Documentos de Académico
Documentos de Profesional
Documentos de Cultura
08 0273 CS PDF
08 0273 CS PDF
Facultad de Ingeniera
Escuela de Ingeniera en Ciencias y Sistemas
FACULTAD DE INGENIERA
II
VOCAL I
VOCAL II
VOCAL III
VOCAL IV
VOCAL V
SECRETARIO
EXAMINADOR
EXAMINADOR
EXAMINADOR
SECRETARIO
III
Cumpliendo con los preceptos que establece la ley de la Universidad de San Carlos de
Guatemala, presento a su consideracin mi trabajo de graduacin titulado:
IV
Mi amada familia:
Mis padres: Samuel y Zoili. Por su incondicional amor y trabajo.
Mis hermanos: Gerson, Samy, Anita y Dini.
Mis cuados: Esteban y Susy.
Familia Salazar
Familia Say, con especial cario a mis tos Jorge Say, Csar Say, Carlos Say,
Samuel Say a sus amadas esposas e hijos.
Mis amigos y hermanos espirituales
Mis compaeros y amigos de trabajo
NDICE GENERAL
1. AUDITORA DE SISTEMAS
1.1 Auditora de sistemas .........................................................................................
10
12
13
14
14
16
16
20
20
Definicin ..........................................................................................
2.1.2
27
27
28
2.1.2.2 IDEA
.....................................................................................
33
34
37
39
42
TM
CAATS
3.1 Criterios que contribuyen a definir la utilizacin de las CAATs .
44
48
52
CONCLUSIONES .........................................................................................................
66
RECOMENDACIONES ..................................................................................................
68
BIBLIOGRAFA ............................................................................................................
70
ANEXOS ....................................................................................................................
74
II
NDICE DE ILUSTRACIONES
FIGURAS
1.
31
2.
31
3.
32
4.
33
5.
34
6.
36
GRFICAS
I.
52
II.
53
III.
54
IV.
55
V.
56
VI.
58
VII.
VIII.
IX.
60
X.
59
63
III
64
RESUMEN
IV
OBJETIVOS
General
Analizar la utilizacin de tcnicas de auditoria asistidas por computador
Especficos
1. Describir que tipos de tcnicas de auditora asistidas por computador existen y
sus diferentes funciones.
2. Crear criterios para decidir cuando y que tcnicas de auditoria asistidas por
computador utilizar.
VI
INTRODUCCIN
VII
El ltimo captulo tiene los resultados del estudio de campo, el cual se realiz por
medio de una encuesta realizada a auditores de distintas empresas en Guatemala. El
objetivo de la encuesta fue para conocer la utilizacin de las tcnicas de auditora
asistidas por computador en las auditoras de sistemas que se practican en las
empresas guatemaltecas.
VIII
1. AUDITORA DE SISTEMAS
fechas de inicio y fin, todo esto por el cambio que se pueda dar en determinado
momento en el sistema.
Actualmente, por el crecimiento de los sistemas informticos se habla de la
auditora informtica que no es ms que la auditora de sistemas en los sistemas
informticos. De aqu en adelante en este trabajo se hablar de auditora de sistemas
para referirme, especficamente, a la auditora de sistemas informticos, o auditora
informtica.
Los sistemas informticos son los que estn compuestos de un conjunto de
hardware y software y son de informacin cuando el sistema informtico trabaja con
datos que el personal de la empresa captura, procesa y almacena en el sistema.
Luego, los datos son procesados y relacionados para convertirse en informacin la cual
es utilizada en la gestin de la empresa.
Para realizar una auditora adecuada sobre el sistema, el personal que la realice
debe estar, debidamente capacitado, con alto sentido de moralidad, al cual se le exija
la optimizacin de recursos y eficiencia.
.
Adems, se deben considerar las caractersticas de conocimientos, prctica
profesional y capacitacin que debe tener el personal que intervendr en la auditora.
Para completar el grupo, como colaboradores directos en la realizacin de la
auditora, se deben tener personas con caractersticas como experiencia en operacin
y anlisis de sistemas y en caso de sistemas complejos se deber contar con personal
con conocimientos y experiencia en reas especficas como base de datos, redes, etc.,
segn el sistema que se vaya a auditar.
1.1.3 Riesgos
Por el valor y utilidad que la informacin representa para la empresa, los riesgos
de la mala utilizacin de la misma es alto porque es un elemento codiciable para ser
alterado, por lo cual, deben prevenirse para tener la informacin disponible en el
momento y en el lugar preciso cuando se necesite consultarla y conocerla, de no ser
as, puede conllevar a una prdida o retrasos importantes para la empresa
Entre los riesgos ms peligrosos que corre la informacin se encuentran los
delitos informticos. Los cuales pueden ocasionar:
robo;
falsificacin;
venta;
prdida intencional o accidental, y;
alteracin.
