cada
control individual importante.
El principal
problema con este enfoque radica en convertir
el porcentaje de errores observado, en un riesgo
cuantificado.

Tcnicas de Auditoria
Probando el procesamiento

Principales tcnicas para probar el procesamiento

Auditoria alrededor del computador
Los resultados del procesamiento por computador se verifican
manualmente contra los datos fuente alimentados al computador.
La verificacin se lleva a cabo sin que el auditor participe
directamente en el procesamiento dentro del computador.
Al aplicar la tcnica de auditoria alrededor del computador, el
auditor debe hacer lo siguiente:
Definir los procesos y los controles que van a probarse
Seleccionar las partidas de prueba
Reprocesar las partidas de prueba
Resolver las excepciones

Tcnicas de Auditoria
Probando el procesamiento
Principales
tcnicas
para
probar
el
procesamiento
Datos de prueba
Este procedimiento ejecuta programas o
sistemas usando conjuntos de datos de
prueba (Test decks) y verifica el
procedimiento en cuanto a su exactitud
comparando los resultados del proceso con
los resultados de prueba predeterminados.

Tcnicas de Auditoria

Probando el procesamiento
Principales tcnicas para probar el procesamiento
Datos de prueba
VENTAJAS:
Poca experiencia pero debe estar muy familiarizado con
la lgica del programa y controles del mismo.
DESVENTAJAS:
- Difcil de prever todas las circunstancias.
- Limitan a probar situaciones preconcebidas.
- Un programa diferente podra sustituirse
fraudulentamente por el real para satisfacer al auditor y
aparentar ser apropiado.

Datos de Prueba

DATOS DE PRUEBA

08/04/2014

65

Tcnicas de Auditoria
Probando el procesamiento
Principales
tcnicas
para
procesamiento

probar

el

ITF (Instalacin de Prueba Integrada)

(I.T.F.= INTEGRATED TEST FACILITY)
Este es un procedimiento para procesar datos
de prueba a travs de los sistemas concurrente
con
el
proceso
de
produccin
y
subsecuentemente comparar los resultados de
la prueba con los resultados de los datos de
prueba predeterminados.

Tcnicas de Auditoria

ITF (Instalacin de Prueba Integrada)

VENTAJAS:
- Se requiere poco entrenamiento tcnico
- Costo de procedimiento bajo debido a que los datos de
prueba se procesan junto con los datos de entrada
normales.
- Posibilidad de probar el sistema real, tal como opera
normalmente.
DESVENTAJAS:
- Las transacciones de datos de prueba deben ser
eliminadas de los registros de control de la empresa,
utilizando modificaciones
a los programas.
- Alto costo si los programas deben modificarse para
eliminar los efectos de los datos de prueba.
- Posibilidad de destruir archivos.

PRUEBA INTEGRADA -ITF

08/04/2014

68

Tcnicas de Auditoria

Probando el procesamiento
Principales tcnicas para probar el procesamiento

SCARF (METODO DEL ARCHIVO DE REVISION DE

AUDITORIA COMO CONTROL DEL SISTEMA)
(SCARF= SISTEM CONTROL AUDIT REVIEW FILE)
Este procedimiento usa software de auditoria para
sustraer y seleccionar transacciones de entrada y
transacciones generadas en los sistemas durante el
proceso de produccin.

Tcnicas de Auditoria

SCARF (METODO DEL ARCHIVO DE REVISION DE AUDITORIA

COMO CONTROL DEL SISTEMA)
(SCARF= SISTEM CONTROL AUDIT REVIEW FILE)
Tiene la ventaja de proveer muestras y estadsticas de
produccin, incluyendo la entrada y las transacciones generadas
internamente. La principal desventaja es su alto costo de
desarrollo y mantenimiento y las dificultades asociadas con la
independencia del auditor.

Involucra mdulos incrustados en una aplicacin que monitorea

continuamente el sistema de transacciones. Recolecta la
informacin en archivos especiales que puede examinar el auditor.

System Control Audit Review File

En resumen los paquetes de auditoria son usados para control de secuencias,

bsquedas de registros, seleccin de datos, revisin de operaciones lgicas y
muestreo

Tcnicas de Auditoria

Probando el procesamiento
Principales tcnicas para probar el procesamiento

E T I Q U E T A D O (TAGGING SNAPSHOT)
Estas instrucciones de programas o subrutina, reconocen y
registran el flujo de las transacciones diseadas en programas
de aplicacin. Esta tcnica es usada por los auditores para
rastrear transacciones especficas por medio de los programas
de computador y asegurar la evidencia documental de las
relaciones lgicas, condiciones de control y frecuencias de
procedimientos. La tcnica tiene la ventaja de verificar el flujo
de la lgica del programa y consecuentemente ayuda a los
auditores en el entendimiento de los pasos del proceso en los
programas.
Tiene la desventaja de requerir extensos
conocimientos de computacin y programacin, y es
generalmente un procedimiento que consume mucho tiempo
del auditor.

