1
TAAC’s Las TAAC’s son un conjunto de técnicas
y herramientas utilizados en el desarrollo de las auditorias
informáticas con el fin de mejorar la eficiencia, alcance
y confiabilidad de los análisis efectuados por el auditor,
a los sistemas y los datos de la entidad auditada. Incluyen
métodos y procedimientos empleados por el auditor para
efectuar su trabajo y que pueden ser administrativos,
analíticos, informáticos, entre otros; y, los
cuales, son de suma importancia para el auditor
informático cuando este realiza una auditoría.
2
TAAC’s El uso de los TAAC’s le permiten al auditor
obtener suficiente evidencia confiable sobre el cual, sustentar
sus observaciones y recomendaciones, lo que obliga al auditor a
desarrollar destrezas especiales en el uso de estas
técnicas, tales como: mayores conocimientos
informáticos, discernimiento en el uso adecuado de las
herramientas informáticas y analíticas, eficiencia
en la realización de los análisis, etc.; sin dejar
a un lado las técnicas tradicionales de auditoría
como son la inspección, observación,
confirmación, revisión, entre otros 3
Auditoría asistida por computadora La norma SAP 1009
(Statement of Auditing Practice) denominada Computer Assisted
Audit Techniques (CAATs) o Técnicas de Auditoría
Asistidas por Computador (TAAC's), plantea la importancia del uso
de TAAC’s en la auditoría de sistemas y las define
como programas de computador y datos que el auditor usa como
parte de los procedimientos de auditoría para procesar
datos de significancia en un sistema de información.
–RETIRADA– SAS No. 94 (The Effect of Information
Technology on the Auditor's Consideration of Internal Control in
a Financial Statement audit) indica que una organización
que usa Tecnologías de Información IT, se puede ver
afectada en uno de los 5 componentes del control interno: El
ambiente de control, evaluación de riesgos, actividades de
control, información, comunicación y monitoreo
además de la forma en que se inicializan, registran,
procesan y reporta las transacciones. 4
Auditoría asistida por computadora NIA 330 –
Procedimientos en Respuesta a Riesgos Evaluados El uso de
Técnicas de Auditoría con Ayuda de Computadora
(TAAC's) puede posibilitar pruebas más extensas de las
transacciones electrónicas y archivos de cuentas. Estas
técnicas pueden usarse para seleccionar transacciones de
muestra de los archivos electrónicos clave. para escoger
transacciones con características específicas o
para pruebas de toda una población en lugar de una
muestra. NIA 500 – Evidencia de Auditoría en algunas
situaciones el auditor puede determinar que se necesitan
procedimientos adicionales de auditoría. Estos, por
ejemplo, pueden incluir usar Técnicas de Auditoría
con Ayuda de Computadora (TAAC's) para volver a calcular la
información. 5
Auditoría asistida por computadora Las TAAC's pueden ser
usadas en: Pruebas de detalles de transacciones y balances
(Recálculos de intereses, extracción de ventas por
encima de cierto valor, etc.) Procedimientos analíticos:
por ejemplo identificación de inconsistencias o
fluctuaciones significativas. Pruebas de controles generales,
tales como configuraciones en sistemas operativos, procedimientos
de acceso al sistema, comparación de códigos y
versiones. Programas de muestreo para extractar datos. Pruebas de
control en aplicaciones. Recálculos. 6
El proceso de auditoría de la información Si los
controles computarizados son débiles o no existen, los
auditores necesitarán realizar más pruebas
sustantivas. Las pruebas sustantivas son pruebas de detalle de
transacciones y de balance de cuentas. Las pruebas de
cumplimiento son realizadas para asegurar que los controles
están establecidos y trabajan correctamente. Esto puede
implicar el uso de las Técnicas de Auditoría
Asistidas por Computador – TAAC’s.
