Documente Academic
Documente Profesional
Documente Cultură
Nº 26de Manizales
- enero - junio / 2012 Facultad de Ciencias e Ingeniería
y herramientas de auditoría
asistidas por computador*1
Resumen
/D HYLGHQFLD HV OD HVHQFLD GHO SURFHVR DXGLWRU GHPRVWUDGR LP
SOtFLWD \ H[SOtFLWDPHQWH HQ ODV GH¿QLFLRQHV IRUPDOHV GH
DXGLWRUtD VLQ HPEDUJR FRQ OD DGRSFLyQ LQWHQVLYD GH ODV
7HFQRORJtDV GH ,Q IRUPDFLyQ \ &RPXQLFDFLRQHV HQ ODV
RUJDQL]DFLRQHV OD HYLGHQFLD GLJLWDO VH KD FRQYHUWLGR HQ XQ WHPD
FODYH SDUD OD FRPSHWLWLYLGDG GH ORV DXGLWRUHV (VWH DUWtFXOR
GHVDUUROOD XQD LQYHVWLJDFLyQ H[SOR UDWRULD DFHUFD GH OD HYLGHQFLD
WUDGLFLRQDO \ GLJLWDO FRQ pQIDVLV HQ HVWD ~OWLPD DVRFLDGD D ODV
7pFQLFDV \ +HUUDPLHQWDV GH $XGLWRUtD
$VLVWLGDV SRU &RPSXWDGRU H[SORUDQGR VXV FRQFHSWRV WLSRORJtDV
QRUPDV \ HVWiQGDUHV DGHPiV GH LQWHQWDU HVWDEOHFHU VX QLYHO
GH
Abstract
7KH HYLGHQFH LV WKH HVVHQFH RI WKH DXGLW SURFHVV LPSOLFLWO\ DQG H[SOLFLWO\
GHPRQVWUDWHG LQ WKH IRUPDO GH¿QLWLRQV RI DXGLW EXW WKH LQWHQVLYH
DGRSWLRQ RI ,QIRUPDWLRQ DQG &RPPXQLFDWLRQV 7HFKQRORJLHV LQ
RUJDQL]DWLRQV WKH GLJLWDO HYLGHQFH KDV EHFRPH D NH\ LVVXH IRU
FRPSHWLWLYHQHVV RI WKH DXGLWRUV 7KLV SDSHU GHYHORSV DQ H[SORUDWRU\
UHVHDUFK RQ WUDGLWLRQDO DQG GLJLWDO HYLGHQFH ZLWK HPSKDVLV RQ WKH ODWWHU
DVVRFLDWHG ZLWK 7HFKQLTXHV DQG 7RROV &RPSXWHU $VVLVWHG $XGLW
H[SORULQJ WKH FRQFHSWV W\SHV UXOHV DQG VWDQGDUGV LQ DGGLWLRQ WR WU\LQJ
WR HVWDEOLVK WKHLU OHYHO RI XVH UHIHUHQ FH WR VWXGLHV FDUULHG RXW
LQWHUQDWLRQDOO\ 7KH UHVXOWV RI WKLV LQYHVWLJDWLRQ OHDG XV WR FRQFOXGH WKDW
WKH SURFHVVLQJ RI GLJLWDO HYLGHQFH DQG REWDLQLQJ WKURXJK 7HFKQLTXHV
DQG 7RROV &RPSXWHU $VVLVWHG $XGLW DUH QRW QHZ DQG KDYH EHHQ VWXGLHG
E\ WKH PDLQ HQWLWLHV LQYROYHG LQ WKH GLVFLSOLQH RI WKH DXGLW KLJKOLJKWLQJ
WKH XVH RI OHYHO VWXGLHV WKH WHQGHQF\ WR LQYHVWLJDWH DXGLW 7RROV ZLWK D
VWURQJ HPSKDVLV RQ JHQHUDOL]HG DXGLW VRIWZDUH UDWKHU WKDQ RQ WHFKQLFDO
FRPSXWHU DVVLVWHG DXGLW WKHPVHOYHV
.H\ZRUGV (YLGHQFH 'LJLWDO (YLGHQFH (OHFWURQLF (YLGHQFH &$$77
$XGLW 7HFKQLTXHV
Introducción
Las Tecnologías de Información y Comunicaciones (en adelante, TIC)
han transformado la sociedad, las organizaciones, los hábitos de vida,
la interacción con los demás, y sin lugar a dudas, la forma como se
desarrollan muchos de los procesos que agregan valor a las organiza-
94 94
ciones, para hacerlas más productivas y ser competitivas en un
entorno donde la constante es el cambio.