Tcnicas de Auditoria

E T I Q U E T A D O (TAGGING SNAPSHOT)
CONSITE EN:
1. Se marcan algunas transacciones (con una X por
ejemplo)
2. Se hace que cada vez que estas transacciones
pasan por un punto dado del programa, un vuelco
instantneo de unas partes seleccionadas de la
memoria del computador que contiene datos
relevantes sea dado y tales datos sean listados.
Se analiza el comportamiento del programa al trabajar
tales transacciones

Tagging

SIMULACIN PARALELA

08/04/2014

75

AUTOAUDIT

AUDIT
CONTROL APL

ACL

IDEA

AUDIMASTER

TIPOS DE
HERRAMIENTAS
CAAT

DELOS

76

Tipos de herramientas CAAT - idea

Con esta herramienta se puede leer, visualizar, analizar y manipular

datos; llevar a cabo muestreos y extraer archivos de datos desde
cualquier origen ordenadores centrales a PC, incluso reportes
impresos.
IDEA es reconocido en todo el mundo, como un estndar en
comparaciones con otras herramientas de anlisis de datos,
ofreciendo una combinacin nica en cuanto a poder de
funcionalidad y facilidad de uso.

08/04/2014

77

Tipos de herramientas CAAT - idea

reas de uso de la herramienta
Auditora externa de estados financieros.
Precisin: comprobacin de clculos y totales.
Revisin analtica: comparaciones, perfiles, estadsticas.
Validez: duplicados, excepciones, muestreos estadsticos.
Integridad: omisiones y coincidencias.
Cortes: anlisis secuencial de fechas y nmeros.
Valuacin: provisiones de inventario.
Auditora interna.
Conformidad de polticas.
Valor del dinero.
Pruebas de excepcin.
Anlisis.
Comparaciones y coincidencias.
08/04/2014

78

Tipos de herramientas CAAT - idea

Deteccin de fraudes.
Compras y pagos: validacin de proveedores, anlisis contables.
Nmina: coincidencias cruzadas, clculos.
Lavado de dinero: valores elevados, cifras redondeadas, movimientos
frecuentes.
Informes y anlisis de gestin.
Transferencias de archivos.
Bancos e instituciones financieras.
Industrias.
Organizaciones de ventas al por menor.
Entes gubernamentales (prestadores de ayudas y beneficios).

08/04/2014

79

Tipos de herramientas CAAT - ACL

Es una herramienta CAAT enfocada al acceso de datos, anlisis y
reportes para auditores y profesionales financieros.
No es necesario ser un especialista en el uso de CAAT.
Posee una poderosa combinacin de accesos a datos, anlisis y
reportes integrados, ACL lee y compara los datos permitiendo a la
fuente de datos permanecer intacta para una completa integridad y
calidad de los mismos.
ACL permite:
Anlisis de datos para un completo aseguramiento.
Localiza errores y fraudes potenciales.
Identifica errores y los controla.
Limpia y normaliza los datos para incrementar la consistencia de los
resultados.
Realiza un test analtico automtico y manda una notificacin va email con el resultado.
08/04/2014

80

Tipos de herramientas CAAT - ACL

Brinda una vista de la informacin de la organizacin y habilita
directamente el acceso a bsquedas de cualquier transaccin, de
cualquier fuente a travs de cualquier sistema.
Ahorra tiempo y reduce la necesidad de requerimiento de
informacin a departamentos de TI muy ocupados
Acceso a diversos tipo de datos con facilidad.
Tiene un tamao ilimitado en el monitoreo de datos y puede
procesar rpidamente millones de transacciones de datos ya que
permite leer mas de 10,000 y hasta 100,000 registros por segundo.
Los resultados se pueden ver fcilmente y entenderlos en formatos
tabulares, posee graficas precargadas, tambin posee un log de
actividad de los registros, que permite analizar y comprar registros
pasados con los nuevos, posee vistas de reportes precargados de
Crystal Reports.

08/04/2014

81

Tipos de herramientas CAAT auto audit

Es un sistema completo para la automatizacin de la funcin de

Auditora, soportando todo el proceso y flujo de trabajo, desde la fase
de planificacin, pasando por el trabajo de campo, hasta la
preparacin del informe final.
Adems del manejo de documentos y papeles de trabajo en forma
electrnica, Auto Audit permite seguir la metodologa de evaluacin
de riesgos a nivel de entidad o de proceso, la planificacin de
auditoras y recursos, seguimiento de hallazgos, reportes de gastos y
de tiempo, control de calidad, y cuenta con la flexibilidad de un
mdulo de reportes ad hoc. Todos estos mdulos estn
completamente integrados y los datos fluyen de uno a otro
automticamente.
08/04/2014

