CAPITULO I 1.1.

SISTEMAS DE INFORMACIN Es el conjunto de elementos y procedimientos ntimamente ligados, interactuando entre s y con las dems partes de la organizacin a la que pertenecen (el sistema mayor), llevan a cabo el proceso de captacin de datos y entrega de informacin con el objeto de proporcionar los conocimientos necesarios a las personas indicadas, para que puedan decidir la actitud ms adecuada a tomar frente a determinadas alternativas o circunstancias.

1.1.1 INFORMACIN Y DATOS En sistemas los datos son la materia prima de la cual se deriva la informacin. Los datos son seales, hechos, cifras, palabras, smbolos o grficas que representan una idea, objeto, condicin o situacin, pero que no afecta el comportamiento. La informacin es el conjunto de datos seleccionados y organizados con respecto al usuario. La conversin de datos a informacin es la principal funcin del procesamiento de datos, sea este manual, mecnico o electrnico. La disponibilidad de datos e informacin en una empresa es de vital

importancia, se compara con el torrente sanguneo en el cuerpo humano. 1.1.2 CICLO DE VIDA DE LOS DATOS Los datos, dentro del sistema de informacin, tienen su propio ciclo vital. Tres aspectos de este ciclo son especialmente importantes para el desarrollo, diseo y operacin de los sistemas: Cmo se generan los datos? Qu clase de manipulacin o procesamiento de datos se lleva a cabo?

Cmo se lleva a cabo la comunicacin de informacin, el almacenamiento y la recuperacin de datos? En el siguiente diagrama se presenta el ciclo vital de los datos: Generacin: Es el resultado de algn fenmeno del ambiente o de la compaa, se observa y registra Almacenamiento: Por lo menos brevemente se guarda el dato, en la mente del hombre, en un documento o en un dispositivo de alguna clase, hasta que el dato pueda aplicarse o utilizarse. Recuperacin: Consiste en la conversin del dato de un cdigo inteligible para el usuarios, generalmente presentados en reporte. Valoracin: El valor de los datos depende de su exactitud, confiabilidad y oportunidad. Tambin hay el aspecto econmico, toda vez que el almacenamiento tiene un costo, por lo que hay que vigilar constantemente los archivos de daros para eliminar los que sean intiles. Transportacin: Los datos se transportan constantemente de la fuente al almacenamiento, al procesamiento, al usuario y al almacenamiento. (las flechas). Distribucin: Antes de hacer llegar a los usuarios, pueden o no ocurrir dos sub-fases: La reproduccin y la clasificacin. Reproduccin: Cuando del almacenamiento en algn medio debe reproducirse otro. Clasificacin: A menudo los datos se acumulan en forma aleatoria y hay que acomodarlos para que sean tiles.

Manipulacin: Cambios en los datos cuantitativos, mediante sumas, restas, otros clculos, para cambiarlos de forma o para ampliar su significado mediante frmulas o ecuaciones. Sntesis: El conjunto de muchos trozos de datos, para estructurar un todo significativo o un informe completo, es algo que requiere sintetizar todo aquello. Destruccin: Los registros de datos pueden volver a almacenarse, o bien destruirse, despus de su valoracin o su uso. La destruccin de vez, o puede ocurrir durante la revisin de los registros antiguos. El problema prctico ms importante del ciclo vital de los datos, es el de los registros de datos puede llevarse a cabo por rutina, despus de usarlos una

almacenamiento y recuperacin. El campo rpidamente creciente de los sistemas de informacin, se basa en la determinacin de lo que hay que almacenar, de lo que hay que recuperar, y de la forma de recuperar informacin (los datos que son significativos para las tareas administrativas), en el momento apropiado. La informacin es el fluido vital de toda compaa y la materia prima bsica en el toma de decisiones, resolucin de problemas y anlisis de oportunidades.1

CAPTULO II 2.1. TCNICAS DE AUDITORA ASISTIDAS POR COMPUTADOR (TAACs)

1 Revista Direccin y Control, Mxico 1979, pag,21)

Las Tcnicas de Auditora Asistidas por Computador ( TAACs) son un conjunto de tcnicas y herramientas utilizados en el desarrollo de las auditorias informticas con el fin de mejorar la eficiencia, alcance y confiabilidad de los anlisis efectuados por el auditor, a los sistemas y los datos de la entidad auditada. Incluyen mtodos y procedimientos empleados por el auditor para efectuar su trabajo y que pueden ser administrativos, analticos, informticos, entre otros; y, los cuales, son de suma importancia para el auditor informtico cuando este realiza una auditora. El uso de los TAACs le permiten al auditor obtener suficiente evidencia confiable sobre el cual, sustentar sus observaciones y recomendaciones, lo que obliga al auditor a desarrollar destrezas especiales en el uso de estas tcnicas, tales como: mayores conocimientos informticos, discernimiento en el uso adecuado de las herramientas informticas y analticas, eficiencia en la realizacin de los anlisis, etc.; sin dejar a un lado las tcnicas tradicionales de auditora como son la inspeccin, observacin, confirmacin, revisin, entre otros. 2.2. Auditora asistida por computadora La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit Techniques (CAATs) o Tcnicas de Auditora Asistidas por Computador (TAAC's), plantea la importancia del uso de TAACs en la auditora de sistemas y las define como programas de computador y datos que el auditor usa como parte de los procedimientos de auditora para procesar datos de significancia en un sistema de informacin.