95 95
/R DQWHULRU FRQOOHYD D XQ UHGLVHxR GH ORV SDUDGLJPDV WHRUtDV
PpWR- dos, tecnologías y técnicas de las diferentes disciplinas que se
ejercen en la actualidad, y que requieren ser ajustadas para ser
pertinentes en el contexto tecnológico en que se desenvuelven
actualmente las organizaciones.
Tal es el caso de la Auditoría, una disciplina, asociada tradicionalmen-
WH FRQ DVSHFWRV ¿QDQFLHURV \ DFWXDOPHQWH DQFODGD HQ ORV
DVSHFWRV estratégicos de la vida organizacional, convertida en una
herramienta JHUHQFLDO LQGLVSHQVDEOH SDUD HO ORJUR H¿FD] \ H¿FLHQWH GH
ORV REMHWLYRV organizacionales, pero que requiere ser más pertinente,
desde una perspectiva tecnológica, si se tiene en cuenta que las TIC,
han evolu- cionado en las organizaciones, al dejar de ser, simplemente
estructuras de apoyo, a ser parte del negocio.
Pero más que la Auditoría propiamente dicha, lo que ha evolucionado
es la evidencia, elemento neurálgico en el proceso auditor, al pasar de
ser casi en su totalidad física, a convertirse en digital, imponiéndole a
los profesionales de Auditoría retos en el mejoramiento de sus com-
petencias para su obtención y debido tratamiento, debiendo acudir a
Técnicas y Herramientas de Auditoría Asistidas por Computador (en
adelante CAATT por sus siglas en inglés), de manera
complementaria a las Técnicas de Auditoría manual, que
tradicionalmente se utilizan.
La evidencia, siendo un solo cuerpo de conocimiento, ha sido tratada
en la literatura académica y profesional desde tres puntos de vista:
jurídica, forense y de auditoría. Es este último enfoque el que se va a
utilizar en este artículo, buscando indagar sus conceptos y su
evolución hacia la evidencia digital, íntimamente ligada a las CAATT,
como forma de obtenerla.
La evidencia tradicional y digital y las CAATT han sido objeto de
estudio de manera más intensa, más que por la academia, por las
organizaciones de profesionales que los agrupan, desarrollando una
base teórica, a través de normas, estándares y mejores prácticas que
guían su aplicación en busca de que sus conceptos sean
incorporados en el diario devenir de la auditoría.
En este trabajo, se plantea inicialmente una contextualización de la
evi- dencia, dentro del proceso auditor, enmarcándose a su vez dentro
del control organizacional. A partir de allí, se caracteriza la evidencia
digital, sus principales normas y estándares y los elementos que la
diferencia de la evidencia tradicional. A renglón seguido, y teniendo
presente los tipos de pruebas que generan el uso de CAATT, se dan
sus conceptos, FDUDFWHUL]DFLyQ QRUPDV \ ODV GLYHUVDV FODVL¿FDFLRQHV
SODQWHDGDV 6H
¿QDOL]D FRQ OD H[SOLFDFLyQ GH ODV SULQFLSDOHV &$$77 \ ODV HVWDGtVWLFDV
Universidad
Nº 26de Manizales
- enero - junio / 2012 Facultad de Ciencias e Ingeniería
4 Es de resaltar, que la evidencia obtenida por el auditor para soportar sus hallazgos y
conclusio- QHV GHEH VHU VX¿FLHQWH HQ UHODFLyQ FRQ OD FDQWLGDG GH HYLGHQFLD \ FRPSHWHQWH
UHODFLRQDGD con su calidad).
Tabla 1. Evidencia en papel vs Evidencia electrónica
&DOGDQD &RUUHD 3RQFH
Evidencia Tradicional Evidencia Electrónica
Atributo 'RFXPHQWRV HQ SDSHO
Es difícil de establecer solamente examinando
Se puede probar y establecer la información electrónica; es necesario
Origen usar controles y técnicas de seguridad para
fácilmente
establecer autentificación y no repudio del
documento.