82

Tipos de herramientas CAAT auto audit

Beneficios
Eficiencia en el trabajo -Aumenta la eficiencia en la conduccin de la
evaluacin de riesgos y planificacin anual.
Base de conocimiento - Acceso inmediato a toda la documentacin de
auditoras pasadas, en ejecucin o planeadas.
Flexibilidad - Permite que los auditores puedan trabajar en lugares
distantes con sus rplicas locales de la auditora en curso y su
posterior sincronizacin a la base de datos centralizada.
Estandarizacin y control - Garantiza el seguimiento de metodologas
de trabajo de acuerdo a las mejores prcticas de la organizacin con el
uso de una biblioteca de documentos estndares (memoranda,
programas, papeles de trabajo, cuestionarios, evaluaciones, informe
final y otros).
08/04/2014

83

Tipos de herramientas CAAT auto audit

Adaptabilidad - Provee una herramienta de reportes ad hoc para la
generacin de informes, tablas y grficos con los formatos requeridos para el
Comit de Auditora o Auditor General.
Comunicacin - Mejora la comunicacin con los auditados en el seguimiento
de los hallazgos y planes de accin.
Reduccin de costos y aprovechamiento del recurso ms valioso (el auditor) Se reducen los costos y el tiempo de documentacin y revisin de papeles,
logrando invertir ms tiempo en la auditora, aadiendo valor al trabajo.
Seguridad y confidencialidad - Permite la creacin de usuarios definiendo
perfiles segn su rol dentro de la auditora para controlar el acceso de
documentos e integridad de la informacin.
Integracin con ACL - Es posible integrar los procesos de anlisis de datos que
se efectan con ACL en los papeles de trabajo de Auto Audit.
08/04/2014

84

Tipos de herramientas CAAT auditcontrol apl (audisis)

Es una herramienta para asistir en la construccin de sistemas de
gestin de riesgos y controles internos en los procesos de la cadena de
valor y los sistemas de informacin de las empresas. Para este fin,
utiliza la tcnica de Autoevaluacin del Control (CSA: Control Self
Assessment), tambin conocida con el nombre de Autoaseguramiento
del Control (CSA: Control Self Assurance).
Desde la perspectiva administrativa, CSA asiste en la determinacin de
si la organizacin est satisfaciendo sus objetivos. Las ventajas claves
de implementar un CSA incluyen la deteccin temprana de riesgos y el
desarrollo de planes de accin concretos que salvaguarden los
programas organizacionales contra riesgos del negocio significativos.

08/04/2014

85

Tipos de herramientas CAAT audicontrol apl (audisis)

La metodologa AUDICONTROL APL fue creada para apoyar el trabajo

de:
Analistas y Desarrolladores de Sistemas.
Departamentos de Organizacin y Mtodos.
Auditores de Sistemas.
Departamentos de Control Interno.
Administradores de Seguridad en Procesamiento electrnico de
datos.
Administradores de Riesgos.

08/04/2014

86

Tipos de herramientas CAAT - audimaster

AuditMaster de Pervasive, es una solucin de supervisin de
transacciones a nivel de base de datos. Este sistema controla e
informa de toda la actividad que tiene lugar en una base de datos
Pervasive.SQL.
La tecnologa de AuditMaster consiste en capturar las operaciones que
se realizan en la base de datos y escribirlas en un archivo de registro.
AuditMaster se divide en tres componentes:
Gestor de eventos (Log event handler) Acta como una especie de
caja negra que captura y escribe en un registro de seguimiento
todas las actividades que se llevan a cabo en la base de datos.

08/04/2014

87

Tipos de herramientas CAAT - auditmaster

Base de datos de registro (Log database): El archivo principal de
registro contiene toda la informacin de seguimiento, por ejemplo,
la identificacin de usuario, la identificacin de la estacin de red, el
tiempo y la fecha de la operacin, el nombre de aplicacin, el
nombre de la tabla de la base de datos y el tipo de operacin.
Adems, el archivo crea imgenes, antes y despus de la
transaccin, a efectos de actualizacin de los registros. Cada vez que
un usuario modifica algn dato, AuditMaster escribe en el registro
tanto el valor antiguo como el nuevo.
Visor de registros (Log viewer): Permite hacer consultas a la base de
datos de registro, lo que permite que un administrador de seguridad
compruebe las actividades realizadas y analice patrones y
tendencias.
08/04/2014

88

Tipos de herramientas CAAT - delos

Delos es un sistema experto que posee conocimientos especficos en
materia de auditora, seguridad y control en tecnologa de
informacin.
Este conocimiento se encuentra estructurado y almacenado en una
base de conocimiento y puede ser incrementado y/o personalizado de
acuerdo con las caractersticas de cualquier organizacin y ser
utilizado como una gua automatizada para el desarrollo de
actividades especficas.
Delos es una herramienta que fue diseada pensando en empresas,
organizaciones y profesionistas que deseen incrementar los beneficios
derivados de la tecnologa de informacin a travs de actividades
relacionadas con auditora, seguridad y control en TI.
08/04/2014

89

Referencias Bibliograficas
http://www.virtual.unal.edu.co/cursos/sedes/
manizales/4060035/lecciones/Capitulo3.html
#Manuales
http://www.virtual.unal.edu.co/cursos/sedes/
manizales/4060035/und_5/html/datos_prueb
a.html