RETIRADA- SAS No. 94 (The Effect of Information Technology on the Auditor's Consideration of Internal Control in a Financial Statement audit) indica que una organizacin que usa Tecnologas de Informacin IT, se puede ver afectada en

uno de los 5 componentes del control interno: El ambiente de control, evaluacin de riesgos, actividades de control, informacin, comunicacin y monitoreo adems de la forma en que se inicializan, registran, procesan y reporta las transacciones. A continuacin se presentan las Normas Internacionales de Auditora que hacen mencin a las Tcnicas de Auditoria Asistidas por Computador: NIA 330 Procedimientos en Respuesta a Riesgos Evaluados El uso de Tcnicas de Auditora con Ayuda de Computadora (TAAC's) puede posibilitar pruebas ms extensas de las transacciones electrnicas y archivos de cuentas. Estas tcnicas pueden usarse para seleccionar transacciones de muestra de los archivos electrnicos clave, para escoger transacciones con caractersticas especficas o para pruebas de toda una poblacin en lugar de una muestra. NIA 500 Evidencia de Auditora En algunas situaciones el auditor puede determinar que se necesitan procedimientos adicionales de auditora. Estos, por ejemplo, pueden incluir usar Tcnicas de Auditora con Ayuda de Computadora (TAAC's) para volver a calcular la informacin. Las TAAC's pueden ser usadas en:

Pruebas de detalles de transacciones y balance (Reclculos de intereses, extraccin de ventas por encima de cierto valor, etc.) Procedimientos analticos: por ejemplo identificacin de inconsistencias o fluctuaciones significativas. Pruebas de controles generales: tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparacin de cdigos y versiones.

Programas de muestreo para extractar datos. Pruebas de control en aplicaciones.

Reclculos

2.3. El Proceso De Auditora De La Informacin a. Si los controles computarizados son dbiles o no existen, los auditores necesitarn realizar ms pruebas sustantivas. Las pruebas sustantivas son pruebas de detalle de transacciones y de balance de cuentas. a. Las pruebas de cumplimiento son realizadas para asegurar que los controles estn establecidos y trabajan correctamente.

Esto puede implicar el uso de las Tcnicas de Auditora Asistidas por Computador (TAACs).

2.4. Diseo De Pruebas Para La Utilizacin De Las TAACs Antes de utilizar las TAACs el auditor debe disear la forma en que se va a llevar a cabo el examen, mediante el establecimiento oportuno de los objetivos que busca el examen, establecer los sistemas de informacin crticos de la organizacin y la disponibilidad que se tiene para acceder a ellos, seleccionar los mtodos y pruebas a realizarse durante la ejecucin del examen, definir los reportes que se debern generar como evidencias e informes de auditoria y otros procedimientos adicionales necesarios para la ejecucin exitosa del examen.

Es necesario tener mucho cuidado respecto a la confidencialidad de los datos y sistemas a los cuales acceda durante su revisin. Para ello, debe realizarse una adecuada planificacin, seleccin y diseo de las tcnicas y herramientas a utilizar, que permita tener una seguridad razonable sobre la efectividad, confiabilidad y confidencialidad de los resultados que se vayan a obtener durante el examen.

2.5. Auditando Alrededor Del Computador

Auditora alrededor del computador asume que a travs de la presencia de salidas exactas se verifica el correcto procesamiento de las operaciones. Este tipo de auditora presta poca o ninguna atencin a los procesos de control dentro del ambiente de TI. Generalmente no es un enfoque efectivo para llevar a cabo una auditora de un ambiente computarizado. Cuando se audita a travs del computador, el auditor sigue las pistas de auditora a travs de la fase de operaciones internas automatizado de datos. o proceso

Los intentos de verificacin de los procesos de control involucran el uso de Programas de SI. Los enfoques primarios son: 1) Programas de testeo,
2) Programas computarizados de validacin

3) Software de revisin de sistemas

4) Auditora contina.

2.6. Auditora Dentro Del Computador Auditora dentro del computador implica el uso de TAACs para diversas tareas de auditora. Este enfoque es prcticamente obligatorio, ya que los datos son almacenados en medios informticos y el acceso manual es casi imposible. Las TAACs eficaces y ahorran tiempo. son ayudar en

2.7. Aplicacin de TAAC's en la Auditora Informtica Una de las ventajas ms notorias de las TAACs es la versatilidad que estas presentan para la realizacin del trabajo de campo de la auditora, (se pueden utilizar sin importar el tipo de organizacin, su tamao, sus operaciones y sector del mercado).

Para ello el auditor debe tener el suficiente discernimiento y experiencia profesional para establecer la tcnica o herramienta a utilizar. El auditor dispone de una clasificacin estandarizada respecto a las principales TAACs aplicadas por auditores de todo el mundo: Tcnicas Administrativas. Tcnicas para evaluar los controles de Aplicaciones en Produccin. Tcnicas para anlisis de Transacciones. Tcnicas para anlisis de Datos. Tcnicas para anlisis de Aplicaciones. 2.7.1 Tcnicas Administrativas Permiten al auditor establecer el alcance de la revisin, definir las reas de inters y la metodologa a seguir para la ejecucin del examen. 2.7.2 Seleccin de reas de Auditora Mediante esta tcnica, el auditor establece las aplicaciones crticas o mdulos especficos dentro de dichas aplicaciones que necesitan ser revisadas peridicamente, que permitan obtener informacin relevante respecto a las operaciones normales del negocio. Esta tcnica es muy utilizada por los auditores internos de empresas corporativas grandes o medianas con un alto volumen de transacciones y exige que el departamento de auditora interna construya sus propios aplicativos (con la ayuda del departamento de sistemas), para que puedan realizar su trabajo de forma eficiente. a. Modelaje Esta tcnica es muy similar a la tcnica de Seleccin de reas de Auditoria, cuya diferencia radica en los objetivos y criterios de seleccin de las reas de inters; ya que esta tcnica tiene como objetivo medir la gestin financiera de la organizacin y todo lo que ello involucra. b. Sistema de puntajes

A travs de esta tcnica el auditor selecciona las aplicaciones crticas de la organizacin de acuerdo a un anlisis de los riesgos asociados a dichas aplicaciones y que estn directamente relacionadas con la naturaleza del negocio mediante asignarle a cada riesgo un puntaje de ocurrencia, de tal forma que sean examinadas detalladamente aquellas aplicaciones con mayor nivel de vulnerabilidad ante posibles riesgos. c. Software de Auditora Multisitio Se basa sobre el mismo concepto de los sistemas distribuidos, en el que una organizacin con varias sucursales u oficinas remotas, dispone de un software de auditoria capaz de ser utilizado en dichas sucursales y a la vez, pueda actualizar y almacenar la informacin resultante en una base de datos principal, generalmente ubicada en la matriz de la organizacin. d. Centros de competencia Consiste en centralizar la informacin que va a ser examinada por el auditor, a travs de la designacin de un lugar especfico que recibir los datos provenientes de todas las sucursales remotas y que luego sern almacenadas, clasificadas y examinadas por el software de auditoria.

