Unidad 02 - Metodologia y Plan de Auditoria

Tcnicas de Auditora
Las tcnicas de auditora son mtodos prcticos de
investigacin y prueba que utiliza el auditor para obtener la
evidencia que fundamente sus opiniones, conclusiones y
reportes.
Las tcnicas seleccionadas
procedimientos de auditora.

Tcnica Ocular
Consiste en observar en forma directa y paralela la manera
como los responsables de la administracin, desarrollan y
documentan los procesos o procedimientos que la
organizacin utiliza para ejecutar las actividades objeto de
control.

aplicadas

se

convierten

en

Tcnica Ocular
Comparacin
Es el acto de apreciar la similitud o diferencia existente entre dos o ms
elementos o situaciones.
En la auditoria supone cotejar y evaluar los mismos criterios aceptables
que facilitan la labor del auditor para obtener de dicha accin un
resultado o conclusin.

Observacin
Es el examen visual u ocular realizado para cerciorarse de hechos,
circunstancias y de como se ejecutan las operaciones.
Es de utilidad en todas las fases del proceso de auditoria. Puede ser
efectuada de manera abierta o discreta.

Tcnica Verbal u Oral

Permite obtener informacin mediante el dialogo con los
integrantes de la organizacin o los de su entorno relevante
Con el propsito de averiguar o indagar posibles debilidades de los
procedimientos, prcticas de control interno y otras situaciones que
el auditor considere importante en el desarrollo de su trabajo.

Capitulo 04: Tecnicas de Auditoria

Tcnica Verbal u Oral

Indagacin:
Es el acto de obtener informacin verbal sobre un asunto mediante
averiguaciones directas o conversaciones con los funcionarios de la
entidad. Suelen aportar elementos de juicio en los que puede
confiarse si son razonables y consistentes.
Es de especial utilidad cuando se examinan reas o asuntos no
documentados, sin embargo sus resultados no constituyen por s solos
evidencia suficiente.

Unidad 02 - Metodologia y Plan de Auditoria

Tcnica Verbal u Oral

Entrevistas
Pueden ser efectuadas a los directivos, funcionarios y trabajadores
en general de la entidad auditada o a personas beneficiarias u otras
vinculadas respecto de los programas u operaciones sujetas a
examen.
Deben ser apropiadamente preparadas, definindose previamente a su
realizacin quienes sern los entrevistados y las preguntas que se
formularn.
Debern ser documentadas y advertirse al entrevistado de su propsito o
finalidad.

Tcnica Verbal u Oral

Encuestas
Son tiles para recopilar informacin de un gran universo de datos o
grupos de personas.
Presentan como ventaja la economa de costos y tiempos para obtener
informacin, sin embargo exigen una preparacin y definicin de su
alcance adecuada y rigurosa en beneficio de su confiabilidad y utilidad,
es recomendable recurrir a las tcnicas propias de la estadstica.

Tcnica Escrita
Es la actividad de registrar o plasmar informacin que a
juicio del auditor sea importante dentro de su trabajo.
Anlisis
Consiste en identificar, estratificar o clasificar elementos constitutivos del
objeto de anlisis, con el propsito de obtener informacin y llegar a
conclusiones que a juicio del auditor afecten la gestin de la organizacin
auditada.

Tcnica Documental
Consiste en obtener informacin escrita que permita
soportar las afirmaciones, anlisis o estudios realizados por
los auditores.
Comprobacin

Verifica la evidencia que apoya o sustenta una operacin o transaccin

con el fin de corroborar su autoridad, legalidad, propiedad y veracidad.

Computacin

Es el anlisis de documentos, programas, datos o hechos asistidos por el

computador y/o software especializados, cuando las operaciones o
transacciones se ejecutan en cantidad tal que su anlisis manual
resultara tedioso.

Capitulo 04: Tecnicas de Auditoria

Conciliacin
Es el cotejo o confrontacin que se hace a la informacin obtenida de
diferentes fuentes sobre un mismo tema, como por ejemplo cumplimiento
de metas, objetivos o de registros independientes pero relacionados
entre s, para establecer su conformidad y veracidad.

Confirmacin
Permite obtener un grado razonable de certeza sobre la existencia,
cumplimiento, veracidad y autenticidad de planes y programas
ejecutados, cobertura de usuarios, operaciones, cifras y datos.