Diseño de pruebas para la utilización de las
TAAC’s Antes de utilizar las TAAC’s el auditor debe
diseñar la forma en que se va a llevar a cabo el examen,
mediante el establecimiento oportuno de los objetivos que busca
el examen, establecer los sistemas de información
críticos de la organización y la disponibilidad que
se tiene para acceder a ellos, seleccionar los métodos y
pruebas a realizarse durante la ejecución del examen,
definir los reportes que se deberán generar como
evidencias e informes de auditoria y otros procedimientos
adicionales necesarios para la ejecución exitosa del
examen. Es necesario tener mucho cuidado respecto a la
confidencialidad de los datos y sistemas a los cuales acceda
durante su revisión. Para ello, debe realizarse una
adecuada planificación, selección y diseño
de las técnicas y herramientas a utilizar, que permita
tener una seguridad razonable sobre la efectividad, confiabilidad
y confidencialidad de los resultados que se vayan a obtener
durante el examen. 8
Auditando alrededor del computador Auditoría alrededor del
computador asume que a través de la presencia de salidas
exactas se verifica el correcto procesamiento de las operaciones.
Este tipo de auditoría presta posa o ninguna
atención a los procesos de control dentro del ambiente de
TI. Generalmente no es un enfoque efectivo para llevar a cabo una
auditoría de un ambiente computarizado.
Auditando a través del computador Cuando se audita a
través del computador, el auditor sigue las pistas de
auditoría a través de la fase de operaciones
internas o proceso automatizado de datos. Los intentos de
verificación de los procesos de control involucran el uso
de Programas de SI. Los enfoques primarios son: Programas de
testeo, Programas computarizado s de validación Software
de revisión de sistemas Auditoría continua.
Auditoría DENTRO DEL COMPUTADOR Auditoría dentro
del computador implica el uso de TAAC’s para ayudar en
diversas tareas de auditoría. Este enfoque es
prácticamente obligatorio, ya que los datos son
almacenados en medios informáticos y el acceso manual es
casi imposible. Las TAAC’s son eficaces y ahorran
tiempo.
Aplicación de TAAC's en la Auditoría
Informática Una de las ventajas más notorias de las
TAAC’s es la versatilidad que estas presentan para la
realización del trabajo de campo de la auditoría,
(se pueden utilizar sin importar el tipo de organización,
su tamaño, sus operaciones y sector del mercado). Para
ello el auditor debe tener el suficiente discernimiento y
experiencia profesional para establecer la técnica o
herramienta a utilizar. El auditor dispone de una
clasificación estandarizada respecto a las principales
TAAC’s aplicadas por auditores de todo el mundo:
Técnicas Administrativas. Técnicas para evaluar los
controles de Aplicaciones en Producción. Técnicas
para análisis de Transacciones. Técnicas para
análisis de Datos. Técnicas para análisis de
Aplicaciones. 12
técnicas administrativas Permiten al auditor establecer el
alcance de la revisión, definir las áreas de
interés y la metodología a seguir para la
ejecución del examen. Selección de Áreas de
Auditoría Mediante esta técnica, el auditor
establece las aplicaciones críticas o módulos
específicos dentro de dichas aplicaciones que necesitan
ser revisadas periódicamente, que permitan obtener
información relevante respecto a las operaciones normales
del negocio. Esta técnica es muy utilizada por los
auditores internos de empresas corporativas grandes o medianas
con un alto volumen de transacciones y exige que el departamento
de auditoría interna construya sus propios aplicativos
(con la ayuda del departamento de sistemas), para que puedan
realizar su trabajo de forma eficiente. 13
técnicas administrativas Modelaje Esta técnica es
muy similar a la técnica de Selección de
Áreas de Auditoria, cuya diferencia radica en los
objetivos y criterios de selección de las áreas de
interés; ya que esta técnica tiene como objetivo