2.7.3 Tcnicas para evaluar los controles de Aplicaciones en Produccin Se orientan bsicamente a verificar clculos en aplicaciones complejas, comprobar la exactitud del procesamiento en forma global y especfica y verificar el cumplimiento de los controles preestablecidos. a. Mtodo de Datos de Prueba Consiste en la elaboracin de un conjunto de registros que sean representativos de una o varias transacciones que son realizadas por la aplicacin que va a ser

10

examinada, y que luego sern ingresadas en dicha aplicacin para la verificacin del procesamiento exitoso de los datos. b. Facilidad de Prueba Integrada (ITF) Similar a la de datos de prueba, con la diferencia de que en esta se trabajan con datos reales y ficticios. c. Simulacin paralela Esta es una tcnica en la que el auditor elabora, a travs de lenguajes de programacin o programas utilitarios avanzados, una aplicacin similar a la que va a ser auditada, con el objetivo de ingresar simultneamente la misma informacin en ambas aplicaciones para verificar la exactitud del procesamiento de datos de la aplicacin en produccin. 2.7.4 Tcnicas para Anlisis de Transacciones Tienen como objetivo la seleccin y anlisis de transacciones significativas de forma permanente, utilizando procedimientos analticos y tcnicas de muestreo.

Archivo de revisin de auditora como control del sistema (SCARF) Consiste en el diseo de ciertas medidas de control para el procesamiento electrnico de los datos, para luego incorporarlos dentro de los aplicativos en produccin (como rutinas huspedes), con el objetivo de garantizar un control permanente de las transacciones realizadas. El resultado final ser la generacin de un archivo de datos que almacenar una rplica de los registros que hayan presentado anomalas. Archivo de revisin de auditora por muestreo (SARF) Esta es una tcnica muy utilizada por los auditores externos y consiste en la definicin de ciertos parmetros de seleccin de registros utilizando muestreo, para luego analizarlos detalladamente.

11

Registros Extendidos Tcnica muy particular y til para los auditores que han desarrollado ciertas destrezas en el anlisis de datos; y, consiste en la conservacin histrica de todos los cambios que haya sufrido una transaccin en particular, convirtindose en un LOG de auditora. 2.7.5 Tcnicas para el Anlisis de Datos Estn orientadas hacia el uso de programas informticos especializados que le permiten al auditor, de forma eficiente y flexible, examinar la informacin que ha sido procesada electrnicamente a travs de los sistemas de informacin, aplicativos o programas utilitarios. Programas Generalizados de Auditora Es una de las tcnicas de mayor desarrollo y aplicacin en los ltimos aos. Se encuentran disponibles en el mercado, numerosos paquetes de auditora con muy buen desempeo y flexibilidad en los tipos de archivos que pueden examinar. Los ms conocidos y difundidos en nuestro medio son IDEA y ACL. Ventajas - Facilidad para el diseo de las pruebas de auditora, flexibilidad en cuanto a los formatos de archivo y la adaptabilidad para manejar y presentar la informacin. Programas de auditora a la medida Programas desarrollados especialmente para el anlisis de datos de un sistema de informacin en particular, cubriendo todas las funciones y caractersticas que este posea, de acuerdo a los objetivos del auditor. Pueden ser desarrollados directamente por el auditor con la ayuda del personal de informtica de la organizacin o viceversa, de acuerdo al grado de complejidad que tenga el sistema de auditora a ser desarrollado. Programas Utilitarios

12

Son programas estandarizados para la ejecucin de actividades muy diversas para el manejo de la informacin, gestin de documentos, realizacin de clculos matemticos y estadsticos, almacenamiento de datos y control de proyectos, etc.; los cuales, son muy utilizados por los auditores durante la ejecucin de todo el proceso de auditora. 2.7.6 Tcnicas para el Anlisis de Aplicaciones Poseen un grado mayor de complejidad respecto a su aplicacin y grado de conocimiento tcnico que debe poseer el auditor, pues se orientan hacia la evaluacin del funcionamiento interno de las aplicaciones en produccin y la forma en que estos procesan la informacin. a. Tcnica de Imagen instantnea Consiste en obtener una imagen instantnea del procesamiento electrnico de datos en un momento determinado, a travs de la identificacin nica de ciertas transacciones de inters para el auditor y que, mediante rutinas especiales, son seleccionadas para revisar el flujo que esta ha seguido dentro del sistema. b. Tcnica de Mapeo Utilizada para medir la eficiencia de ejecucin de las rutinas que integran el sistema, a travs de la utilizacin de programas especializados para dicho fin que mediante reportes presentan las veces en que se ejecutan las rutinas implementadas y el tiempo que le ha tomado al procesador ejecutarlas. Pueden determinar las rutinas que no han sido utilizadas y aquellas que posiblemente han sido incorporadas con fines fraudulentos. c. Tcnica de Rastreo Mediante esta tcnica se establece el orden en que han sido ejecutadas las rutinas durante una determinada transaccin, lo cual permite evaluar si el orden secuencial en que se va ejecutando cada una de las etapas del procesamiento electrnico de datos coincide con los procesos institucionales preestablecidos.

13

2.7. 7 Anlisis Lgico de las Aplicaciones Esta tcnica consiste en la revisin del programa de acuerdo a las especificaciones tcnicas y operativas presentadas en los Manuales de Diseo y Usuario, que permita identificar errores o inconsistencia El auditor debe poseer un alto grado de comprensin sobre la lgica del programa y de los manuales que lo acompaan; pero para ello, el auditor debe estar plenamente convencido de que los manuales del programa estn adecuadamente elaborados y libres de errores significativos. 2.8 Ventajas del Uso de las Tcnicas de Auditora Asistidas por Computadora (TAAC) Incrementan o amplan el alcance de la investigacin y permiten realizar pruebas que no pueden efectuarse manualmente; Incrementan el alcance y calidad de los muestreos, verificando un gran nmero de elementos; Elevan la calidad y fiabilidad de las verificaciones a realizar; Reducen el perodo de las pruebas y procedimientos de muestreos a un menor costo; Garantizan el menor nmero de interrupciones posibles a la entidad auditada; Brindan al auditor autonoma e independencia de trabajo; Permiten efectuar simulaciones sobre los procesos sujetos a examen y monitorear el trabajo de las unidades; Realizar un planeamiento a priori sobre los puntos con potencial violacin del Control Interno; Disminucin considerable del riesgo de no-deteccin de los problemas; Posibilidad de que los auditores actuantes puedan centrar su atencin en aquellos indicadores que muestren saldos inusuales o variaciones significativas, que precisan de ser revisados como parte de la auditora; Elevacin de la productividad y de la profundidad de los anlisis realizados en la auditora;

14

Posibilidad de rescatar valor en el resultado de cada auditora; Elevacin de la autoestima profesional del auditor, al dominar tcnicas de punta que lo igualan al desarrollo de la disciplina.