Es imposible detectar alteraciones
Es difícil alterarlo sin que sea examinando sólo la información electrónica. La
Alteración descubierto integridad de ésta depende de la calidad de los
controles y las técnicas de seguridad.
Los documentos en papel muestran Se determina usando controles y técnicas
Aprobación la prueba de la aprobación en su de seguridad que permiten determinar la
cuerpo. autorización de la información.
Todos los términos relevantes de Se contienen, a menudo, los términos
Completitud una transacción son usualmente relevantes de una transacción en varios
incluidos en un documento. archivos o mensajes de datos.
Varias tecnologías y equipos son necesarios
Lectura No se necesita equipo especial. para leer el documento electrónico.
Está separado de los datos y puede ser
Formato Es parte integrante del documento.
cambiado.
Los documentos se mantienen de
Los documentos se mantienen en un
Almacenamiento acuerdo a las necesidades de la
repositorio con características especiales de
o archivo organización según normas de sana
seguridad, LQWHJULGDG \ GLVSRQLELOLGDG GH¿QLGDV
administración
SRU OD /H\
Disponibilidad y No es usualmente una restricción
El registro de auditoría puede no estar
accesibilidad durante la auditoría.
disponible en el tiempo de la auditoría y acceder
/D ¿UPD VH SXHGH DXWHQWL¿FDU FRQ a los datos puede ser difícil.
un simple chequeo y comparación
Se requieren las tecnologías apropiadas para
HQWUH HO GRFXPHQWR \ OD ¿UPD
Firma HPLWLU \ UHYLVDU XQD ¿UPD HOHFWUyQLFD ¿DEOH
RULJLQDO
Es distinta según sea el grado de importancia
Es igual para todo tipo de del documento (Firma Electrónica, Simple o
documento Avanzada)
AICPA
Norma/Estándar/
Organismo Año Descripción
'LUHFWUL]
ISA 500 2009 Evidencia de Auditoría
IFAC (YLGHQFLD GH $XGLWRUtD ± &RQVLGHUDFLRQHV HVSHFt¿FDV SDUD
ISA 501 2009
los elementos seleccionados
Estándar 14 2006 Evidencia de Auditoría
ISACA Directriz de 2008 Requerimiento de evidencia de auditoría
Auditoría 2
3. Pruebas de auditoría
El auditor debe acudir a lo que tradicionalmente se denominan
pruebas de auditoría, consistente en procedimientos, apoyado en
diferentes técnicas, para la obtención de evidencia. De acuerdo al
AICPA, refe- renciado en Marris (2010, 8), existen tres categorías de
procedimientos de auditoría:
- Procedimientos de evaluación de riesgos, orientados a la obtención
de un entendimiento de la entidad y su entorno, incluyendo su
control interno, la evaluación de riesgos importantes y aspectos
relevantes del objeto de auditoría,
3UXHED GH FRQWUROHV FRQVLVWHQWHV HQ YHUL¿FDU OD HIHFWLYLGDG GH ORV
controles que se encuentran implementados, y
- Procedimientos sustantivos, que consisten en llevar a cabo pruebas
DQDOtWLFDV \ GHWDOODGDV SDUD YHUL¿FDU OD LQWHJULGDG H[DFWLWXG \
YDOLGH] de los componentes que se están auditando.
Estos tres tipos de pruebas están relacionados entre sí, destacándose
una intensidad inversamente proporcional entre las pruebas de
controles y los procedimientos sustantivos, es decir, si las pruebas
realizadas para medir la efectividad de los controles fueron
satisfactorias, el alcance de las pruebas sustantivas será menor.
Para llevarlas a cabo, se acude a las técnicas de auditoría, que se
FODVL¿FDQ HQ WUDGLFLRQDOHV \ DVLVWLGDV SRU FRPSXWDGRU DPEDV
VRQ necesarias y complementarias en un proceso de Auditoría.