Tcnica Documental
Rastreo
Es utilizada para hacer seguimiento y control, de modo progresivo y
razonado, a una operacin o conjunto de ellas, de un punto a otro dentro
de un proceso o actividad determinada.

Revisin Analtica
Comprende el anlisis de ndices, indicadores, tendencias y la
investigacin de las fluctuaciones, variaciones y relaciones que resulten
inconsistentes o se desven de las operaciones proyectadas de la
organizacin.

Unidad 02 - Metodologia y Plan de Auditoria

Introduccin
Las tcnicas de auditora Asistidas por Computadora son la
utilizacin de determinados paquetes de programas que
actan sobre los datos, realizando con ms frecuencia los
siguientes trabajos:
Seleccin e impresin de muestras de auditorias sobre bases
estadsticas o no estadsticas, a lo que agregamos, sobre la base de
los conocimientos adquiridos por los auditores.
Verificacin matemtica de sumas, multiplicaciones y otros clculos
en los archivos del sistema auditado.

Introduccin
Realizacin de funciones de revisin analtica, al establecer
comparaciones, calcular razones, identificar fluctuaciones y llevar a
cabo clculos de regresin mltiple.
Manipulacin de la informacin al calcular subtotales, sumar y
clasificar la informacin, volver a ordenar en serie la informacin, etc.
Examen de registros de acuerdo con los criterios especificados.
Bsqueda de alguna informacin en particular, la cual cumpla ciertos
criterios, que se encuentra dentro de las bases de datos del sistema
que se audita.

Generalidades
La auditora y la auditora informtica tienen una demanda
creciente y crecientes exigencias de cobertura y
granularidad.
El auditor es un recurso limitado, escaso, relativamente
caro.

Herramientas
Las herramientas pueden ser especificas, sustitutivas e
incluso ser multipropsito.
Generalmente, el mejor costo-beneficio se obtiene con herramientas
especificas, no multipropsito.
Excepto claro que los costos de formacin, su frecuencia e
intensidad de uso y el propio costo directo de cada herramienta
aconsejen una multipropsito.

Existe gran variedad de modos de clasificacin:

Embebidas. (EAM)
Verticales de gestin (de la auditora). GAT/CAAT. IDEA y ACL.
Hacking tico
Compliance

Capitulo 04: Tecnicas de Auditoria

Unidad 02 - Metodologia y Plan de Auditoria

Herramientas

Herramientas
Integracin de la Auditora.
Auditora
SITIC

El objeto
(objetivo y control)

Auditora
Operativa

Herramienta
La herramienta
depende del objeto

Auditorias de
Sistemas de
Gestin

Determina la herramienta
en funcin de objeto y su
dominio de herramienta

El sujeto
(quien las usa)

Ncleo
comn
creciente

Debe dominar (metodologa)

la herramienta (no al reves)

Auditora
Financiera

ISO 9001: 2000 Gestion de la Calidad

ISO 27001 SGSI (ISMS)
ISO 14000 Gestion Medioambiental

Herramientas segn su procedencia

De entorno adquisicin construccin.
Lenguajes de programacin, debuggers, analizadores.

De prueba.
ITF (Integrated Test Facilities) usados como mecanismo de vigilancia y
auditoria continuada

Del entorno explotacin-operacin.

El acceso debe ser controlado y supervisado, pues el riesgo de impacto
de un acceso instructivo en un entorno de produccin es muy alto.

Herramientas segn su procedencia

TCP/IP e Internet
Hacking tico

Admutate, AirSnort, ARIN, ArpSpoof, Auditpol, BoSniffer, Enum, HTTPort, Legion, IpEye,
LanManager Hash, Neotrace, nmap, Silk Rope 2000, SMAC, SniffDet, Spector, SQL2.exe,
SQLbf, SQLsmack, Traceroute, T-Sight, TTYWatcher, WebCracker, Whois, Win Nuke,
WinDump, WinSniffer, Wireshark, WS_Ping_Pro, Yersinia, Zombie Zapper.

Especficas de Auditora y Herramientas Ofimticas

Herramientas segn su procedencia

Software de Sistemas
Un ASITIC capaz de lograr acceso privilegiado al SO, software de red,
logs, etc., puede explotar enormes ventajas.

