SISAS N 9 "Uso de tcnicas de auditora asistidas por computador"

Page 1 of 4

Mensaje del
Presidente

SISAS N 9
Uso de tcnicas de auditora
asistidas por computador
(CAATs)

Directorio 2002

1.1. Relacin con los estndares

Membresa

La norma 060.020 (evidencia) establece que durante el curso de una

auditora, el auditor de sistemas de informacin debe obtener evidencia
suficiente, confiable, relevante y til para lograr los objetivos de la auditora
efectivamente. Los resultados y conclusiones de la auditora deben estar
apoyados por un apropiado anlisis e interpretacin de esta evidencia.

Misin

CISA
Seminarios
Asociados

CobiT
Links
Guas de
Auditora
Home
Standares

La norma 050.010 (planificacin de auditora) establece que el auditor de

sistemas de informacin debe proponer los sistemas de informacin para el
trabajo de auditora para dirigir los objetivos de sta y cumplir con las normas
profesionales de auditora.
La norma 030.020 (Cuidado profesional adecuado) establece que El
cuidado profesional adecuado y la observacin de las normas de auditoras
deben ser utilizadas en todos los aspectos de los trabajos del auditor de
sistemas de informacin.
1.2. Necesidad de esta gua
Las tcnicas de auditora asistidas por computador son de suma importancia
para el auditor SI cuando realiza una auditora. CAATs incluyen distintos
tipos de herramientas y de tcnicas, las que ms se utilizan son los softwares
de auditora generalizado, software utilitario, los datos de prueba y sistemas
expertos de auditora. CAATs se pueden utilizar para realizar varios
procedimientos de auditora incluyendo: Prueba de los detalles de
operaciones y saldos Procedimientos de revisin analticos, Pruebas de
cumplimiento de los controles generales de sistemas de informacin,
Pruebas de cumplimiento de los controles de aplicacin. CAATs pueden
generar una gran parte de la evidencia de la auditora que provienen de las
auditoras de sistemas de informacin y como consecuencia el auditor de
sistemas de informacin debe planificar cuidadosamente y mostrar el
cuidado profesional debido cuando se utiliza los CAAT. Esta gua muestra
como el auditor de sistemas de informacin debe cumplir con las normas
mencionadas. El ajustarse a esta gua no es obligatorio, pero el auditor de
sistema de informacin debe esta preparado para justificar cualquier
incumplimiento a sta.
2. Planificacin
2.1. Los factores a tomar en cuenta cuando se toma la decisin de utilizar
CAAT
Cuando se planifica la auditora, el auditor de sistemas de informacin debe
considerar una combinacin apropiada de las tcnicas manuales y las
tcnicas de auditora asistidas por computador. Cuando se determina utilizar
CAAT los factores a considerar son los siguientes:
Conocimientos computacionales, pericia y experiencia del auditor de
sistemas de informacin. Disponibilidad de los CAAT y de los sistemas de
informacin.
Eficiencia y efectividad de utilizar los CAAT en lugar de las tcnicas
manuales
Restricciones de tiempo
Pasos para la planificacin de los CAAT
Los pasos ms importantes que el auditor de sistemas de informacin debe
considerar cuando prepara la aplicacin de los CAATs seleccionados son los

file://D:\Biblioteca d...\SISAS N 9 Uso de tcnicas de auditora asistidas por computador.ht

25/06/03

SISAS N 9 "Uso de tcnicas de auditora asistidas por computador"