medir la gestión financiera de la organización y
todo lo que ello involucra. Sistema de puntajes A través
de esta técnica el auditor selecciona las aplicaciones
críticas de la organización de acuerdo a un
análisis de los riesgos asociados a dichas aplicaciones y
que están directamente relacionadas con la naturaleza del
negocio mediante asignarle a cada riesgo un puntaje de
ocurrencia, de tal forma que sean examinadas detalladamente
aquellas aplicaciones con mayor nivel de vulnerabilidad ante
posibles riesgos. 14
técnicas administrativas Software de Auditoría
Multisitio Se basa sobre el mismo concepto de los sistemas
distribuidos, en el que una organización con varias
sucursales u oficinas remotas, dispone de un software de
auditoria capaz de ser utilizado en dichas sucursales y a la vez,
pueda actualizar y almacenar la información resultante en
una base de datos principal, generalmente ubicada en la matriz de
la organización. Centros de competencia Consiste en
centralizar la información que va a ser examinada por el
auditor, a través de la designación de un lugar
específico que recibirá los datos provenientes de
todas las sucursales remotas y que luego serán
almacenadas, clasificadas y examinadas por el software de
auditoria. 15
Técnicas para evaluar los controles de Aplicaciones en
Producción Se orientan básicamente a verificar
cálculos en aplicaciones complejas, comprobar la exactitud
del procesamiento en forma global y específica y verificar
el cumplimiento de los controles preestablecidos. Método
de Datos de Prueba Consiste en la elaboración de un
conjunto de registros que sean representativos de una o varias
transacciones que son realizadas por la aplicación que va
a ser examinada, y que luego serán ingresadas en dicha
aplicación para la verificación del procesamiento
exitoso de los datos. Facilidad de Prueba Integrada (ITF) Similar
a la de datos de prueba, con la diferencia de que en esta se
trabajan con datos reales y ficticios. Simulación paralela
Esta es una técnica en la que el auditor elabora, a
través de lenguajes de programación o programas
utilitarios avanzados, una aplicación similar a la que va
a ser auditada, con el objetivo de ingresar
simultáneamente la misma información en ambas
aplicaciones para verificar la exactitud del procesamiento de
datos de la aplicación en producción. 16
Técnicas para Análisis de Transacciones Tienen como
objetivo la selección y análisis de transacciones
significativas de forma permanente, utilizando procedimientos
analíticos y técnicas de muestreo. Archivo de
revisión de auditoría como control del sistema
(SCARF) consiste en el diseño de ciertas medidas de
control para el procesamiento electrónico de los datos,
para luego incorporarlos dentro de los aplicativos en
producción (como rutinas huéspedes), con el
objetivo de garantizar un control permanente de las transacciones
realizadas. El resultado final será la generación
de un archivo de datos que almacenará una réplica
de los registros que hayan presentado anomalías. 17
Técnicas para Análisis de Transacciones Archivo de
revisión de auditoría por muestreo (SARF) Esta es
una técnica muy utilizada por los auditores externos y
consiste en la definición de ciertos parámetros de
selección de registros utilizando muestreo, para luego
analizarlos detalladamente. Registros Extendidos Técnica
muy particular y útil para los auditores que han
desarrollado ciertas destrezas en el análisis de datos; y,
consiste en la conservación histórica de todos los
cambios que haya sufrido una transacción en particular,
convirtiéndose en un LOG de auditoría. 18
Técnicas para el Análisis de Datos Están
orientadas hacia el uso de programas informáticos
especializados que le permiten al auditor, de forma eficiente y
flexible, examinar la información que ha sido procesada
electrónicamente a través de los sistemas de
información, aplicativos o programas utilitarios.