Todo lo mencionado, anteriormente, puede ocurrir con la informacin de la
empresa, y puede derivarse de la mala utilizacin y divulgacin de la informacin,
adems, por la falta de seguridad en el sistema, y, en la mala operacin de los datos.
El computador es el instrumento en los sistemas informticos que procesa gran
cantidad de informacin, este, a su vez, es el mismo instrumento que se utiliza para
cometer los delitos en los sistemas informticos. La tecnologa avanza de manera
rpida y sorprendente, de la misma manera, los delitos son cometidos con la misma
tecnologa. Los delitos han crecido en variedad y forma.
Es por ello que es necesario conocer las formas de cmo los delitos informticos
pueden ser prevenidos y en algunas ocasiones erradicados.
El auditor de sistemas deber pensar de la misma forma que los que cometen los
delitos lo hacen, sabiendo y descubriendo los puntos en que puede ser vulnerable el
sistema para que alguien altere la informacin o cometa alguno de los delitos.
Entre las razones y motivos que mueven a las personas a cometer los delitos
podemos mencionar:
beneficio personal;
odio a la empresa por razones de despido, tratos injustificados, resentimiento
contra las autoridades;
mentalidad turbada;
deshonestidad del departamento;
problemas financieros de algn individuo;
fcil modo de desfalco;
aprendizaje aventurero.
Las personas que cometen los delitos en los sistemas informticos no cumplen
con cierto perfil.
Las cuales permiten detectar si existe error en los datos, tambin, casos
En la utilizacin de software
En el sistema de acceso
nivel de seguridad de acceso a los computadores, redes locales, Internet, Intranet,
Extranet;
empleo de las claves de acceso;
evaluar la seguridad contemplando el costo, ya que a mayor tecnologa de acceso
mayor costo;
acceso a los diferentes archivos de informacin y bases de datos;
usuarios en los sistemas de bases de datos, a nivel de sistema operativo y de
aplicaciones.
En la cantidad y tipo de informacin
El tipo y la cantidad de informacin que se introduce en las computadoras debe
considerarse como un factor de alto riesgo ya que podran producir que:
La informacin est en manos de algunas personas
La alta dependencia en caso de prdida de datos
En el Control de Programacin
Los programas deben contar con los archivos fuentes y sus ltimas actualizaciones.
Los programas deben contar con documentacin tcnica, operativa y de
emergencia.
Control de las personas que han elaborado los mdulos de programacin.
Que la aplicacin que est funcionando sea la que se gener con la ltima
actualizacin del archivo fuente.
Personal
Controlando a qu informacin tiene acceso.
Control en el uso de Internet.
Control en el acceso a las bases de datos.
10
nadie utilizar los computadores y programas que se poseen para otro fin, ya que
no los entienden,
no ocurrir el fraude interno, el cual es cometido por el personal de la empresa,
los usuarios y claves de acceso son inviolables, y por eso no se consideran reglas
que aumenten el nmero de alternativas para que sea casi imposible descubrir una
clave de acceso.
Medios de Control
Asimismo, es importante tener medios de control para detectar, prevenir o
corregir cambios que afecten la fiabilidad de los datos del sistema. Estos pueden
establecerse como procedimientos de revisin de informacin que se ejecutarn en
perodos entre una auditora y otra, especialmente, en los mdulos ms codiciados por
los delincuentes informticos.
En ocasiones, an cuando todos los procesos de auditora estn, debidamente,
diseados y se cuente con las herramientas adecuadas, no se puede garantizar que
todas las irregularidades puedan ser detectadas. Por lo que los controles para la
verificacin de la informacin juegan un papel importante en la deteccin de los delitos
informticos o errores en el sistema.
Algunos medios de control pueden ser:
controles de autenticidad que permiten verificar la identidad de un usuario;
controles de precisin validan que el tipo de datos que se estn ingresando sean
los que se esperan;
controles de redundancia para asegurar que la informacin no est siendo
procesada ms de una vez;
controles de privacidad para proteger el sistema contra accesos no autorizados;
controles de auditora que aseguran que queden registrados cronolgicamente
todos los eventos que ocurren en el sistema;
controles de existencia que aseguren la continua disponibilidad de todos los
recursos y datos del sistema;
11
12
Objetivos.
Alcance.
1.2.1
Objetivos
Los objetivos son los que definen el propsito de realizar la auditora en ese
momento, los cuales conllevan de forma especfica los resultados que se obtendrn, el
tiempo en que se pretende realizarla y qu se espera de la misma.