Page 2 of 4

siguientes: Establecer los objetivos de auditora de los CAAT Determinar

accesibilidad y disponibilidad de los sistemas de informacin, los
programas/sistemas y datos de la organizacin. Definir los procedimientos a
seguir (por ejemplo: una muestra estadstica, reclculo, confirmacin, etc).
Definir los requerimientos de output. Determinar los requerimientos de
recursos Documentar los costos y los beneficios esperados Obtener acceso
a las facilidades de los sistemas de informacin de la organizacin, sus
programas/sistemas y sus datos. Documentar los CAATs a utilizar
incluyendo los objetivos, flujogramas de alto nivel y las instrucciones a
ejecutar . Acuerdo con el cliente (auditado) Los archivos de datos, tanto
como los archivos de operacin detallados (transaccionales, por ejemplo), a
menudo son guardados slo por un perodo corto, por lo tanto, el auditor de
sistemas de informacin debe arreglar que estos archivos sean guardados
por el marco de tiempo de la auditora. Organizar el acceso a los sistemas de
informacin de la organizacin, programas/sistemas y datos con anticipacin
para minimizar el efecto en el ambiente productivo de la organizacin.
El auditor de sistemas de informacin debe evaluar el efecto que los cambios
a los programas/sistemas de produccin puedan tener en el uso de los
CAAT. Cuando el auditor de sistemas de informacin lo hace, debe
considerar el efecto de estos cambios en la integridad y utilidad de los
CAATs, tanto como la integridad de los programas/sistemas y los datos
utilizados por el auditor de sistemas de informacin. Probando los CAATs El
auditor de sistemas de informacin debe obtener una garanta razonable de
la integridad, confiabilidad, utilidad y seguridad de los CAATs por medio de
una planificacin, diseo, prueba, procesamiento y revisin adecuados de la
documentacin. Esto debe ser hecho antes de depender de los CAATs. La
naturaleza, el tiempo y extensin de las pruebas depende de la disponibilidad
y la estabilidad de los CAATs.
La seguridad de los datos y de los CAATs Los CAATs pueden ser utilizados
para extraer informacin de programas/sistemas y datos de produccin
confidenciales. El auditor de sistemas de informacin debe salvaguardar la
informacin de los programas/sistemas y los datos de produccin con un
nivel apropiado de confidencialidad y seguridad. Al hacerlo el auditor debe
considerar el nivel de confidencialidad y seguridad que exige la organizacin
a la cual pertenecen los datos. El auditor de sistemas de informacin debe
utilizar y documentar los resultados de los procedimientos aplicados para
asegurar la integridad, confiabilidad, utilidad y seguridad permanentes de los
CAATs. Por ejemplo, debe incluir una revisin del mantenimiento de los
programas y controles de los cambios de programa de auditora para
determinar que slo se hacen los cambios autorizados al CAAT.
Cuando los CAAT estn en un ambiente que no est bajo el control del
auditor de sistemas de informacin. Un nivel de control apropiado debe ser
implementado para identificar los cambios a los CAAT. Cuando se hacen
cambios a los CAAT el auditor de sistemas de informacin debe asegurarse
de su integridad, confiabilidad, utilidad y seguridad por medio de una
planificacin, diseo, prueba, procesamiento y revisin apropiados de la
documentacin, antes de confiar en ellos.
3. Realizacin de la auditora
3.1. Recolectar evidencia de la auditora
El uso de los CAAT debe ser controlado por el auditor de sistemas de
informacin para asegurar razonablemente que se cumple con los objetivos
de la auditora y las especificaciones detalladas de los CAAT . El auditor
debe: Realizar una conciliacin de los totales de control; Realizar una revisin
independiente de la lgica de los CAAT Realizar una revisin de los controles
generales de los sistemas de informacin de la organizacin que puedan
contribuir a la integridad de los CAAT (por ejemplo: controles de los cambios
en los programas y el acceso a los archivos de sistema, programa y/o
datos).
3.2. El software de auditora generalizado
Cuando el auditor de sistema de informacin utiliza el software de auditora
generalizado para acceder a los datos de produccin, se debe tomar las
medidas apropiadas para proteger la integridad de los datos de la
organizacin. Adems, el auditor de sistemas de informacin tendr que
estar involucrado en el diseo del sistema y las tcnicas que se utilizaron
para el desarrollo y mantencin de los programas/sistemas de aplicacin de
la organizacin.

file://D:\Biblioteca d...\SISAS N 9 Uso de tcnicas de auditora asistidas por computador.ht

25/06/03

SISAS N 9 "Uso de tcnicas de auditora asistidas por computador"

