Está en la página 1de 4

SISAS N 9 "Uso de tcnicas de auditora asistidas por computador"

Page 1 of 4

Misin Mensaje del Presidente Directorio 2002 Membresa

SISAS N 9 Uso de tcnicas de auditora asistidas por computador (CAATs)


1.1. Relacin con los estndares La norma 060.020 (evidencia) establece que durante el curso de una auditora, el auditor de sistemas de informacin debe obtener evidencia suficiente, confiable, relevante y til para lograr los objetivos de la auditora efectivamente. Los resultados y conclusiones de la auditora deben estar apoyados por un apropiado anlisis e interpretacin de esta evidencia. La norma 050.010 (planificacin de auditora) establece que el auditor de sistemas de informacin debe proponer los sistemas de informacin para el trabajo de auditora para dirigir los objetivos de sta y cumplir con las normas profesionales de auditora. La norma 030.020 (Cuidado profesional adecuado) establece que El cuidado profesional adecuado y la observacin de las normas de auditoras deben ser utilizadas en todos los aspectos de los trabajos del auditor de sistemas de informacin. 1.2. Necesidad de esta gua Las tcnicas de auditora asistidas por computador son de suma importancia para el auditor SI cuando realiza una auditora. CAATs incluyen distintos tipos de herramientas y de tcnicas, las que ms se utilizan son los softwares de auditora generalizado, software utilitario, los datos de prueba y sistemas expertos de auditora. CAATs se pueden utilizar para realizar varios procedimientos de auditora incluyendo: Prueba de los detalles de operaciones y saldos Procedimientos de revisin analticos, Pruebas de cumplimiento de los controles generales de sistemas de informacin, Pruebas de cumplimiento de los controles de aplicacin. CAATs pueden generar una gran parte de la evidencia de la auditora que provienen de las auditoras de sistemas de informacin y como consecuencia el auditor de sistemas de informacin debe planificar cuidadosamente y mostrar el cuidado profesional debido cuando se utiliza los CAAT. Esta gua muestra como el auditor de sistemas de informacin debe cumplir con las normas mencionadas. El ajustarse a esta gua no es obligatorio, pero el auditor de sistema de informacin debe esta preparado para justificar cualquier incumplimiento a sta. 2. Planificacin 2.1. Los factores a tomar en cuenta cuando se toma la decisin de utilizar CAAT Cuando se planifica la auditora, el auditor de sistemas de informacin debe considerar una combinacin apropiada de las tcnicas manuales y las tcnicas de auditora asistidas por computador. Cuando se determina utilizar CAAT los factores a considerar son los siguientes: Conocimientos computacionales, pericia y experiencia del auditor de sistemas de informacin. Disponibilidad de los CAAT y de los sistemas de informacin. Eficiencia y efectividad de utilizar los CAAT en lugar de las tcnicas manuales Restricciones de tiempo Pasos para la planificacin de los CAAT Los pasos ms importantes que el auditor de sistemas de informacin debe considerar cuando prepara la aplicacin de los CAATs seleccionados son los

CISA
Seminarios Asociados

CobiT
Links Guas de Auditora Home Standares

file://D:\Biblioteca d...\SISAS N 9 Uso de tcnicas de auditora asistidas por computador.ht

25/06/03

SISAS N 9 "Uso de tcnicas de auditora asistidas por computador"

