1.

5 AUDITORIA INFORMATICA USO DE TAAC

1.5 TECNICAS DE AUDITORIA ASISTIDAS POR COMPUTADORA

Las TAAC’s son un conjunto de técnicas y herramientas utilizados en el desarrollo de las auditorias
informáticas con el fin de mejorar la eficiencia, alcance y confiabilidad de los análisis efectuados por el
auditor, a los sistemas y los datos de la entidad auditada.

Incluyen métodos y procedimientos empleados por el auditor para efectuar su trabajo y que pueden ser
administrativos, analíticos, informáticos, entre otros; y, los cuales, son de suma importancia para el
auditor informático cuando este realiza una auditoría, sin dejar a un lado las técnicas tradicionales de
auditoría como son la inspección, observación, confirmación, revisión, entre otros

Auditoría asistida por computadora

La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit Techniques
(CAATs) o Técnicas de Auditoría Asistidas por Computador (TAAC's), plantea EL USO de TAAC’s en la
auditoría de sistemas.

Se considera que una organización que usa TIC y TAAC se puede ver afectada en uno de los 5
componentes del control interno: El ambiente de control, evaluación de riesgos, actividades de control,
información, comunicación y monitoreo además de la forma en que se inicializan, registran, procesan y
reporta las transacciones.

Estas técnicas pueden usarse para seleccionar transacciones de muestra, transacciones con
características específicas o para pruebas exhaustivas de una población de archivos.

Las TAAC's pueden ser usadas en:

- Pruebas de detalles de transacciones y balances (Recálculos de intereses, extracción de ventas por

encima de cierto valor, etc.)

- Procedimientos analíticos: por ejemplo identificación de inconsistencias o fluctuaciones significativas.

- Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de

acceso al sistema, comparación de códigos y versiones.

- Programas de muestreo para extraer datos.

- Pruebas de control en aplicaciones.

- Recálculos.

Los ejercicios de verificación de los procesos de control tienen 4 enfoques primarios:

- Programas de chequeo.

- Programas de validación

- Software de revisión de sistemas

- Auditoría continua.

Aplicación de TAAC's en la Auditoría Informática

Una de las ventajas más notorias de las TAAC’s es la versatilidad que estas presentan para la realización
del trabajo de campo de la auditoría, (se pueden utilizar sin importar el tipo de organización, su tamaño,
sus operaciones y sector del mercado). Para ello el auditor debe tener el suficiente discernimiento y
experiencia profesional para establecer la técnica o herramienta a utilizar.

El auditor dispone de una clasificación estandarizada respecto a las principales TAAC’s aplicadas por
auditores de todo el mundo:

Técnicas Administrativas.

Técnicas para evaluar los controles de Aplicaciones en Producción.

Técnicas para análisis de Transacciones.

Técnicas para análisis de Datos.

Técnicas para análisis de Aplicaciones.

Técnicas administrativas

Permiten al auditor establecer el alcance de la revisión, definir las áreas de interés y la metodología a
seguir para la ejecución del examen.

a) Selección de Áreas de Auditoría .- Mediante esta técnica, el auditor establece las aplicaciones críticas
o módulos específicos dentro de dichas aplicaciones que necesitan ser revisadas periódicamente, que
permitan obtener información relevante respecto a las operaciones normales del negocio.

Esta técnica es muy utilizada por los auditores internos de empresas corporativas grandes o medianas
con un alto volumen de transacciones y exige que el departamento de auditoría interna construya sus
propios aplicativos (con la ayuda del departamento de sistemas), para que puedan realizar su trabajo de
forma eficiente.

b) Modelaje.- Esta técnica es muy similar a la técnica de Selección de Áreas de Auditoria, cuya
diferencia radica en los objetivos y criterios de selección de las áreas de interés; ya que esta técnica tiene
como objetivo medir la gestión financiera de la organización y todo lo que ello involucra.

c) Sistema de puntajes.- A través de esta técnica el auditor selecciona las aplicaciones críticas de la
organización de acuerdo a un análisis de los riesgos asociados a dichas aplicaciones y que están
directamente relacionadas con la naturaleza del negocio mediante asignarle a cada riesgo un puntaje de
ocurrencia, de tal forma que sean examinadas detalladamente aquellas aplicaciones con mayor nivel de
vulnerabilidad ante posibles riesgos.

d) Software de Auditoría Multisitio.- Se basa sobre el mismo concepto de los sistemas distribuidos, en el
que una organización con varias sucursales u oficinas remotas, dispone de un software de auditoria
capaz de ser utilizado en dichas sucursales y a la vez, pueda actualizar y almacenar la información
resultante en una base de datos principal, generalmente ubicada en la matriz de la organización.

e) Centros de competencia.- Consiste en centralizar la información que va a ser examinada por el

auditor, a través de la designación de un lugar específico que recibirá los datos provenientes de todas las
sucursales remotas y que luego serán almacenadas, clasificadas y examinadas por el software de
auditoria.