13
1.2.2 Alcance
Al presentarse la planificacin de la auditora es necesario definir el alcance y los
lmites en los cuales se desarrollar; estos, en cierta forma, complementan los
objetivos. Puede ser que la auditora se lleve a cabo a uno o varios mdulos del
sistema y no al sistema completo.
Adems, el alcance debe ser mencionado en el informe final, para detallar hasta
qu puntos se han llegado y qu procesos o elementos del sistema fueron omitidos y
las razones por las cuales no se auditaron. Por ejemplo, si se comprob la integridad
de la informacin en todos los registros guardados.
14
El estudio inicial termina con una idea general de los procesos informticos
realizados en la empresa auditada. Para ello, debern conocer lo siguiente:
volumen, antigedad y complejidad de las aplicaciones;
metodologa del diseo,
se debe conocer que metodologa se ha utilizado en el desarrollo de las
aplicaciones adems si se han utilizado varias a lo largo del tiempo;
documentacin,
la existencia de una adecuada documentacin de las aplicaciones proporciona
beneficios tangibles e inmediatos muy importantes;
cantidad y complejidad de bases de datos y archivos,
el auditor recabar informacin del tamao y caractersticas de las bases de
datos. Estos datos le proporcionarn una visin aceptable de las caractersticas de la
carga informtica.
Adems, el auditor deber conocer procesos de control que se realizan en el
sistema as como el nmero de afinamiento de consultas realizados ltimamente y los
resultados obtenidos. Tambin deber analizar la forma en que se carg la informacin
al sistema.
1.2.4
15
Entre los recursos materiales se debe contar con la informacin del sistema para
ser revisada, para ello, es necesario el acceso a informacin de algn servidor y uno o
ms computadores. Adems, las herramientas que utilizar para la verificacin de los
datos, y, es aqu, donde se definir si es necesario la utilizacin de las tcnicas de
auditora asistidas por computador u otro software que garanticen la revisin de los
datos. Tambin, puede ser que la verificacin sea manual, a travs de informes o
reportes impresos generados por el personal del rea de informtica.
Es importante definir el horario en que se harn las pruebas y revisiones de la
informacin para no perjudicar el rendimiento de los servidores ni el procesamiento de
la informacin, como, tampoco el trabajo del personal adecuando los perodos para
hablar con ellos.
1.2.5
realizar los procedimientos de la auditora, personal que ser auditado, los documentos
a utilizar y costo de la auditora. Para realizarla se debern tomar en cuenta:
las siguientes situaciones al solicitar la documentacin que nos indique la forma en que
se almacena la informacin.
No se tiene.
Se tiene pero:
est incompleta;
no est actualizada, o,
no es la adecuada.
16
17
evaluacin;
modificaciones;
instalacin;
mejoras;
Se debe evaluar la obtencin de datos sobre la operacin, flujo, nivel, jerarqua
de la informacin que se tendr a travs del sistema. Se deben comparar los objetivos
de los sistemas desarrollados con las operaciones actuales, para ver si el estudio de la
ejecucin deseada corresponde al actual.
En la evaluacin del anlisis del diseo lgico del sistema se debe comparar con
lo que realmente se est obteniendo en la cual debemos evaluar lo planeado, cmo fue
planeado y lo que realmente se est obteniendo en lo descrito a continuacin.
Entradas.
Salidas.
Procesos.
Especificaciones de datos.
Especificaciones de proceso.
Mtodos de acceso.
Operaciones.
Sistemas de seguridad.
Sistemas de control.
Responsables.
Nmero de usuarios.
18
Manual de formas.
Manual de reportes.
Descripcin general de los sistemas instalados y de los que estn por instalarse
que contengan volmenes de informacin.
Descripcin genrica.
Salidas.
19
Criterios que utilizan los usuarios para evaluar el nivel del servicio prestado.
1.2.6
las funciones previstas y no otras. Para ello, como ya se dijo, puede apoyarse en
productos de software muy potentes y modulares que entre otras funciones, rastrean
los caminos que siguen los datos a travs del programa.
Este software lo utiliza para comprobar la ejecucin de las validaciones de datos
previstas. Estos rastreos de datos no deben modificar en absoluto la informacin del
sistema.
El auditor informtico preferentemente emplea toda la informacin que
proporciona el propio sistema: los datos almacenados en los distintos dispositivos; las
bitcoras del sistema, en donde se recogen las modificaciones de datos y se
pormenoriza la actividad general, adems, la informacin del sistema sobre el
tratamiento de errores de mquina central, perifricos, etc.
1.2.7
No existe un formato
especfico para los informes, pero el objetivo principal es indicar las observaciones, y
recomendaciones del auditor hacia la autoridad que solicit la auditora.