Algunos autores, como Louwers et al (2011, 94), integran ambos
tipos de téc- QLFDV \ ODV FODVL¿FDQ HQ RFKR FDWHJRUtDV D VDEHU
,QVSHFFLyQ GH registros y documentos, 2. Inspección de activos
tangibles, 3. Obser- YDFLyQ (QFXHVWDV &RQ¿UPDFLyQ
5HFiOFXOR 5HSURFHVR \
8. Procedimientos analíticos; sin embargo en este texto, se plantea
una diferenciación entre ambas, haciendo énfasis en las Técnicas de
Auditoría Asistidas por computador.
100 100
1001 1001
4. Técnicas y herramientas de
auditoría asistidas por computador
La profesión de Auditoría es particularmente dependiente de los
computadores para desarrollar muchas de sus funciones, todos
los tipos de auditorías y de auditores pueden tomar ventaja de las
KHUUDPLHQWDV GH VRIWZDUH \ GH ODV WpFQLFDV SDUD VHU PiV H¿FLHQWHV
\ H¿FDFHV 6HQIW *DOOHJRV 'H DOOt VXUJH OD QHFHVLGDG
GH ODV &$$77 GH¿QLGDV SRU &RGHUUH FRPR KHUUDPLHQWDV \
técnicas basadas en computador para incrementar la productividad
de los auditores, y la función de auditoría de la organización. Una
GH¿QLFLyQ DOWHUQDWLYD HV SODQWHDGD SRU /XQJX 9DWXLX
al establecer que «VRQ WpFQLFDV XWLOL]DGDV SRU ORV DXGLWRUHV XVDQGR
HO FRPSXWDGRU FRPR XQ LQVWUXPHQWR SDUD UHFROHFWDU \ DQDOL]DU GDWRV
QHFHVDULRV SDUD OD DXGLWRUtD».
De acuerdo al tipo de CAATT que requieran utilizar, los auditores re-
TXHULUiQ PD\RU R PHQRU H[SHUWLFLD SDUD VX XVR SDUD WDO ¿Q OD JXtD
de Auditoría de ISACA (2008b,3), establece como factores a
considerar para hacer uso de las CAATT los siguientes: -
Conocimiento, pericia y experiencia del equipo auditor en aspectos
tecnológicos, - Dispo- QLELOLGDG GH &$$77 \ R XWLOLWDULRV GH 7HFQRORJtD
GH ,QIRUPDFLyQ (¿- ciencia y efectividad del uso de CAATT sobre
las técnicas manuales,
- Limitaciones de tiempo, - Integridad del sistema de información y el
entorno de TI, y - Nivel de riesgos de Auditoría.
Dentro de los procedimientos que pueden ser desarrollados con el
uso de CAATT, pueden mencionarse: Pruebas de detalles de tran-
sacciones y balances (recalculo de intereses, extracción de ventas
por encima de cierto valor, etc.), procedimientos analíticos, prueba
de controles generales, programas de muestreo para extraer datos,
pruebas de control en aplicaciones, cruce de registros de múltiples
fuentes de datos.
Al igual que sucede con la evidencia tradicional y electrónica, las
CAATT han sido objeto de estudio por las diferentes entidades
relacionadas con la función de auditoría organizacional, como se
puede observar en la Tabla 3, son varias las normas relacionadas
con el tema.
Universidad
Nº 26de Manizales
- enero - junio / 2012 Facultad de Ciencias e Ingeniería
Las técnicas más destacadas que hacen parte de este enfoque son
las siguientes: - La técnica de datos de prueba (WHVW GDWD): también
llamada lotes de prueba (WHVW GHFNV), consiste en un conjunto de
datos de entrada, propuestos por el auditor, que se ingresan a una
DSOLFDFLyQ FRQ HO ¿Q GH YHUL¿FDU VX SURFHVDPLHQWR \ SRGHU GHWHFWDU
resultados no válidos, y se usa para realizar pruebas a controles de
aplicaciones en funcionamiento. Deben ser coherentes con la aplica-
ción que se examina, teniendo presente las posibles combinaciones
de transacciones, situaciones de archivos maestro, valores y lógica
de procesamiento que podrían encontrarse cuando la aplicación se
encuentre en producción (Pinilla Forero, 1997, 124).