 Técnicas para evaluar los controles de Aplicaciones en Producción

Se orientan básicamente a verificar cálculos en aplicaciones complejas, comprobar la exactitud del

procesamiento en forma global y específica y verificar el cumplimiento de los controles preestablecidos.

a) Método de Datos de Prueba.- Consiste en la elaboración de un conjunto de registros que sean

representativos de una o varias transacciones que son realizadas por la aplicación que va a ser
examinada, y que luego serán ingresadas en dicha aplicación para la verificación del procesamiento
exitoso de los datos.

b) Utileria de Prueba Integrada (Integrated Test Facility) .- Similar a la de datos de prueba, con la
diferencia de que en esta se trabajan con datos reales y ficticios.

c) Simulación paralela.- Esta es una técnica en la que el auditor elabora, a través de lenguajes de
programación o programas utilitarios avanzados, una aplicación similar a la que va a ser auditada, con el
objetivo de ingresar simultáneamente la misma información en ambas aplicaciones para verificar la
exactitud del procesamiento de datos de la aplicación en producción.

Técnicas para Análisis de Transacciones

Tienen como objetivo la selección y análisis de transacciones significativas de forma permanente,
utilizando procedimientos analíticos y técnicas de muestreo.

a) Archivo de revisión de auditoría como control del sistema (SCARF) .- Consiste en el diseño de ciertas
medidas de control para el procesamiento electrónico de los datos, para luego incorporarlos dentro de los
aplicativos en producción (como rutinas huéspedes), con el objetivo de garantizar un control permanente
de las transacciones realizadas.

b) El resultado final será la generación de un archivo de datos que almacenará una réplica de los
registros que hayan presentado anomalías.

c) Archivo de revisión de auditoría por muestreo (SARF) .- Esta es una técnica muy utilizada por los
auditores externos y consiste en la definición de ciertos parámetros de selección de registros utilizando
muestreo, para luego analizarlos detalladamente.

d) Registros Extendidos

e) Técnica muy particular y útil para los auditores que han desarrollado ciertas destrezas en el análisis de
datos; y, consiste en la conservación histórica de todos los cambios que haya sufrido una transacción en
particular, convirtiéndose en un LOG de auditoría.

Técnicas para el Análisis de Datos

Están orientadas hacia el uso de programas informáticos especializados que le permiten al auditor, de
forma eficiente y flexible, examinar la información que ha sido procesada electrónicamente a través de los
sistemas de información, aplicativos o programas utilitarios.

a) Programas generalizados de auditoría.- Es una de las técnicas de mayor desarrollo y aplicación en

los últimos años. Se encuentran disponibles en el mercado, numerosos paquetes de auditoría con muy
buen desempeño y flexibilidad en los tipos de archivos que pueden examinar. Los más conocidos y
difundidos en nuestro medio son IDEA y ACL.

Ventajas - Facilidad para el diseño de las pruebas de auditoría, flexibilidad en cuanto a los formatos de
archivo y la adaptabilidad para manejar y presentar la información.

b) Programas de auditoría a la medida.-

Programas desarrollados especialmente para el análisis de datos de un sistema de información en

particular, cubriendo todas las funciones y características que este posea, de acuerdo a los objetivos del
auditor.

Pueden ser desarrollados directamente por el auditor con la ayuda del personal de informática de la
organización o viceversa, de acuerdo al grado de complejidad que tenga el sistema de auditoría a ser
desarrollado.

c) Programas Utilitarios.- Son programas estandarizados para la ejecución de actividades muy diversas
para el manejo de la información, gestión de documentos, realización de cálculos matemáticos y
estadísticos, almacenamiento de datos y control de proyectos, etc.; los cuales, son muy utilizados por los
auditores durante la ejecución de todo el proceso de auditoría.

d) Técnicas para el Análisis de Aplicaciones.- Poseen un grado mayor de complejidad respecto a su

aplicación y grado de conocimiento técnico que debe poseer el auditor, pues se orientan hacia la
evaluación del funcionamiento interno de las aplicaciones en producción y la forma en que estos
procesan la información.

e) Técnica de Imagen instantánea .- Consiste en obtener una imagen instantánea del procesamiento
electrónico de datos en un momento determinado, a través de la identificación única de ciertas
transacciones de interés para el auditor y que, mediante rutinas especiales, son seleccionadas para
revisar el flujo que esta ha seguido dentro del sistema.

f) Técnica de Mapeo.- Utilizada para medir la eficiencia de ejecución de las rutinas que integran el
sistema, a través de la utilización de programas especializados para dicho fin que mediante reportes
presentan las veces en que se ejecutan las rutinas implementadas y el tiempo que le ha tomado al
procesador ejecutarlas.