Page 2 of 4

siguientes: Establecer los objetivos de auditora de los CAAT Determinar accesibilidad y disponibilidad de los sistemas de informacin, los programas/sistemas y datos de la organizacin. Definir los procedimientos a seguir (por ejemplo: una muestra estadstica, reclculo, confirmacin, etc). Definir los requerimientos de output. Determinar los requerimientos de recursos Documentar los costos y los beneficios esperados Obtener acceso a las facilidades de los sistemas de informacin de la organizacin, sus programas/sistemas y sus datos. Documentar los CAATs a utilizar incluyendo los objetivos, flujogramas de alto nivel y las instrucciones a ejecutar . Acuerdo con el cliente (auditado) Los archivos de datos, tanto como los archivos de operacin detallados (transaccionales, por ejemplo), a menudo son guardados slo por un perodo corto, por lo tanto, el auditor de sistemas de informacin debe arreglar que estos archivos sean guardados por el marco de tiempo de la auditora. Organizar el acceso a los sistemas de informacin de la organizacin, programas/sistemas y datos con anticipacin para minimizar el efecto en el ambiente productivo de la organizacin. El auditor de sistemas de informacin debe evaluar el efecto que los cambios a los programas/sistemas de produccin puedan tener en el uso de los CAAT. Cuando el auditor de sistemas de informacin lo hace, debe considerar el efecto de estos cambios en la integridad y utilidad de los CAATs, tanto como la integridad de los programas/sistemas y los datos utilizados por el auditor de sistemas de informacin. Probando los CAATs El auditor de sistemas de informacin debe obtener una garanta razonable de la integridad, confiabilidad, utilidad y seguridad de los CAATs por medio de una planificacin, diseo, prueba, procesamiento y revisin adecuados de la documentacin. Esto debe ser hecho antes de depender de los CAATs. La naturaleza, el tiempo y extensin de las pruebas depende de la disponibilidad y la estabilidad de los CAATs. La seguridad de los datos y de los CAATs Los CAATs pueden ser utilizados para extraer informacin de programas/sistemas y datos de produccin confidenciales. El auditor de sistemas de informacin debe salvaguardar la informacin de los programas/sistemas y los datos de produccin con un nivel apropiado de confidencialidad y seguridad. Al hacerlo el auditor debe considerar el nivel de confidencialidad y seguridad que exige la organizacin a la cual pertenecen los datos. El auditor de sistemas de informacin debe utilizar y documentar los resultados de los procedimientos aplicados para asegurar la integridad, confiabilidad, utilidad y seguridad permanentes de los CAATs. Por ejemplo, debe incluir una revisin del mantenimiento de los programas y controles de los cambios de programa de auditora para determinar que slo se hacen los cambios autorizados al CAAT. Cuando los CAAT estn en un ambiente que no est bajo el control del auditor de sistemas de informacin. Un nivel de control apropiado debe ser implementado para identificar los cambios a los CAAT. Cuando se hacen cambios a los CAAT el auditor de sistemas de informacin debe asegurarse de su integridad, confiabilidad, utilidad y seguridad por medio de una planificacin, diseo, prueba, procesamiento y revisin apropiados de la documentacin, antes de confiar en ellos. 3. Realizacin de la auditora 3.1. Recolectar evidencia de la auditora El uso de los CAAT debe ser controlado por el auditor de sistemas de informacin para asegurar razonablemente que se cumple con los objetivos de la auditora y las especificaciones detalladas de los CAAT . El auditor debe: Realizar una conciliacin de los totales de control; Realizar una revisin independiente de la lgica de los CAAT Realizar una revisin de los controles generales de los sistemas de informacin de la organizacin que puedan contribuir a la integridad de los CAAT (por ejemplo: controles de los cambios en los programas y el acceso a los archivos de sistema, programa y/o datos). 3.2. El software de auditora generalizado Cuando el auditor de sistema de informacin utiliza el software de auditora generalizado para acceder a los datos de produccin, se debe tomar las medidas apropiadas para proteger la integridad de los datos de la organizacin. Adems, el auditor de sistemas de informacin tendr que estar involucrado en el diseo del sistema y las tcnicas que se utilizaron para el desarrollo y mantencin de los programas/sistemas de aplicacin de la organizacin.

file://D:\Biblioteca d...\SISAS N 9 Uso de tcnicas de auditora asistidas por computador.ht

25/06/03

SISAS N 9 "Uso de tcnicas de auditora asistidas por computador"