El informe final debe cumplir con las caractersticas de ser objetivo, claro,
conciso, constructivo y oportuno.
20
controles
21
22
Pueden existir varias copias del informe final como el cliente lo solicite, sin embargo
no se harn copias de la citada carta de Introduccin.
La carta de introduccin
Poseer los siguientes atributos:
no debe ser muy extensa. Se sugiere un mximo de cuatro folios;
cuantificar la importancia de las reas analizadas;
proporcionar una conclusin general, concretando las reas de gran debilidad;
presentar las debilidades en orden de importancia y gravedad;
en la carta de Introduccin nunca se deben escribir las recomendaciones.
Alcance, naturaleza y perodo de cobertura.
La declaracin del alcance debe identificar el rea funcional de auditora, el perodo
de auditora cubierto, los sistemas de informacin, aplicaciones o ambiente de
auditora revisado. El informe debe identificar las circunstancias de la limitacin del
alcance cuando, en opinin del auditor, las pruebas y los procedimientos
apropiados para conocer las normas no han sido suficientes o cuando las
restricciones en el trabajo de auditora han sido impuestas por el auditado.
Objetivos.
Se deben incluir cada uno de los objetivos de la auditora. Si, en la opinin del
auditor, algn objetivo de auditora establecido no fue satisfecho, ste hecho debe
notificarse en el informe.
23
a.
Situacin actual.
c.
Hallazgos y conclusiones.
24
25
26
2.1 CAATs
Parte de la auditora de sistemas es la verificacin del funcionamiento del
sistema.
27
El auditor que las utilice debe confiar en los resultados que proporcionan y de
esta forma reducir los procedimientos de auditora sustantivos necesarios para verificar
la informacin procesada por el sistema.
Existen de distintos tipos, los cuales pueden utilizarse para prueba de los detalles
de operaciones y saldos, procedimientos de revisin analticos, pruebas de
cumplimiento de los controles generales de sistemas de informacin, pruebas de
cumplimiento de los controles de aplicacin.
Finalmente, el auditor elabora determinadas partes del informe con archivos que
son resultados de las pruebas y controles, por lo cual resulta necesario el manejo de
software de fcil utilizacin como procesadores de texto, paquetes de grficos, hojas
de clculo, etc.
Actualmente, existen muchas CAATs en el mercado de las cuales se dar una
descripcin de algunas, entre ellas tenemos: ACLTM, IDEATM, PanAudit, Easytrieve,
DYL280 (300), Culprit, FOCUS, FocAudit, etc.
2.1.2 Descripcin de algunas CAAT's
2.1.2.1 ACLTM
ACLTM por sus siglas en ingls Audit Computer Language. Pertenece al conjunto
de CAATs que existen, actualmente, en el mercado. Es una tecnologa de auditora
para consultas de archivos, anlisis de datos y generacin de reportes.
Existen para distintos sistemas operativos, el ms usado es ACLTM para
Windows.
Es uno de los ms utilizados por su interfaz y la capacidad de anlisis de datos
ofrece muchas oportunidades para detectar o impedir el fraude mientras se revisan
grandes volmenes de transacciones o trabaja en poblaciones completas.
28
www.acl.com
29
Adems, en la
30
31
Registra todos los datos que se utilizaron en el anlisis, todo lo que se llev a
cabo y los resultados.
Muestreo
Fuente: Demostracin gratuita de ACL para windows
Brinda la facilidad de las funciones estadsticas y la opcin de no utilizar toda la
poblacin de los datos.
32
2.1.2.2 IDEA TM
IDEA TM por sus siglas en ingls: Interactive Data Extraction and Analysis. Es una
herramienta de gran alcance, fcil de utilizar, su principal tarea es el anlisis de datos
para los auditores, contadores y encargados financieros. Dedicado a ayudar a sus
utilizadores a mejorar su eficacia y eficiencia en las tareas del anlisis de datos.
Permite a sus utilizadores leer, visualizar, analizar, manipular, muestrear o
extraer de los archivos de datos de casi cualquier fuente o los datos generados por los
distintos sistemas informticos en la unidad central, incluye generador de reportes que
pueden ser impresos o enviados a un archivo.
IDEATM realiza la consulta de archivos, la investigacin del fraude y funciones de
muestreo.
33
Fuente: www.nao.gov.uk/intosai/edp/caat5.pdf
Se realizan
programas con pocas instrucciones que en otros lenguajes de programacin podra ser
un programa mucho ms grande.
Pueden programarse procedimientos para realizar clculos, permitiendo hasta 18
decimales, hacer tiles pruebas numricas y alfabticas, manipulacin de cadenas,
poner campos a 0, agregar, borrar y reformatear registros.