- Simulación Paralela (3DUDOOHO VLPXODWLRQ): técnica que utiliza transac-
ciones reales de la organización y simula el procesamiento que
realiza la aplicación en producción, mediante programas elaborados
por el DXGLWRU WRPDQGR FRPR UHIHUHQFLD ODV UHJODV GH QHJRFLR $O
¿QDO VH FRP- paran los resultados arrojados tanto por la aplicación
en producción, como por la del auditor y se establecen las
conclusiones pertinentes.
- Facilidad de prueba integrada (,QWHJUDWHG WHVW IDFLOLW\): técnica para
pro- cesar transacciones de prueba a través de sistemas de
aplicación de la empresa, junto con las transacciones reales, que
permite probar el procesamiento de una aplicación en su ambiente
normal de producción.
- Foto Instantánea 6QDSVKRW): utilizado para determinar si los proce-
sos de actualización se aplican correctamente (Rezaee, et al, 2004,
LPSOLFD WRPDU XQD IRWR GH XQD WUDQVDFFLyQ PLHQWUDV ÀX\H
SRU un sistema transaccional. Las rutinas del software de auditoría
están ubicadas en diferentes partes de la lógica del programa.
- Archivos de revisión, auditoría y control de sistemas 6\VWHP &RQWURO $XGLW
5HYLHZ )LOH ±6&$5) consiste en la inserción de rutinas de auditoría
en GLIHUHQWHV SXQWRV GH XQD WUDQVDFFLyQ SDUD PRQLWRUHDU HO WUi¿FR GH
GDWRV dentro del programa de aplicación (Arias & Cerpa, 2008, 284).
- Módulos embebidos de auditoría (PEHGGHG DXGLW PRGXOH :
aplicacio- nes de software o porciones de código embebidos en otros
sistemas, TXH PRQLWRUHDQ FRQWLQXDPHQWH ÀXMRV GH WUDQVDFFLRQHV
LGHQWL¿FDQGR aquellas que cumplen con ciertas reglas
predeterminadas, de tal forma que se genera una alerta al auditor, en
el momento en que se cumple dicha regla (Debreceny et al, 2005,
8)ha habido despliegue extenso de los sistemas ning del plan del
recurso de la empresa (ERP.
- La Auditoría continua: considerada una de las técnicas de auditoría
de mayor relievancia para las organizaciones modernas y si bien
Universidad
Nº 26de Manizales
- enero - junio / 2012 Facultad de Ciencias e Ingeniería
Las técnicas
no es más destacadas
un concepto nuevo, sique
lo hacen
es, suparte
nivelde
deeste enfoqueen
aplicación sonel
actual entorno empresarial, «HV XQD PHWRGRORJtD SDUD OD HPLVLyQ
GH LQIRUPHV GH DXGLWRUtD VLPXOWiQHDPHQWH R XQ FRUWR SHULRGR GH
WLHPSR GHVSXpV GH OD RFXUUHQFLD GH ORV KHFKRV UHOHYDQWHV» (Sear-
cy, Woodroof & Behn (2003, 2) Alles et al. (2006, 138), Flowerday,
Blundell & Von Solms (2006, 9), Ye, Chen & Gao (2008, 532) y
Baksa & Turoff (2010, 2)).
5. Conclusiones
La evidencia digital y las CAATT han sido objeto de estudio de manera
más intensa por las agrupaciones profesionales, que por la misma
academia, quienes las han convertido en normas y estándares para
que sean incorporadas dentro de las buenas prácticas de auditoría, y
aunque los estudios acerca de su nivel de aplicación, se concentran
más en las herramientas tecnológicas, que en las técnicas de
auditoría, no se puede desconocer la importancia que estas tienen en
el proceso de obtención de la evidencia digital.
Dentro de las herramientas tecnológicas más usadas por los auditores,
VH HQFXHQWUD HO XVR SDUD ¿QHV GH DXGLWRUtD GH VRIWZDUH GH SURSyVLWR
JHQpULFR \ GHQWUR GH HVWDV ODV KHUUDPLHQWDV R¿PiWLFDV VREUHVDOHQ
debido tal vez al conocimiento que los auditores tienen de ellas, por
Universidad
Nº 26de Manizales
- enero - junio / 2012 Facultad de Ciencias e Ingeniería
11
01