2.9. Anlisis de la aplicacin de CAAT a. Estudio Del Costo Beneficio b. Costos Indirectos c. Costos De Oportunidad d. Diagnstico Del Personal

1 2 3 4

ACTIVIDADE Elaboracin de planes de trabajo Elaboracin de cuestionarios, encue Trabajo de campo. Control de actividades a realizar en

5 Evaluacin de resultados de los pro 6 Evaluacin de la problemtica de la 2.9.1 Planificacin de CAAT

un sistema informtico. 7 Elaboracin de papeles de trabajo e

15

Considerar una combinacin apropiada de las tcnicas manuales y las tcnicas de auditora asistidas por computadora. Cuando se determina utilizar CAAT los factores a considerar son los siguientes: Conocimientos computacionales, pericia y experiencia del auditor de sistemas de informacin. Disponibilidad de los CAAT y de los sistemas de informacin. Eficiencia y efectividad de utilizar los CAAT en lugar de las tcnicas manuales Restricciones de tiempo

Pasos ms importantes que el auditor debe considerar cuando prepara la aplicacin de los CAAT seleccionados son los siguientes:

Establecer los objetivos de auditora de los CAAT: Determinar accesibilidad y disponibilidad de los sistemas de informacin, los programas/sistemas y datos de la organizacin.

Definir los procedimientos a seguir (por ejemplo: una muestra estadstica, reclculo, confirmacin, etc.). Definir los requerimientos de output. Determinar los requerimientos de recursos. Documentar los costos y los beneficios esperados. Obtener acceso a las facilidades de los sistemas de informacin de la organizacin, sus programas/sistemas y sus datos. Documentar los CAAT a utilizar incluyendo los objetivos, flujogramas de alto nivel y las instrucciones a ejecutar. Acuerdo con el cliente (auditado): Los archivos de datos, tanto como los archivos de operacin detallados (transaccionales, por ejemplo), a menudo son guardados slo por un perodo corto, por lo tanto, el auditor de sistemas de informacin debe arreglar que estos archivos sean guardados por el marco de tiempo de la auditora.

Organizar el acceso a los sistemas de informacin de la organizacin, programas/sistemas y datos con anticipacin para minimizar el efecto en el ambiente productivo de la organizacin

16

Evaluar el efecto que los cambios a los programas/sistemas de produccin -cambios en la integridad y utilidad de los CAAT- (integridad de los programas/sistemas y los datos utilizados) 2.9.2 Utilizar CAAT (realizacin de auditora) Cuando se toma la decisin de hacer una auditora de sistemas con al ayuda de CAAT es importante tomar en cuenta los pasos que a continuacin se describen. El auditor debe: 1. Realizar una conciliacin de los totales de control. 2. Realizar una revisin independiente de la lgica de los CAAT 3. Realizar una revisin de los controles generales de los sistemas de informacin de la organizacin que puedan contribuir a la integridad de los CAAT (por ejemplo: controles de los cambios en los programas y el acceso a los archivos de sistema, programa y/o datos). 2.9.3 TIPOS DE SOFTWARE a. Paquete de Auditora. Son programas generalizados de computadora diseados para desempear funciones de procesamiento de datos que incluyen leer bases de datos, seleccionar informacin, realizar clculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor. Son usados para control de secuencias, bsquedas de registros, deteccin de duplicaciones, deteccin de gaps, seleccin de datos, revisin de operaciones lgicas y muestreo, algunos de ellos son el IDEA, ACL, etc. a. Software para un propsito especfico o diseado a la medida. Son programas de computadora diseados para desempear tareas de auditora en circunstancias especficas. Estos programas pueden ser desarrollados por el auditor, por la entidad, o por un programador externo

17

contratado por el auditor. Por ejemplo programas que permitan generar check-list adaptados a las caractersticas de la empresa y de los objetivos de la auditora. a. Los programas de utilera.

Son usados por la organizacin auditada para desempear funciones comunes de procesamiento de datos, como clasificacin, creacin e impresin de archivos. Como por ejemplo planillas de clculo, procesadores de texto, etc.

a. Los programas de administracin del sistema. Son herramientas de productividad sofisticadas que son tpicamente parte de los sistemas operativos sofisticados, por ejemplo software para recuperacin de datos o software para comparacin de cdigos. Como en el caso anterior estas herramientas no son especficamente diseadas para usos de auditora. Existen en el mercado una gran variedad de este tipo de herramientas como por ejemplo los que permiten controlar las versiones de un sistema. b. Rutinas de Auditora en Programas de aplicacin. Mdulos especiales de recoleccin de informacin incluidos en la aplicacin y diseados con fines especficos. Se trata de mdulos que permiten obtener pistas de auditora en muchos casos generados a travs de trigers programados en las propias bases de datos. 2.9.4 Documentacin de CAAT Una descripcin del trabajo realizado, seguimiento y las conclusiones acerca de los resultados de los CAAT deben estar registrados en los papeles de trabajo de la auditora.

18

Las conclusiones acerca del funcionamiento del sistema de informacin y de la confiabilidad de los datos tambin deben estar registrados en los PTs de la auditora. El proceso paso a paso de los CAAT debe estar documentado adecuadamente para permitir que el proceso se mantenga y se repita por otro auditor de sistemas de informacin. Los PTs deben contener la documentacin suficiente para describir la aplicacin de los CAAT incluyendo los detalles como: Planificacin Los objetivos de los CAAT Los CAAT a utilizar Los controles a implementar El personal involucrado, el tiempo que tomar y los costos.