Utilidades
Potentes herramientas, fundamentalmente de extraccin de datos. El
ASITIC debe comprobar que el acceso a utilidades por el personal
auditado esta restringido al mximo, y totalmente trazado, cuando se
usan.

Herramientas segn su funcin

Captura de datos.
Recoge informacin, captura datos, que sern usados (analizados,
interpretados, utilizados) en fase posterior o simultanea.
Muestras.

Es una tcnica estadstica de la que se sabe mucho y se abusa muco (por la ignorancia de
quienes lo hacen).

Vigilancia.

Es una variante del muestreo.

Forense.

Capitulo 04: Tecnicas de Auditoria

Variante especial de la recogida de dato.

Unidad 02 - Metodologia y Plan de Auditoria

Herramientas segn su funcin

Herramientas segn su uso o propsito

Anlisis

Las herramientas de auditora pueden usarse para:

El anlisis o interpretacin y evaluacin de la informacin recogida

puede ser concomitante con la recogida de la informacin (alertas y
gestin de incidencias) o ser diferidas, incluso con horizontes muy
amplios.

Auditora SITIC
Otros uso, legtimos o ilegtimos.
Auditorias con SITIC
Auditora Interna o Externa, Auditora Operativa, Auditora de Cuentas,
Auditora SITIC, Auditora ISO 9001: 2000, ISO 27001, ISO 14000,
apartes de las intervenciones de control de directivos y supervisores,
CSA (Control Self Assement).

Herramientas segn su ubicacin

Naturaleza
cclica
y
administrativa del ciclo de
vida de la ASITIC.
Auditora
integral,
que
minimice solapes y lagunas
de
unas
y
otras
intervenciones.
Auditora
continua, que
acorde los ciclos deteccincorreccin y con ello facilite
reducir el riesgo.
Paquetes
integrales
de
auditora que integren las
labores administrativas y las
tcnicas.

Herramientas segn su ubicacin

Prospectiva Auditora SITIC 2007-2017

1. Evaluacin de Riesgos
2. Calendario de auditora
3. Presupuesto
4. Programa de auditora

Aplicable a
ASITIC
discreta
puntual o
periodica;
no continua

5. Pruebas de auditora

2007
2017

Automatizada

Embedida

Continua

6. Anlisis
7. Hallazgos
8. Informe

mbito

Herramientas segn su ubicacin

Herramientas embebidas.
Herramientas construidas/adquiridas al tiempo que la aplicacin/sistema
principal, normalmente por requerimiento de un ASITIC que ha
participado en el proyecto o por el buen hacer de los desarrolladores.

Herramientas intrusivas.
Insertan en el sistema algn servicio para generar logs; o bien durante el
hacking tico, dejen algn tipo de traza.

Integrada

Herramientas segn su ubicacin

Auditora Continua/Auditora en Lnea.
El objetivo es asegurar que las transacciones en tiempo real se
benefician de monitorizacin y controles tambin en tiempo real.
La auditora continua exige servicios en lnea. Puede ser total o por
muestreo

Herramientas no intrusivas.
Como lo hacen las GAS/CAAT.

Capitulo 04: Tecnicas de Auditoria

Unidad 02 - Metodologia y Plan de Auditoria

Herramientas segn su ubicacin

Auditora Continua/Auditora en Lnea.

Herramientas segn su ubicacin

Auditora diferida Cooperativa

Las condiciones de xito para una auditora continua son estrictas:

Auditor

Alta automatizacin de la deteccin, con filtros sofisticados y alarmas en

tiempo real.
Herramientas de auditora avanzadas y paramtricas.
Excelente y gil interfaz con los auditores altamente cualificados.
Mnimo estorbo al auditado.

Selecciona, con CAAT y

CRITERIO, una muestra de
Transacciones

Las tcnicas de auditora continua recorren:

El amplio uso por los ASITIC

Herramientas especficamente diseadas como de auditora.

Aplicacin Web remite la

transaccin seleccionada al
auditado e incorpora mascara
(peticin y cuestionario)
Tabula respuestas

Herramientas segn su ubicacin

Auditado

Registro de transacciones, las herramientas de consulta (query)

CAAT (Computer Assisted Audit Tools), SGBD, Datawarehouses,
datamining, IA, redes neuronales, XBRL.