Programas generalizados de auditoría Es una de las
técnicas de mayor desarrollo y aplicación en los
últimos años. Se encuentran disponibles en el
mercado, numerosos paquetes de auditoría con muy buen
desempeño y flexibilidad en los tipos de archivos que
pueden examinar. Los más conocidos y difundidos en nuestro
medio son IDEA y ACL. Ventajas – Facilidad para el diseño
de las pruebas de auditoría, flexibilidad en cuanto a los
formatos de archivo y la adaptabilidad para manejar y presentar
la información. 19
Técnicas para el Análisis de Datos Programas de
auditoría a la medida Programas desarrollados
especialmente para el análisis de datos de un sistema de
información en particular, cubriendo todas las funciones y
características que este posea, de acuerdo a los objetivos
del auditor. Pueden ser desarrollados directamente por el auditor
con la ayuda del personal de informática de la
organización o viceversa, de acuerdo al grado de
complejidad que tenga el sistema de auditoría a ser
desarrollado. Programas Utilitarios Son programas estandarizados
para la ejecución de actividades muy diversas para el
manejo de la información, gestión de documentos,
realización de cálculos matemáticos y
estadísticos, almacenamiento de datos y control de
proyectos, etc.; los cuales, son muy utilizados por los auditores
durante la ejecución de todo el proceso de
auditoría. 20
Técnicas para el Análisis de Aplicaciones Poseen un
grado mayor de complejidad respecto a su aplicación y
grado de conocimiento técnico que debe poseer el auditor,
pues se orientan hacia la evaluación del funcionamiento
interno de las aplicaciones en producción y la forma en
que estos procesan la información. Técnica de
Imagen instantánea Consiste en obtener una imagen
instantánea del procesamiento electrónico de datos
en un momento determinado, a través de la
identificación única de ciertas transacciones de
interés para el auditor y que, mediante rutinas
especiales, son seleccionadas para revisar el flujo que esta ha
seguido dentro del sistema. 21
Técnicas para el Análisis de Aplicaciones
Técnica de Mapeo Utilizada para medir la eficiencia de
ejecución de las rutinas que integran el sistema, a
través de la utilización de programas
especializados para dicho fin que mediante reportes presentan las
veces en que se ejecutan las rutinas implementadas y el tiempo
que le ha tomado al procesador ejecutarlas. Pueden determinar las
rutinas que no han sido utilizadas y aquellas que posiblemente
han sido incorporadas con fines fraudulentos. Técnica de
Rastreo Mediante esta técnica se establece el orden en que
han sido ejecutadas las rutinas durante una determinada
transacción, lo cual permite evaluar si el orden
secuencial en que se va ejecutando cada una de las etapas del
procesamiento electrónico de datos coincide con los
procesos institucionales preestablecidos. 22
Técnicas para el Análisis de Aplicaciones
Análisis Lógico de las Aplicaciones Esta
técnica consiste en la revisión del programa de
acuerdo a las especificaciones técnicas y operativas
presentadas en los Manuales de Diseño y Usuario, que
permita identificar errores o inconsistencia El auditor debe
poseer un alto grado de comprensión sobre la lógica
del programa y de los manuales que lo acompañan; pero para
ello, el auditor debe estar plenamente convencido de que los
manuales del programa están adecuadamente elaborados y
libres de errores significativos. 23
Ventajas del uso de las técnicas de auditoría
asistidas por computadora (TAAC) Incrementan o amplían el
alcance de la investigación y permiten realizar pruebas
que no pueden efectuarse manualmente; Incrementan el alcance y
calidad de los muestreos, verificando un gran número de
elementos; Elevan la calidad y fiabilidad de las verificaciones a
realizar; Reducen el período de las pruebas y
procedimientos de muestreos a un menor costo; Garantizan el menor
número de interrupciones posibles a la entidad auditada;
Brindan al auditor autonomía e independencia de
trabajo; Permiten efectuar simulaciones sobre los procesos
sujetos a examen y monitorear el trabajo de las unidades;
24
Ventajas del uso de las técnicas de auditoría
asistidas por computadora (TAAC) Realizar un planeamiento a