La documentacin debe incluir: Los procedimientos de la preparacin y la prueba de los CAAT y los controles relacionados. Los detalles de las pruebas realizadas por los CAAT. Los detalles de los input (ejemplo: los datos utilizados, esquema de archivos), el procesamiento (ejemplo: los flujogramas de alto nivel de los CAAT, la lgica). Evidencia de auditora: el output producido (ejemplo: archivos log, reportes). Resultado de la auditora. Conclusiones de la auditora. Las recomendaciones de la auditora.

2.9.5 Informe/reporte descripcin de los CAAT La seccin del informe donde se tratan los objetivos, la extensin y metodologa debe incluir una clara descripcin de los CAAT utilizados.

19

Esta descripcin no debe ser muy detallada, pero debe proporcionar una buena visin general al lector. La descripcin de los CAAT utilizados tambin debe ser incluida en el informe donde se menciona el hallazgo especfico relacionado con el uso de los CAAT. Si se puede aplicar la descripcin de los CAAT a varios hallazgos o si es demasiado detallado debe ser descrito brevemente en la seccin del informe donde se tratan los objetivos, extensin y metodologa y una referencia anexa para el lector, con una descripcin ms detallada.

2.9.6 Tipos de herramientas CAAT IDEA

Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar a cabo muestreos y extraer archivos de datos desde cualquier origen ordenadores centrales a PC, incluso reportes impresos. IDEA es reconocido en todo el mundo, como un estndar en comparaciones con otras herramientas de anlisis de datos, ofreciendo una combinacin nica en cuanto a poder de funcionalidad y facilidad de uso.

reas de uso de la herramienta Auditora externa de estados financieros. Precisin: comprobacin de clculos y totales. Revisin analtica: comparaciones, perfiles, estadsticas.

20

Validez: duplicados, excepciones, muestreos estadsticos. Integridad: omisiones y coincidencias. Cortes: anlisis secuencial de fechas y nmeros. Valuacin: provisiones de inventario.

Auditora interna. Conformidad de polticas. Valor del dinero. Pruebas de excepcin. Anlisis. Comparaciones y coincidencias.

Deteccin de fraudes. Compras y pagos: validacin de proveedores, anlisis contables. Nmina: coincidencias cruzadas, clculos. Lavado de dinero: valores elevados, cifras redondeadas, movimientos frecuentes. Informes y anlisis de gestin. Transferencias de archivos. Bancos e instituciones financieras. Industrias. Organizaciones de ventas al por menor. Entes gubernamentales (prestadores de ayudas y beneficios).

ACL

Es una herramienta CAAT enfocada al acceso de datos, anlisis y reportes para auditores y profesionales financieros. No es necesario ser un especialista en el uso de CAAT.

21

Posee una poderosa combinacin de accesos a datos, anlisis y reportes integrados, ACL lee y compara los datos permitiendo a la fuente de datos permanecer intacta para una completa integridad y calidad de los mismos. ACL permite: Anlisis de datos para un completo aseguramiento. Localiza errores y fraudes potenciales. Identifica errores y los controla. Limpia y normaliza los datos para incrementar la consistencia de los resultados. Realiza un test analtico automtico y manda una notificacin va e-mail con el resultado. Brinda una vista de la informacin de la organizacin y habilita directamente el acceso a bsquedas de cualquier transaccin, de cualquier fuente a travs de cualquier sistema. Ahorra tiempo y reduce la necesidad de requerimiento de informacin a departamentos de TI muy ocupados Acceso a diversos tipo de datos con facilidad. Tiene un tamao ilimitado en el monitoreo de datos y puede procesar rpidamente millones de transacciones de datos ya que permite leer mas de 10,000 y hasta 100,000 registros por segundo. Los resultados se pueden ver fcilmente y entenderlos en formatos tabulares, posee graficas precargadas, tambin posee un log de actividad de los registros, que permite analizar y comprar registros pasados con los nuevos, posee vistas de reportes precargados de Crystal Reports.

AUTO AUDIT

Es un sistema completo para la automatizacin de la funcin de Auditora, soportando todo el proceso y flujo de trabajo, desde la fase de planificacin, pasando por el trabajo de campo, hasta la preparacin del informe final.

22

Adems del manejo de documentos y papeles de trabajo en forma electrnica, Auto Audit permite seguir la metodologa de evaluacin de riesgos a nivel de entidad o de proceso, la planificacin de auditoras y recursos, seguimiento de hallazgos, reportes de gastos y de tiempo, control de calidad, y cuenta con la flexibilidad de un mdulo de reportes ad hoc. Todos estos mdulos estn completamente integrados y los datos fluyen de uno a otro automticamente. Beneficios Eficiencia en el trabajo -Aumenta la eficiencia en la conduccin de la evaluacin de riesgos y planificacin anual. Base de conocimiento - Acceso inmediato a toda la documentacin de auditoras pasadas, en ejecucin o planeadas. Flexibilidad - Permite que los auditores puedan trabajar en lugares distantes con sus rplicas locales de la auditora en curso y su posterior sincronizacin a la base de datos centralizada. Estandarizacin y control - Garantiza el seguimiento de metodologas de trabajo de acuerdo a las mejores prcticas de la organizacin con el uso de una biblioteca de documentos estndares (memoranda, programas, papeles de trabajo, cuestionarios, evaluaciones, informe final y otros). Adaptabilidad - Provee una herramienta de reportes ad hoc para la generacin de informes, tablas y grficos con los formatos requeridos para el Comit de Auditora o Auditor General. Comunicacin - Mejora la comunicacin con los auditados en el seguimiento de los hallazgos y planes de accin. Reduccin de costos y aprovechamiento del recurso ms valioso (el auditor) - Se reducen los costos y el tiempo de documentacin y revisin de papeles, logrando invertir ms tiempo en la auditora, aadiendo valor al trabajo. Seguridad y confidencialidad - Permite la creacin de usuarios definiendo perfiles segn su rol dentro de la auditora para controlar el acceso de documentos e integridad de la informacin.