Herramientas exentas

Universo de
transacciones

Emite Informe

6
Todo este proceso puede
desencadenarse -punto4en tiempo real o algo muy
diferido

Herramientas segn su ubicacin

Herramientas verticales
Pueden serlo mas de gestin o mas tcnicas.

Herramientas horizontales

Las mas de gestin se inclinan a las horizontales y el Groupware.

Las mas tcnicas fundamentalmente en las GAS (Generalized Audit Software), SAS
(Statement on Auditing Standard)

Groupware.

Son aplicaciones o suites particularmente diseadas para el trabajo en equipo, sobre las que
se pueden hacer integraciones.

GRC.

Software de Governance, Risk and Compliance puede considerarse parcialmente incluido en

esta categora ofimtica, admite entradas propias de los sistemas de vigilancia.

Herramientas segn su ubicacin

Herramientas verticales de gestin
Audinfor. www.audinfor.com
Bindview. Software de cumplimiento de seguridad. www.paisley.com,
www.protivity.com/portal/site/pro-us/, www.rvrsystem.com.
Paisley. Su producto AutoAudit es una conocida herramienta vertical de
gestin.
Protivity Inc. Consultores de gestion de riesgos.
TeamMate. Herramienta de gestion de papeles de trabajo.
www.pwc.com/teammate/
Tripwire. www.tripwire.com/index.cfm

Capitulo 04: Tecnicas de Auditoria

Herramienta verticales tcnicas.

Son herramientas especializadas. Atacan a los archivos de datos y no a
los programas de aplicacin, por lo general suelen ser invariantes de los
programas y mas objetivas en cuanto a los datos.
ACL, IDEA.

Importan datos (no intrusivas) de archivos en una gran variedad de soportes y codificados
segn una variedad de estndares.
Calculo, creando campos lgicos, resultando de aplicar una formula a los campos
originalmente importados.

Unidad 02 - Metodologia y Plan de Auditoria

Herramientas segn su productividad

El director ejecutivo de auditora debe asegurar que los
recursos de auditora interna sean adecuados, suficientes y
efectivamente asignados para cumplir con el plan
aprobado.

Herramientas segn su Cobertura

Es deseable una gran cobertura costo-beneficio y a veces
se considera necesaria.
Conseguirla depende de una hbil combinacin de herramientas
embebidas y GAS/CAAT.

Standards for IS Auditing (SISA) (Normas Generales para la auditora de los Sistemas de
Informacin)
Cdigo

Titulo

Puntos Concretos

S6

Realizacin de labores de Auditora

04, 05, 07, 08, 09, 10

S7

Reporte

03,07

S8

Actividades de seguimiento

08,09

IS Auditing Guidelines (ISAG) (Directrices de Auditora)

Cdigo

Titulo

Puntos concretos

G3

Uso de CAAT

Todo

G8

Documentacin de la Auditora

G10

Muestreo en Auditora

Todo

G35

Actividades de Seguimiento

2.3.1, 2.3.2, 2.6, 4.1.2

Todo

Productos
Herramientas gratuitas
www.bsa.org/espana/antipiracy/free-software-Audit-tools.cfm

ACL. Audit Command Languaje

www.acl.com/default.aspx?bhcp=1

IDEA. Interactive Data Extraction and Analysis

www.caseware-idea.com

Symantec.
www.symantec.com/enterprise/index.jsp

Computer Associates
ca.com/us/products

Otras
John de Ripper, Nessus, Nikto, Nmap, pcAnywhere, pof, Security Check,
Wireshark, Yersinia.

Capitulo 04: Tecnicas de Auditoria

Conclusiones
La auditora SITIC esta en evolucin constante, ello
depende de:
Las nuevas demandas y objetivos
La disponibilidad de herramientas y tcnicas que permitan:

Hacer ciertas pruebas.

Con mayor cobertura.
Con menor riesgo/error.
Con mayor productividad.

Contemplar las herramientas y tcnicas, sin hacerlo desde la

perspectiva de su productividad, puede ser propio de tecnlogos o
de historiadores; pero seria un error imperdonable en empresarios,
gestores, economistas, responsables de auditora y auditores.