Page 3 of 4

3.3. Software utilitario Cuando el auditor de sistemas de informacin utiliza el software utilitario debe confirmar que no tuvieron lugar ninguna intervencin no planificada durante el procesamiento y que ste software ha sido obtenido desde la biblioteca de sistema apropiado, mediante una revisin del log de la consola del sistema o de la informacin de contabilidad del sistema. El auditor de sistemas de informacin tambin debe tomar las medidas apropiadas para proteger la integridad del sistema y programas de la organizacin, puesto que estos utilitarios podran fcilmente daar el sistema y sus archivos. 3.4. Datos de prueba Cuando el auditor de sistemas de informacin utiliza los datos de prueba debe estar consiente de que pueden existir ciertos puntos potenciales de errores en el procesamiento; dado que sta tcnica no evala los datos de produccin en su ambiente real. El auditor de sistemas de informacin tambin debe estar consiente de que el anlisis de los datos de prueba pueden resultar extremadamente complejos y extensos, dependiendo de el nmero de operaciones procesadas, el nmero de programas sujetos a pruebas y la complejidad de los programas/sistemas. 3.5. Localizacin y maping del software de aplicacin Cuando el auditor de sistemas de informacin utiliza el software de aplicacin para sus pruebas CAT, debe confirmar que el programa fuente que est evaluando es lo mismo que se utiliza actualmente en produccin. El auditor de sistemas de informacin debe estar consiente de que el software de aplicacin slo indica el potencial de un proceso errneo, no evala los datos de produccin en su ambiente real. Los sistemas de auditora especializados Cuando el auditor de sistemas de informacin utiliza los sistemas de auditora especializados debe conocer profundamente las operaciones del sistema par confirmar que las sendas de decisin seguidas son apropiadas para el ambiente/situacin de auditora. 4. La documentacin de los CAATs Papeles de trabajo Una descripcin del trabajo realizado, seguimiento y las conclusiones acerca de los resultados de los CAATs deben estar registrados en los papeles de trabajo de la auditora. Las conclusiones acerca del funcionamiento del sistema de informacin y de la confiabilidad de los datos deben estar registrados en los papeles de trabajo de la auditora. El proceso paso a paso de los CAAT debe estar documentado adecuadamente para permitir que el proceso se mantenga y se repita por otro auditor de sistemas de informacin. Especficamente los papeles de trabajo deben contener la documentacin suficiente para describir la aplicacin de los CAAT incluyendo los detalles que se mencionan en los prrafos siguientes. Planificacin La documentacin debe incluir lo siguiente: Los objetivos de los CAAT Los CAAT a utilizar Los controles a implementar El personal involucrado, el tiempo que tomar y los costos. Ejecucin La documentacin debe incluir: Los procedimientos de la preparacin y la prueba de los CAAT y los controles relacionados. Los detalles de las pruebas realizadas por los CAAT Los detalles de los input (ejemplo: los datos utilizados, esquema de archivos), el procesamiento (ejemplo: los flujogramas de alto nivel de los CAAT, la lgica) y los outputs (ejemplo: archivos log, reportes). Evidencia de auditora La documentacin debe incluir lo siguiente: El output producido Una descripcin del trabajo de anlisis de auditora que se realiz para el output. Resultado de la auditora Conclusiones de la auditora Otros La documentacin debe incluir lo siguiente: Las recomendaciones de la auditora 5. Informe/Reporte Descripcin de los CAAT

file://D:\Biblioteca d...\SISAS N 9 Uso de tcnicas de auditora asistidas por computador.ht

25/06/03

SISAS N 9 "Uso de tcnicas de auditora asistidas por computador"

Page 4 of 4

La seccin del informe donde se tratan los objetivos, la extensin y metodologa debe incluir una clara descripcin de los CAAT utilizados. Esta descripcin no debe ser muy detallada, pero debe proporcionar una buena visin general al lector. La descripcin de los CAAT utilizados tambin debe ser incluida en el informe donde se discute el hallazgo especfico relacionado con el uso de los CAAT. Si se puede aplicar la descripcin de los CAAT a varios hallazgos o si es demasiado detallado debe ser descrito brevemente en la seccin del informe donde se tratan los objetivos, extensin y metodologa y una referencia anexa para el lector, con una descripcin ms detallada. 6. Fecha efectiva 6.1. Esta pauta es efectiva para todos los auditores de los sistemas de informacin que comiencen durante o despus (de la fecha de emisin).

copyright 1999 Isaca Chile A.G. -Todos los derechos reservados This page is designed by : PHF

file://D:\Biblioteca d...\SISAS N 9 Uso de tcnicas de auditora asistidas por computador.ht

25/06/03