34
35
36
37
38
39
Certeza
Al utilizar una cobertura del 100% de los datos, es decir, la poblacin o, bien, una
muestra significativa de los datos asegura el incremento en la certeza de las
conclusiones y resultados del anlisis; en los casos que se utiliza una muestra las
CAATs contribuyen en la eleccin de la misma, con los mtodos apropiados para que
sea una muestra significativa.
Esto contribuye a brindar mejores recomendaciones administrativas utilizando
conclusiones de auditora de alta calidad.
Prevencin de fraudes
Los anlisis que permiten hacer las CAATs pueden ser de funciones estadsticas
con la ayuda de grficas, esto ayuda a detectar movimientos o relaciones que
provoquen hallazgos en los resultados y en ocasiones resulten en fraudes.
Deteccin de defectos del sistema
Como resultados de los anlisis puede haber transacciones o datos errneos lo
cual es producto del mal funcionamiento del sistema y no, precisamente, de fraudes.
Esto puede detectarse al estar verificando la informacin.
Informes
Los informes de las transacciones de las pruebas se utilizan para rastrear
transacciones individuales y como parte de la documentacin final de la auditora.
40
Reportes
Las CAATs permiten la elaboracin de reportes de los resultados, los cuales
pueden ser elaborados en las herramientas o, si es necesario, apoyndose de
software como hojas de clculo para la edicin, estos servirn como constancia de los
resultados obtenidos.
Precisin
A la hora de detectar un error o un posible fraude, las CAATs permiten un
anlisis y revisin de determinadas cuentas, en una o un conjunto de las tablas de las
bases de datos, o anlisis individuales de determinadas transacciones. Y de esta forma
saber con exactitud el origen del error.
Reduccin de los costos y mantenimiento
Los costos pueden ser beneficiados tomando en cuenta el ahorro de tiempo, el
recurso que se utiliza es, prcticamente, el computador donde se encuentra la CAAT.
No es necesario un mantenimiento, pues, provee de funciones propias que sern
utilizadas por cada uno de los auditores segn el anlisis que estn realizando.
Investigaciones ms a fondo
Permiten que los auditores hagan un asesoramiento para la empresa dando
como resultado una auditora hbrida que cubre tanto las funciones de "vigilancia" como
el mejoramiento del proceso de las empresas.
41
Eficiencia
Permite un trabajo, como ya se dijo, rpido y de la mejor manera, ya que, permite
a los auditores un anlisis de alta calidad y con resultados que pueden ser utilizados,
posteriormente, para hacer cambios, correcciones y en los prximos trabajos de
auditora.
Procedimientos automatizados
El personal o auditor que realizaba los procedimientos mecnicos o manuales
tediosos realizar procedimientos ms rpidos y mejores.
Nivel reducido de riesgo
Reduce el riesgo en el caso de los clculos o verificaciones de campos debido a
que es la computadora la que realiza el trabajo.
2.4 reas de aplicacin
La aplicacin de las CAATs puede ser en todo tipo de empresa o institucin que
tiene un sistema de informacin automatizado al que se le realiza una auditora, debido
a que las CAATs son herramientas para ser utilizadas en una computadora. Tambin,
pueden ser usadas en ambientes de comercio electrnico para revisar las
transacciones realizadas en las bases de datos activas.
Sin embargo, en algunas empresas por el tipo de trabajo los sistemas son ms
propensos a que los empleados, clientes o ambos traten o realicen transacciones
anmalas o pueden existir transacciones con fraudes a empresas, como por ejemplo:
bancos, financieras, empresas comerciales, etc.
A continuacin se describe de manera muy general algunos anlisis que se
pueden llevar a cabo a partir de la aplicacin de las CAATs.
42
Identificar valores de registros por arriba o debajo del lmite permitido, es decir,
cuando no se han validado los registros de manera adecuada.
En empresas comerciales
-
43
44
puede
convertirse
en
una
herramienta
45
46
El auditor y personal que llevan a cabo la auditora deben ser conocedores de los
procedimientos del proceso para realizar los anlisis; asimismo la herramienta que se
utilizar y del sistema auditado. Esto debido a que la evidencia que obtiene el auditor
debe ser suficiente y adecuada para formarse una opinin o apoyar los resultados y
conclusiones, ya que, el auditor slo puede emitir un juicio basado en hechos y
situaciones que pueden ser comprobables con la informacin obtenida en el trabajo
realizado, careciendo de poder para modificar la situacin analizada por el
mismo.
Sistemas de informacin grandes
Hacer una auditora, completamente, manual en este tipo de sistemas es casi
imposible por la gran cantidad de informacin que se tiene. Lo cual requiere de mucho
tiempo y procedimientos muy tediosos con una probabilidad de que ocurra una
equivocacin durante las revisiones manuales. Adems, identificar un fraude es difcil
ante un sistema con cientos de transacciones.