23

Integracin con ACL - Es posible integrar los procesos de anlisis de datos que se efectan con ACL en los papeles de trabajo de Auto Audit.

a. AUDITCONTROL APL (AUDISIS) Es una herramienta para asistir en la construccin de sistemas de gestin de riesgos y controles internos en los procesos de la cadena de valor y los sistemas de informacin de las empresas. Para este fin, utiliza la tcnica de Autoevaluacin del Control (CSA: Control Self Assessment), tambin conocida con el nombre de Autoaseguramiento del Control (CSA: Control Self Assurance). Desde la perspectiva administrativa, CSA asiste en la determinacin de si la organizacin est satisfaciendo sus objetivos. Las ventajas claves de implementar un CSA incluyen la deteccin temprana de riesgos y el desarrollo de planes de accin concretos que salvaguarden los programas organizacionales contra riesgos del negocio significativos. La metodologa AUDICONTROL APL fue creada para apoyar el trabajo de: Analistas y Desarrolladores de Sistemas. Departamentos de Organizacin y Mtodos. Auditores de Sistemas. Departamentos de Control Interno. Administradores de Seguridad en Procesamiento electrnico de datos. Administradores de Riesgos.

AUDIMASTER

AuditMaster de Pervasive, es una solucin de supervisin de transacciones a nivel de base de datos. Este sistema controla e informa de toda la actividad que tiene lugar en una base de datos Pervasive.SQL. La tecnologa de AuditMaster consiste en capturar las operaciones que se realizan en la base de datos y escribirlas en un archivo de registro. AuditMaster se divide en tres componentes:

24

Gestor de eventos (Log event handler) Acta como una especie de caja negra que captura y escribe en un registro de seguimiento todas las actividades que se llevan a cabo en la base de datos.

Base de datos de registro (Log database): El archivo principal de registro contiene toda la informacin de seguimiento, por ejemplo, la identificacin de usuario, la identificacin de la estacin de red, el tiempo y la fecha de la operacin, el nombre de aplicacin, el nombre de la tabla de la base de datos y el tipo de operacin. Adems, el archivo crea imgenes, antes y despus de la transaccin, a efectos de actualizacin de los registros. Cada vez que un usuario modifica algn dato, AuditMaster escribe en el registro tanto el valor antiguo como el nuevo.

Visor de registros (Log viewer): Permite hacer consultas a la base de datos de registro, lo que permite que un administrador de seguridad compruebe las actividades realizadas y analice patrones y tendencias.

DELOS

Delos es un sistema experto que posee conocimientos especficos en materia de auditora, seguridad y control en tecnologa de informacin. Este conocimiento se encuentra estructurado y almacenado en una base de conocimiento y puede ser incrementado y/o personalizado de acuerdo con las caractersticas de cualquier organizacin y ser utilizado como una gua automatizada para el desarrollo de actividades especficas. Delos es una herramienta que fue diseada pensando en empresas, organizaciones y profesionistas que deseen incrementar los beneficios derivados de la tecnologa de informacin a travs de actividades relacionadas con auditora, seguridad y control en TI. DATOS DE PRUEBA

25

PRUEBA INTEGRADA -ITF

26

SIMULACIN PARALELA

SOFTWARE GENERAL DE AUDITORA

27

SOFTWARE DE AUDITORA A LA MEDIDA

Rutinas de auditora en programas de aplicacin

28

Archivo de revisin de Auditora

29

Registros extendidos

30

Traceo

31

Mapeo

Comparacin de cdigo

32

CAPITULO III CASO PRCTICO Antecedentes del caso prctico El anlisis efectuado se realiz en el Banco Guatemalteco deFinanzas, S.A. A continuacin se presentan los datos del banco: Datos del banco Guatemalteco de Finanzas, S.A. El banco Guatemalteco de Finanzas, S.A. es un banco privado que inici sus operaciones en el ao de 1975. Las oficinas centrales estn ubicadas en la zona 10 de la ciudad de Guatemala. La direccin del banco est a cargo del Consejo de Administracin. Estructura organizativa del banco La estructura organizativa es de la siguiente forma: Gerencia General, Gerencia Financiera y de Riesgos, Asesora Jurdica, Auditora Interna, Oficiala de Cumplimiento, Gerencia de Recursos Humanos, Gerencia Administrativa, Gerencia de Negocios, Gerencia de Medios informticos y Operaciones, que es de donde depende el Departamento de Informtica. Estructura organizativa del departamento de Informtica El departamento de Informtica se conforma de la siguiente forma: Gerente, jefe del departamento de Sistemas, jefe de seccin de Desarrollo de Sistemas, jefe de seccin de Anlisis de Sistemas. jefe del departamento de Infraestructura Tecnolgica, jefe de seccin de Soporte a la infraestructura tecnolgica y operaciones, jefe de seccin de Soporte tcnico, y Mesa de ayuda (Help desk).

Aplicacin del caso prctico

33

El caso prctico presentar la evaluacin de los principales riesgos que afectan el Centro de Procesamiento de Informacin (CPI), que es el espacio fsico dentro del departamento de Informtica, que contiene la computadora central (mainframe) y el sistema principal de la entidad bancaria (software). As mismo en el (CPI) se encuentran las impresoras de alto volumen, cableado de comunicaciones, las cintas de uso diario y dems equipos y documentacin que por sus caractersticas debe de estar custodiadas para evitar accesos no autorizados. Los objetivos de control interno a observar tienen la finalidad de asegurar que el Centro de Procesamiento de Informacin cuente con un ambiente que resguarde los equipos y el personal que los administra. La recopilacin de informacin se realizar con entrevistas y observacin. Las tcnicas a utilizar sern el examen, la inspeccin, la comparacin, la revisin documental y lista de chequeo (check list).