Page 3 of 4

3.3. Software utilitario

Cuando el auditor de sistemas de informacin utiliza el software utilitario debe
confirmar que no tuvieron lugar ninguna intervencin no planificada durante
el procesamiento y que ste software ha sido obtenido desde la biblioteca de
sistema apropiado, mediante una revisin del log de la consola del sistema o
de la informacin de contabilidad del sistema. El auditor de sistemas de
informacin tambin debe tomar las medidas apropiadas para proteger la
integridad del sistema y programas de la organizacin, puesto que estos
utilitarios podran fcilmente daar el sistema y sus archivos.
3.4. Datos de prueba
Cuando el auditor de sistemas de informacin utiliza los datos de prueba
debe estar consiente de que pueden existir ciertos puntos potenciales de
errores en el procesamiento; dado que sta tcnica no evala los datos de
produccin en su ambiente real. El auditor de sistemas de informacin
tambin debe estar consiente de que el anlisis de los datos de prueba
pueden resultar extremadamente complejos y extensos, dependiendo de el
nmero de operaciones procesadas, el nmero de programas sujetos a
pruebas y la complejidad de los programas/sistemas.
3.5. Localizacin y maping del software de aplicacin
Cuando el auditor de sistemas de informacin utiliza el software de aplicacin
para sus pruebas CAT, debe confirmar que el programa fuente que est
evaluando es lo mismo que se utiliza actualmente en produccin. El auditor
de sistemas de informacin debe estar consiente de que el software de
aplicacin slo indica el potencial de un proceso errneo, no evala los datos
de produccin en su ambiente real. Los sistemas de auditora especializados
Cuando el auditor de sistemas de informacin utiliza los sistemas de
auditora especializados debe conocer profundamente las operaciones del
sistema par confirmar que las sendas de decisin seguidas son apropiadas
para el ambiente/situacin de auditora.
4. La documentacin de los CAATs Papeles de trabajo
Una descripcin del trabajo realizado, seguimiento y las conclusiones acerca
de los resultados de los CAATs deben estar registrados en los papeles de
trabajo de la auditora. Las conclusiones acerca del funcionamiento del
sistema de informacin y de la confiabilidad de los datos deben estar
registrados en los papeles de trabajo de la auditora. El proceso paso a paso
de los CAAT debe estar documentado adecuadamente para permitir que el
proceso se mantenga y se repita por otro auditor de sistemas de informacin.
Especficamente los papeles de trabajo deben contener la documentacin
suficiente para describir la aplicacin de los CAAT incluyendo los detalles que
se mencionan en los prrafos siguientes.
Planificacin La documentacin debe incluir lo siguiente:
Los objetivos de los CAAT Los CAAT a utilizar
Los controles a implementar
El personal involucrado, el tiempo que tomar y los costos.
Ejecucin
La documentacin debe incluir: Los procedimientos de la preparacin y la
prueba de los CAAT y los controles relacionados. Los detalles de las pruebas
realizadas por los CAAT Los detalles de los input (ejemplo: los datos
utilizados, esquema de archivos), el procesamiento (ejemplo: los flujogramas
de alto nivel de los CAAT, la lgica) y los outputs (ejemplo: archivos log,
reportes). Evidencia de auditora La documentacin debe incluir lo siguiente:
El output producido Una descripcin del trabajo de anlisis de auditora que
se realiz para el output. Resultado de la auditora Conclusiones de la
auditora Otros La documentacin debe incluir lo siguiente: Las
recomendaciones de la auditora
5. Informe/Reporte Descripcin de los CAAT

file://D:\Biblioteca d...\SISAS N 9 Uso de tcnicas de auditora asistidas por computador.ht

25/06/03

SISAS N 9 "Uso de tcnicas de auditora asistidas por computador"

Page 4 of 4

La seccin del informe donde se tratan los objetivos, la extensin y

metodologa debe incluir una clara descripcin de los CAAT utilizados. Esta
descripcin no debe ser muy detallada, pero debe proporcionar una buena
visin general al lector. La descripcin de los CAAT utilizados tambin debe
ser incluida en el informe donde se discute el hallazgo especfico relacionado
con el uso de los CAAT. Si se puede aplicar la descripcin de los CAAT a
varios hallazgos o si es demasiado detallado debe ser descrito brevemente
en la seccin del informe donde se tratan los objetivos, extensin y
metodologa y una referencia anexa para el lector, con una descripcin ms
detallada.
6. Fecha efectiva
6.1. Esta pauta es efectiva para todos los auditores de los sistemas de
informacin que comiencen durante o despus (de la fecha de emisin).

copyright 1999 Isaca Chile A.G. -Todos los derechos reservados This page is designed by : PHF

file://D:\Biblioteca d...\SISAS N 9 Uso de tcnicas de auditora asistidas por computador.ht

25/06/03