Si la revisin se hace, por medio de una muestra puede tomarse una muestra no
significativa por el mtodo de eleccin o equivocacin en los criterios.
Objetivos de la auditora claramente definidos
El uso de las CAATs en el proceso de la auditora debe servir para obtener
informacin que se requiera y hacer las verificaciones establecidas en el plan y, as,
cumplir los objetivos de los procedimientos en los que son utilizadas. Se debe tener en
cuenta que no es un procedimiento aislado de la auditora y, por ello, debe estar dentro
de los objetivos de la misma.
47
No se deben aislar del proceso, las CAATs contribuyen en una parte del
desarrollo de la auditora por lo que deben ser integradas de forma adecuada en la
planificacin, pues, cada uno de los pasos de la auditora es de vital importancia para
la empresa.
Disponibilidad y conveniencia
La disponibilidad de los recursos del sistema de informacin es clave porque sin
ellos no se llevar a cabo la utilizacin de las CAATs, debe considerarse el tiempo en
que se utilizarn las mquinas y la informacin, adems, el lugar donde se llevar a
cabo para que no sea un inconveniente con el personal que, regularmente, utiliza los
recursos.
Tambin, se deben considerar los costos que implica utilizar las CAATs, cunto
se conoce de la herramienta y si es necesario una capacitacin para su aprendizaje,
adems la eficacia y eficiencia acerca de las tcnicas manuales.
Margen de error en las verificaciones
Las CAATs realizan las verificaciones que el auditor le indica a travs del
computador por lo que el margen de error se disminuye con respecto a realizarlas
manualmente.
Accesibilidad de la informacin
El uso de las CAATs requiere de la utilizacin de la informacin (archivos, bases
de datos) y dispositivos de almacenamiento que estn dentro de las computadoras que
trabajan en el sistema, el auditor debe de estar seguro que tendr a su disposicin
dicha informacin y los dispositivos para su acceso.
Personal
48
Adems debe
49
50
La CAAT debe tener la capacidad de hacer operaciones con los distintos tipos de
datos que se utilice en el sistema, para poder realizar el anlisis con los datos que se
tienen almacenados.
Bases de datos del sistema
Se debe tener la seguridad que la herramienta a utilizar puede acceder a los
datos de la base de datos que el sistema utiliza, o, en algunos casos, a los archivos
que se utilizan para guardar la informacin, pues, de lo contrario se tendran que hacer
migraciones de datos a bases que la herramienta pueda utilizar, o buscar una
alternativa que llevara mucho trabajo innecesario o no sea posible realizar, por
razones como: el poco tiempo con que se cuenta para realizar el anlisis o la cantidad
de informacin es muy grande para estar migrando la informacin.
Tipos de reportes que generan
Los reportes de los resultados que las CAATs proporcionan pueden ser para
distintos usos, por lo que es importante saber para que sern utilizados despus de ser
obtenidos o luego de la auditora. Y examinar que la CAAT pueda proporcionar dichos
reportes.
Por ejemplo, si sern publicados para algunos usuarios dentro de una Intranet y
es necesario presentar los reportes en documentos de procesadores de textos, hojas
de clculo, presentaciones grficas, etc.
51
52
4. Estudio de campo
asistidas por computador pueden ser utilizadas, tanto para la auditora interna como
externa, en los resultados que a continuacin se muestran, no se hace mencin de
esta separacin.
Los resultados muestran la utilizacin y conocimiento de las tcnicas de auditora
asistidas por computador por parte de los auditores que realizan auditora de sistemas
en las empresas.
La encuesta contena preguntas dicotmicas, de seleccin mltiple y algunas
abiertas.
88
Otros (%)
Diversificado (%)
53
Diversificado
6%
Universidad
88%
Como se puede observar la mayor parte del personal que labora en las auditoras es
de grado acadmico universitario.
Pregunta 1
En la auditora de sistemas en la empresa, Qu tipos de procedimientos realizan en la
verificacin del funcionamiento del sistema de informacin?
Ambos (%)
56
Manuales (%)
25
Automatizados (%)
19
Manuales
25%
Ambos
56%
Automatizados
19%
54
Pregunta 2
Utilizan algn software especial para realizar la auditora de sistemas?
Si (%)
75
No (%) 25
55
Pregunta 3
El software que utilizan fue elaborado por la empresa?
No (%) 67
Si (%)
33
Si
33%
No
67%
Existen empresas que utilizan algn software especial para realizar sus
auditoras de sistemas que no, necesariamente, son algunas de las Tcnicas de
Auditora Asistidas por Computador que existen en el mercado, como lo muestran los
resultados de esta pregunta, estas son elaboradas para cubrir las necesidades
especificas que los auditores determinan.