priori sobre los puntos con potencial violación del
Control Interno; Disminución considerable del riesgo de
no-detección de los problemas; Posibilidad de que los
auditores actuantes puedan centrar su atención en aquellos
indicadores que muestren saldos inusuales o variaciones
significativas, que precisan de ser revisados como parte de la
auditoría; Elevación de la productividad y de la
profundidad de los análisis realizados en la
auditoría; Posibilidad de rescatar valor[11] en el
resultado de cada auditoría; Elevación de la
autoestima profesional del auditor, al dominar técnicas de
punta que lo igualan al desarrollo de la disciplina 25
Análisis de la aplicación de CAAT ESTUDIO DEL COSTO
BENEFICIO COSTOS INDIRECTOS COSTOS DE OPORTUNIDAD
DIAGNÓSTICO DEL PERSONAL 26
Planificación de CAAT 27 Considerar una combinación
apropiada de las técnicas manuales y las técnicas
de auditoría asistidas por computadora. Cuando se
determina utilizar CAAT los factores a considerar son los
siguientes: Conocimientos computacionales, pericia y experiencia
del auditor de sistemas de información. Disponibilidad de
los CAAT y de los sistemas de información. Eficiencia y
efectividad de utilizar los CAAT en lugar de las técnicas
manuales Restricciones de tiempo
Planificación de CAAT 28 Pasos más importantes que
el auditor debe considerar cuando prepara la aplicación de
los CAAT seleccionados son los siguientes: Establecer los
objetivos de auditoría de los CAAT: Determinar
accesibilidad y disponibilidad de los sistemas de
información, los programas/sistemas y datos de la
organización. Definir los procedimientos a seguir (por
ejemplo: una muestra estadística, recálculo,
confirmación, etc.). Definir los requerimientos de output.
Determinar los requerimientos de recursos. Documentar los costos
y los beneficios esperados. Obtener acceso a las facilidades de
los sistemas de información de la organización, sus
programas/sistemas y sus datos.
Planificación de CAAT 29 Documentar los CAAT a utilizar
incluyendo los objetivos, flujogramas de alto nivel y las
instrucciones a ejecutar. Acuerdo con el cliente (auditado): Los
archivos de datos, tanto como los archivos de operación
detallados (transaccionales, por ejemplo), a menudo son guardados
sólo por un período corto, por lo tanto, el auditor
de sistemas de información debe arreglar que estos
archivos sean guardados por el marco de tiempo de la
auditoría. Organizar el acceso a los sistemas de
información de la organización, programas/sistemas
y datos con anticipación para minimizar el efecto en el
ambiente productivo de la organización Evaluar el efecto
que los cambios a los programas/sistemas de producción
-cambios en la integridad y utilidad de los CAAT- (integridad de
los programas/sistemas y los datos utilizados)
Utilizar CAAT (realización de auditoría) 30 Cuando
se toma la decisión de hacer una auditoría de
sistemas con al ayuda de CAAT es importante tomar en cuenta los
pasos que a continuación se describen. El auditor debe:
Realizar una conciliación de los totales de control.
Realizar una revisión independiente de la lógica de
los CAAT Realizar una revisión de los controles generales
de los sistemas de información de la organización
que puedan contribuir a la integridad de los CAAT (por ejemplo:
controles de los cambios en los programas y el acceso a los
archivos de sistema, programa y/o datos).
Utilizar CAAT – TIPOS DE SOFTWARE 31 Paquete de
Auditoría. Son programas generalizados de computadora
diseñados para desempeñar funciones de
procesamiento de datos que incluyen leer bases de datos,
seleccionar información, realizar cálculos, crear
archivos de datos e imprimir informes en un formato especificado
por el auditor. Son usados para control de secuencias,
búsquedas de registros, detección de duplicaciones,
detección de gaps, selección de datos,
revisión de operaciones lógicas y muestreo, algunos
de ellos son el IDEA, ACL, etc.
32 Software para un propósito específico o
diseñado a la medida. Son programas de computadora
diseñados para desempeñar tareas de
auditoría en circunstancias específicas. Estos
programas pueden ser desarrollados por el auditor, por la
entidad, o por un programador externo contratado por el auditor.