PROGRAMA AUDITORA INTERNA PARA REALIZAR REVISIN DEL CONTROL INTERNO Y OPERACIONES EN EL CENTRO DE PROCESAMIENTO DE INFORMACIN

34

I. INTRODUCCIN El departamento de Informtica deber contar con un espacio dentro de sus instalaciones, dedicado al Centro de Procesamiento de Informacin que rena las condiciones mnimas de seguridad que protejan los equipos y al personal asignado a ste. II. OBJETIVO Verificar el cumplimiento de los controles internos y polticas establecidas, para salvaguardar los equipos asignados al Centro de Procesamiento de Informacin. III. ALCANCE Los resultados sern referidos al 05 de enero de 2007 e incluirn los siguientes procedimientos: Entrevista con personal del departamento de Informtica. Revisin de la documentacin, para evaluar el cumplimiento de controles internos y polticas establecidas. Revisin de las instalaciones para verificar la adecuada salvaguarda de los activos. IV. PROCEDIMIENTO Para la revisin del control interno y operaciones se revisar lo siguiente: CONTROL INTERNO Revisin de control utilizado para el ingreso y egreso de equipos y personal Se revisar la actualizacin de los formularios, con la siguiente informacin: Fecha y hora de ingreso y egreso. Nombre de la persona que ingresa y persona que la acompaa. Motivo del Ingreso. Constancia de Autorizacin para el ingreso de personal o egreso de equipos. Claves de acceso Para el control del ingreso del personal se utilizan claves de acceso y una tarjeta electrnica, se deber verificar lo siguiente:

35

Listado de usuarios habilitados para el ingreso al Centro de Procesamiento de Informacin. Fecha de habilitacin. Nombre del usuario. Fecha que expira la clave. Fecha de ltimo acceso. Funcionario que autoriz la clave. Estatus de la clave. Verificar que la clave administrador est siendo custodiada en sobre lacrado en bveda de seguridad del banco. Inventario de equipos Se deber solicitar el registro del inventario de equipos, verificando su existencia fsica en el centro de cmputo, as como si se est efectuando la amortizacin del valor de los mismos. Control de egreso de equipos Se deber verificar la existencia de un control para el egreso de equipos, que deber contener como mnimo los siguientes aspectos: Fecha del egreso. Nombre del equipo. Motivo del egreso. Nombre de la persona que recibe el equipo. No. de inventario. Inventario de cintas de respaldo Para verificar la existencia fsica de las cintas de respaldo de informacin se solicitar el inventario de cintas de respaldo. As mismo se deber verificar la periodicidad con que se realizanlos back- up de informacin, as como si se est efectuando las pruebas para comprobar su funcionalidad. OPERACIONES Y PROCESOS

36

Seguridad para la proteccin de los equipos Para verificar que la adecuada proteccin de los equipos se deber verificar la existencia de los siguientes equipos: Cmara de vigilancia. Verificar el medio de almacenamiento de las imgenes. Extintores de incendios. Comprobar que la carga no est vencida. Aire acondicionado. Revisar cuando fue realizado el mantenimiento preventivo. Dispositivo para evitar inundaciones. Alarmas detectoras de `humo y temperatura. Verificar que se realicen las pruebas peridicamente. Reguladores de voltaje y UPS. Software y hardware para el control de accesos al Centro de Procesamiento de Informacin. Contratos de mantenimiento El mantenimiento peridico a los equipos es necesario para mantenerlos en ptimas condiciones, se deber verificar el cumplimiento y actualizacin de estos contratos. As mismo verificar la suficiencia de los mismos. Plizas de seguro Para proteger los equipos se deben de contratar seguros que cubran el equipo y su instalacin, as mismo se deber verificar la actualizacin de los nuevos equipos y la fecha de vencimiento. Plan de contingencia Un plan de contingencia deber contemplar todo los procesos crticos de la organizacin, para reestablecer sus operaciones y deber ser eficaz y eficiente, los aspectos legales, el impacto en el servicio del cliente. Deber verificarse la actualizacin de los procesos, misma que se deber realizar por lo menos una vez al ao, las pruebas para verificar su funcionalidad y la distribucin al personal responsable.

37

REVISIN DEL CONTROL UTILIZADO PARA EL INGRESO

PT Hecho Fecha Reviso Fecha

A-1 IMJXR 18/04/08 EOR 18/04/08

38

DE PERSONAL EXTERNO AL CENTRO DE PROCESAMIENTO DE INFORMACIN. Conforme plan de trabajo se procedi a verificar el control utilizado para el ingreso de personal externo a las instalaciones del Centro de Procesamiento de Informacin. La utilizacin de este control est establecida en circular normativa No. Informtica-75-2006. Los resultados se presentan a continuacin.

REVISIN DE LAS CLAVES UTILIZADAS PARA EL

PT Hecho Fecha Reviso Fecha

A-2 IMJXR 18/04/08 EOR 18/04/08

39

ACCESO AL CENTRO DE PROCESAMIENTO DE INFORMACIN Conforme plan de trabajo se procedi a verificar las claves de acceso utilizadas por personal para el ingreso a las instalaciones del Centro de Procesamiento de Informacin. La asignacin y custodia de claves de acceso est establecida en circular normativa No. Informtica-80-2006. Los resultados se presentan a continuacin.

REVISIN DEL CONTROL DE EGRESO DE EQUIPOS

PT Hecho Fecha Reviso Fecha

A-3 IMJXR 18/04/08 EOR 18/04/08

40

DEL CENTRO DE PROCESAMIENTO DE INFORMACIN Conforme plan de trabajo se procedi a verificar el control utilizado para el egreso de personal externo, a las instalaciones del Centro de Procesamiento de Informacin. El control para el egreso de equipos est establecido en circular normativa No. Informtica-85-2006. Los resultados se presentan a continuacin.

41
PT Hecho Fecha Reviso Fecha A-4 IMJXR 18/04/08 EOR 18/04/08

INVENTARIO DE EQUIPOS DE COMPUTACIN

UBICADOS EN EL CENTRO DE PROCESAMIENTO DE INFORMACIN Conforme plan de trabajo se procedi a verificar el inventario de equipos ubicados en el Centro de Procesamiento de Informacin. Este inventario fue realizado comparando los registros en libros segn la conciliacin de saldos de la cuenta 110101.02 mobiliario y equipo. Los resultados se presentan a continuacin.