Esta pregunta va conforme con la pregunta 2, es decir, de las empresas
encuestadas que respondieron que si utilizan software especial para la auditora de
sistemas, que fue un 75%, algunas de estas han elaborado dicho software; por lo que
el porcentaje en la grfica No. 4 es respecto al 75% de la grfica No. 3.
Adems se les pregunt en la segunda parte:
Si la respuesta es afirmativa, en qu lenguaje fue elaborado?
Algunas respuestas obtenidas fueron:
56
Visual fox
Borland Delphi
Packages en Oracle
C Standard
Pregunta 4
Conoce alguna de las tcnicas de auditora asistidas por computador?
Si (%)
63
No (%)
37
Grfica V. Auditores que conocen las tcnicas de auditora asistidas por computador
No
37%
Si
63%
Pregunta 5
Escriba cules conoce.
Simulacin.
Datos de pruebas.
Procedimientos analticos.
Totales de control.
57
Tcnicas de integridad.
Reclculos automticos.
Confirmacin de datos.
Muestreo estadstico.
Excel.
Hoja electrnicas.
ACL pruebas.
Test integrados.
Access.
IDEA.
SCARF, archivos de revisin de auditora como control de sistema.
SARF, revisin de auditora por muestreo.
SNAPSHOT, pistas de auditora, simulacin de transacciones.
Aplicacin de programacin con datos de control.
La pregunta 4, est relacionada con la 5. En la pregunta 4, aunque la mayora
anot conocer las tcnicas de auditora asistidas por computador, las respuestas
anotadas en la pregunta 5 demuestra que algunos no conocen claramente el concepto
de las CAAT.
Pregunta 6
Utilizan alguna de las tcnicas de auditora asistidas por computador en la empresa?
Si (%)
63
No (%) 37
58
Grfica VI. Empresas que utilizan las tcnicas de auditora asistidas por computador
No
37%
Si
63%
59
Pregunta 7
Qu dificultades ha tenido en la utilizacin de las tcnicas de auditora asistidas por
computador?
Falta de capacitacin (%)
34
Otras (%)
33
22
Instalacin (%)
11
Grfica VII. Dificultades en la utilizacin de las tcnicas de auditora asistidas por computador
O t ra s
33%
Ins t a la c i n
11%
R e s is t e nc ia a l
c a m bio 2 2 %
F a lt a de
c a pa c it a c i n
34%
60
Pregunta 8
Cree que es importante la utilizacin de las tcnicas de auditora asistidas por
computador?
Si (%)
100
No (%)
Grfica VIII. Importancia de la utilizacin de las tcnicas de auditora asistidas por computador
No
0%
Si
100%
Costo beneficio.
Exactitud.
61
Porque debemos establecer si los procesos que lleva a cabo el computador son
correctos, ya que, en dicho examen no cabe el trmino razonabilidad pues es
una mquina que har lo que el hombre le diga que haga. En caso de que los
resultados indiquen que existen fallas que hacen que la informacin no est
siendo procesada, adecuadamente, entonces la informacin que se obtendr
del mismo ser incorrecta para la toma de decisiones.
Preguntas 9
Qu ventajas tienen las tcnicas de auditora asistidas por computador sobre los
procedimientos manuales?
62
Pregunta 10
Nombre aspectos importantes que se consideraron para la eleccin de la tcnica de
auditora asistida por computador y/o software que utilizan en la auditora de sistemas
en la empresa.
Soporte, lenguaje.
Riesgos asociados.
63
Pregunta 11
En el caso que no conoce las tcnicas de auditora asistidas por computador le
interesara conocer alguna para un procedimiento en especial?
Si (%)
100
No (%)
Grfica IX. Auditores que no conocen las tcnicas de auditora asistidas por computador
que les interes conocerlas
No
0%
Si
100%
64
Pregunta 12
Qu aspectos considera importantes a tomar en cuenta en la decisin de utilizar las
tcnicas de auditora asistidas por computador?
Costo (%)
33
Capacitacin (%)
29
Tiempo (%)
21
12
Otros (%)
T ie m po
21%
O t ro s
5%
C a pa c it a c i n
29%
C o sto 33%
Po ca Exp er i enci a
12%
65
Pregunta 13
En el caso que no utiliza las tcnicas de auditora asistidas por computador, pero si
tiene conocimiento de las mismas, Cules son las razones ms importantes por las
que no son utilizadas en la empresa?
En departamentos pequeos tienen poco presupuesto para invertir en tecnologa.