Por ejemplo programas que permitan generar check-list adaptados a
las características de la empresa y de los objetivos de la
auditoría. Los programas de utilería. Son usados
por la organización auditada para desempeñar
funciones comunes de procesamiento de datos, como
clasificación, creación e impresión de
archivos. Como por ejemplo planillas de cálculo,
procesadores de texto, etc. Utilizar CAAT – TIPOS DE
SOFTWARE
33 Los programas de administración del sistema. Son
herramientas de productividad sofisticadas que son
típicamente parte de los sistemas operativos sofisticados,
por ejemplo software para recuperación de datos o software
para comparación de códigos. Como en el caso
anterior estas herramientas no son específicamente
diseñadas para usos de auditoría. Existen en el
mercado una gran variedad de este tipo de herramientas como por
ejemplo los que permiten controlar las versiones de un sistema.
Utilizar CAAT – TIPOS DE SOFTWARE
34 Rutinas de Auditoría en Programas de aplicación.
Módulos especiales de recolección de
información incluidos en la aplicación y
diseñados con fines específicos. Se trata de
módulos que permiten obtener pistas de auditora en muchos
casos generados a través de trigers programados en las
propias bases de datos Utilizar CAAT – TIPOS DE
SOFTWARE
Documentación de CAAT 35 Una descripción del
trabajo realizado, seguimiento y las conclusiones acerca de los
resultados de los CAAT deben estar registrados en los papeles de
trabajo de la auditoría. Las conclusiones acerca del
funcionamiento del sistema de información y de la
confiabilidad de los datos también deben estar registrados
en los PT’s de la auditoría. El proceso paso a paso
de los CAAT debe estar documentado adecuadamente para permitir
que el proceso se mantenga y se repita por otro auditor de
sistemas de información. Los PT’s deben contener la
documentación suficiente para describir la
aplicación de los CAAT incluyendo los detalles como:
Planificación Los objetivos de los CAAT Los CAAT a
utilizar Los controles a implementar El personal involucrado, el
tiempo que tomará y los costos.
Documentación de CAAT 36 La documentación debe
incluir: Los procedimientos de la preparación y la prueba
de los CAAT y los controles relacionados. Los detalles de las
pruebas realizadas por los CAAT. Los detalles de los input
(ejemplo: los datos utilizados, esquema de archivos), el
procesamiento (ejemplo: los flujogramas de alto nivel de los
CAAT, la lógica). Evidencia de auditoría: el output
producido (ejemplo: archivos log, reportes). Resultado de la
auditoría. Conclusiones de la auditoría. Las
recomendaciones de la auditoría.
Informe/reporte descripción de los CAAT 37 La
sección del informe donde se tratan los objetivos, la
extensión y metodología debe incluir una clara
descripción de los CAAT utilizados. Esta
descripción no debe ser muy detallada, pero debe
proporcionar una buena visión general al lector. La
descripción de los CAAT utilizados también debe ser
incluida en el informe donde se menciona el hallazgo
específico relacionado con el uso de los CAAT. Si se puede
aplicar la descripción de los CAAT a varios hallazgos o si
es demasiado detallado debe ser descrito brevemente en la
sección del informe donde se tratan los objetivos,
extensión y metodología y una referencia anexa para
el lector, con una descripción más detallada.
38
Tipos de herramientas CAAT – idea 39 Con esta herramienta se
puede leer, visualizar, analizar y manipular datos; llevar a cabo
muestreos y extraer archivos de datos desde cualquier origen
ordenadores centrales a PC, incluso reportes impresos. IDEA es
reconocido en todo el mundo, como un estándar en
comparaciones con otras herramientas de análisis de datos,
ofreciendo una combinación única en cuanto a poder
de funcionalidad y facilidad de uso.
ESTA PRESENTACIÓN CONTIENE MAS DIAPOSITIVAS DISPONIBLES EN
LA VERSIÓN DE DESCARGA