42

INFORME DE CONTROL INTERNO Y DE OPERACIONES Como parte del programa de trabajo anual del departamento de Auditora Interna, adjunto encontrar informe de la revisin efectuada al los controles existentes para salvaguardar la seguridad fsica del Centro de Procesamiento de Informacin. REVISIN DEL CONTROL INTERNO Revisin del control de accesos al Centro de Procesamiento de Informacin. Se estableci que segn circular normativa No. Informtica-75-2006 que indica que el personal del departamento de Sistemas deber presentar autorizacin para el ingreso al Centro de Procesamiento de Informacin. Por lo anterior se considera conveniente que el personal asignado al Centro de Procesamiento de Informacin cumpla su funcin de solicitar la autorizacin para el ingreso. Claves de acceso autorizadas para el ingreso al Centro de Procesamiento de Informacin. En la revisin efectuada se identificaron 5 claves de acceso habilitadas para el ingreso al Centro de Procesamiento de Informacin. Se compararon los usuarios contra la nmina de empleados activos, estableciendo que la clave asignada al a clave del Sr. Juan Carlos Gmez, no se ha dado de baja, derivado que es un exempleado del Banco. As mismo la clave de Administrador del Software de acceso al Centro de Procesamiento de Informacin no est siendo custodiada en un sobre lacrado en la Bveda del Banco. Estos procedimientos estn establecidos en Circular Normativa No. Informtica80-2006.

43

Inventario de equipos de computacin ubicados en el Centro de Procesamiento de Informacin. Tomando el como base conciliacin de saldos de la cuenta 110101.02 Mobiliario y Equipo, se realiz inventario de los equipos asignados al Centro de Procesamiento de Informacin. Derivado de esta revisin se obtuvieron resultados satisfactorios nicamente se observaron dos equipos que no estn registrados en los libros del banco, de la siguiente manera: Computador central sin nmero de inventario ya fue dado de baja en libros. Servidor correspondiente a equipo de prueba perteneciente a la empresa GBM de Guatemala. Control de egreso de equipos del Centro de Procesamiento de Informacin. El control para el egreso de equipos est establecido en circular normativa No. Informtica-85-2006. En esta circular se establece que en el control auxiliar deber consignarse la fecha de reingreso de los equipos, as mismo que se deber adjuntar la boleta que indica cul fue el motivo que origin el envi a reparacin. Inventario de cintas de respaldo. El control de las cintas de respaldo est establecido en circular normativa No. Informtica-95-2006. Segn revisin a esta circular normativa, se comprob que en el mismo no se incluye la periodicidad con la que se deber comprobar la utilidad de las cintas de respaldo. nicamente se comprueban cuando se necesita restaurar un proceso. Por lo anterior es necesario que se incluya este aspecto en la circular normativa.

REVISIN DE OPERACIONES Y PROCESOS

44

Revisin de la seguridad fsica de las instalaciones del Centro de Procesamiento de Informacin. Como parte importante del trabajo efectuado analizamos la seguridad fsica de las instalaciones del Centro de Procesamiento de Informacin. Derivado de este trabajo se determin que no existe un procedimiento escrito para el mantenimiento de los equipos. Un procedimiento para el mantenimiento a los equipos asigna la periodicidad necesaria de mantenimiento a los equipos. Actualmente no se ha dado mantenimiento preventivo a los extintores de incendios, ni a las alarmas detectoras de humo. Contratos de mantenimiento y seguros. Se estableci que no existe un procedimiento escrito para la negociacin y control de los contratos de mantenimiento ni de seguro. Es importante que se lleve un control de los contratos de mantenimiento firmados, la fecha de vencimiento, los derechos y obligaciones adquiridos. A la fecha se encuentran vencidos los contratos de mantenimiento de aire acondicionado y el seguro de responsabilidad civil. Plan de continuidad del negocio. El Banco cuenta con un Plan de Continuidad del Negocio, sin embargo se observ que el 20 de diciembre de 2006 se realiz la actualizacin anual, sin embargo no se distribuyeron las copias al personal involucrado, as mismo no se han realizado pruebas para verificar la oportunidad de los procesos contenidos en este plan y documentar los resultados.

45

CONCLUSIONES 1. Las Tcnicas de Auditora Asistidas por Computador (TAACs) constituyen un conjunto de herramientas que permiten al auditor contar con los procedimientos indispensables en el momento que le sea solicitado realizar una auditora de sistemas computacionales. 2. A travs de las TAACs podemos aplicar procedimientos que nos permitan evaluar los Sistemas de Informacin de una empresa desde el ingreso de los datos al programa, pasando por su procesamiento hasta que los mismos se convierten en informacin til para la toma de decisiones a travs de los informes emitidos por los mismos. 3. Mediante las Tcnicas de Auditora Asistidas por Computador podemos ampliar nuestro alcance de auditora ya que el uso de una computadora nos facilita el manejo de un gran volumen de informacin, con la cual obtendremos mayor confiabilidad del trabajo realizado.

46

RECOMENDACIONES 1. Es conveniente que el Contador Pblico y Auditor se mantenga actualizado en cuanto al manejo de los sistemas de informacin que se realizan a travs del computador ya que del conocimiento de estos podr estar en la capacidad de efectuar una adecuada Auditora de Sistemas cuando esta sea solicitada por algn cliente. 2. Conocer a travs de la evaluacin del control interno, el proceso que se da dentro de la empresa, en cuanto al registro de sus operaciones en el sistema contable, esto con el fin de determinar la efectividad de los operaciones registradas en el mismo de principio a fin. 3. Es importante el conocimiento de todas aquellas tcnicas que nos permitan obtener mejores resultados en nuestra proceso de revisin ya que el mismo contribuir a la ejecucin de un trabajo ms confiable-

47

REFERENCIAS BIBLIOGRAFICAS Edwin Ramos Rosales, Tesis Auditora Interna en el Departamento de Informtica de una Institucin Bancaria, Facultad de Ciencias Econmicas, Escuela de Auditora. Ao 2008 Lic. MSc. Marvin Cifuentes Velsquez, diplomado de Auditora Interna 2008, Conferencia Tcnicas de Auditora Asistidas por ComputadorTAACs-, Instituto Guatemalteco de Contadores Pblicos y Auditores IGCPA-, junio 2008. Revista Direccin y Control, Mxico 1979, pag,21)