Se tiene el concepto que el auditor de sistemas como verdugo se le limita a
procedimientos manuales.
Por ser empresa de desarrollo y no procesar informacin, en este caso es ms
importante mantener la integridad de los sistemas que desarrollan.
Cuando no le asiste a los clientes.
La ltima pregunta fue, como referencia de otras empresas, dnde se practica la
auditora de sistemas y de esta forma conocer ms empresas para ser encuestadas.
66
CONCLUSIONES
y Access como
Uno de los mayores factores por los que los auditores no utilizan las tcnicas de
auditora asistidas por computador es por el costo de adquirir este tipo de
software que existe en el mercado, como se puede observar en la grfica 10,
aspectos importantes para la decisin en la utilizacin de las tcnicas de
auditora asistidas por computador, esto debido al poco recurso o presupuestos
que las empresas brindan para las auditoras que realizan a los sistemas.
67
68
RECOMENDACIONES
As como
alternativas que ofrecen para pruebas por tiempo limitado y aprovecharlas para
realizar anlisis con informacin de un sistema real para comprobar el beneficio
en cuanto a tiempo, resultados obtenidos y conocer ms acerca de las
funcionalidades.
69
En las empresas donde el costo puede ser el mayor impedimento para obtener
una de las CAAT que existen en el mercado, se recomienda como alternativa
desarrollar un software propio para el departamento de auditora de sistemas
con los requerimientos necesarios para realizar las auditoras y de esta forma
superar las limitaciones del software que se utiliza, tales como: hojas de clculo.
70
BIBLIOGRAFA
1.
2.
DERRIEN Yann.
Tcnicas de auditora informtica.
Alfaomega, S.A., 1995. 229p.
Mxico: Ediciones
ACL.
(www.acl.com)
2.
3.
Audinet.
(www.audinet.org/caatt.htm. Revised: 23 feb 2001)
4.
5.
Auditora.
(www.monografias.com/trabajos6/audi/audi.shtml)
6.
Auditora Informtica.
(www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml)
7.
CAATTs Corner.
(www.iia.org.uk/knowledge/archive_059915.htm) David Coderre.
71
8.
9.
10.
11.
Executive briefing.
(www.kpmg.com/Aut2000_prod /Documents/9/efraud survey.pdf)
12.
CAATT Links.
(www.pdaconsulting.com/caats.htm)
13.
14.
Computer associates.
(CA-Easytrieve Plus Release 6.4
www.Ca.com/products/announcements/easytrieve_plus.pdf)
(CA-PanAudit Plus
www.Ca.com/products/Panaudit_plus.htm)
15.
Delitos informticos.
(www.monografias.com/trabajos6/delin/delin.shtml)
16.
17.
Faculty of Arts.
(www.arts.uwaterloo.ca/ACCT/ccag/chapter10/chpt10sect1topic1.htm
www.arts.uwaterloo.ca/ACCT.ccag/chapter10/chpt10sect1topic2.htm)
72
18.
19.
20.
Itaudit.
(www.itaudit.org/forum/audittools/f103at.htm
www.itaudit.org/member_area/ReferenceLibrary/ACLCaseStudies/Kennametal
_v1.htm
www.itaudit.org/forum/audittools/f220at.htm)
21.
22.
23.
24.
25.
26.
73
27.
Isaca.org.
(www.isaca.org/examterms.htm#top.htm)
28.
29.
74
ANEXOS
A continuacin se muestra el formato de la encuesta que se realiz.
Estudio de campo
Ttulo de la Tesis: Utilizacin de las Tcnicas de auditora asistidas por computador
Encuesta
Nombre de la empresa:
Puesto que desempea:
Escolaridad:
Diversificado
Universidad
Otro
Instrucciones:
A continuacin encontrar siete preguntas dicotmicas y tres preguntas de seleccin mltiple, marque con
una X la respuesta correcta. Y tambin tendr que responder a su criterio y en forma breve varias
preguntas abiertas.
1.
2.
3.
75
4.
5.
6.
7.
Falta de capacitacin
Instalacin
Otras
8.
9.
Que ventajas tienen las tcnicas de auditora asistidas por computador sobre los
procedimientos manuales?
76
10.
11.
12.
Tiempo
Otros
77
13.
En el caso que no utiliza las tcnicas de auditoria asistidas por computador, pero si tiene
conocimiento de las mismas, cules son las razones ms importantes por las que no son
utilizadas en la empresa?
14.
Conoce otras empresas donde se utilicen las tcnicas de auditora asistidas por
computador?
si
no
Si la respuesta anterior es afirmativa, escriba el nombre de las empresas
Escriba el nombre de las tcnicas de auditora asistidas por computador que utilizan las
empresas mencionadas anteriormente
78