Pueden determinar las rutinas que no han sido utilizadas y aquellas que posiblemente han sido
incorporadas con fines fraudulentos.

g) Técnica de Rastreo.- Mediante esta técnica se establece el orden en que han sido ejecutadas las
rutinas durante una determinada transacción, lo cual permite evaluar si el orden secuencial en que se va
ejecutando cada una de las etapas del procesamiento electrónico de datos coincide con los procesos
institucionales preestablecidos.

h) Análisis Lógico de las Aplicaciones.- Esta técnica consiste en la revisión del programa de acuerdo a
las especificaciones técnicas y operativas presentadas en los Manuales de Diseño y Usuario, que permita
identificar errores o inconsistencia.

Ventajas del uso de las técnicas de auditoría asistidas por computadora (TAAC)

Incrementan o amplían el alcance de la investigación y permiten realizar pruebas que no pueden

efectuarse manualmente;

Incrementan el alcance y calidad de los muestreos, verificando un gran número de elementos;

Elevan la calidad y fiabilidad de las verificaciones a realizar;

Reducen el período de las pruebas y procedimientos de muestreos a un menor costo;

 Garantizan el menor número de interrupciones posibles a la entidad auditada;

Brindan al auditor autonomía e independencia de trabajo;

Permiten efectuar simulaciones sobre los procesos sujetos a examen y monitorear el trabajo de las
unidades;

Realizar un plan a priori sobre los puntos con potencial violación del Control Interno;

Disminución considerable del riesgo de no-detección de los problemas;

Posibilidad de que los auditores actuantes puedan centrar su atención en aquellos indicadores que
muestren saldos inusuales o variaciones significativas, que precisan de ser revisados como parte de la
auditoría;

Elevación de la productividad y de la profundidad de los análisis realizados en la auditoría;

Como establecer los objetivos de auditoría de los CAAT : Determinar accesibilidad y disponibilidad de
los sistemas de información, los programas/sistemas y datos de la organización.

 Definir los procedimientos a seguir (por ejemplo: una muestra estadística, recálculo,
confirmación, etc.).

 Definir los requerimientos de output.

 Determinar los requerimientos de recursos.

 Documentar los costos y los beneficios esperados.

 Obtener acceso a los sistemas de información de la organización, sus programas/sistemas y

sus datos.

 Documentar los CAAT a utilizar incluyendo los objetivos, flujogramas de alto nivel y las
instrucciones a ejecutar.

 Acuerdo con el cliente (auditado): Los archivos de datos, tanto como los archivos de operación
detallados (transaccionales, por ejemplo), a menudo son guardados sólo por un período corto, por lo
tanto, el auditor de sistemas de información debe arreglar que estos archivos sean guardados por el
marco de tiempo de la auditoría.

 Organizar el acceso a los sistemas de información de la organización, programas/sistemas y

datos con anticipación para minimizar el efecto en el ambiente productivo de la organización
  Evaluar el efecto que los cambios a los programas/sistemas de producción -cambios en la
integridad y utilidad de los CAAT- (integridad de los programas/sistemas y los datos utilizados)

COMO Utilizar CAAT (realización de auditoría)  

El auditor debe:

- Realizar una conciliación de los totales de control.

- Realizar una revisión independiente de la lógica de los CAAT

- Realizar una revisión de los controles generales de los sistemas de información de la organización que
puedan contribuir a la integridad de los CAAT (por ejemplo: controles de los cambios en los programas y
el acceso a los archivos de sistema, programa y/o datos).

 TIPOS DE SOFTWARE  

a) Paquete de Auditoría.- Son programas generalizados de computadora diseñados para desempeñar

funciones de procesamiento de datos que incluyen leer bases de datos, seleccionar información, realizar
cálculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor. Son
usados para control de secuencias, búsquedas de registros, detección de duplicaciones, detección de
gaps, selección de datos, revisión de operaciones lógicas y muestreo, algunos de ellos son el IDEA, ACL,
etc.

b) Software para un propósito específico o diseñado a la medida.- Son programas de computadora

diseñados para desempeñar tareas de auditoría en circunstancias específicas. Estos programas pueden
ser desarrollados por el auditor, por la entidad, o por un programador externo contratado por el auditor.
Por ejemplo programas que permitan generar check-list adaptados a las características de la empresa y
de los objetivos de la auditoría.

c) Los programas de utilería.- Son usados por la organización auditada para desempeñar funciones
comunes de procesamiento de datos, como clasificación, creación e impresión de archivos. Como por
ejemplo planillas de cálculo, procesadores de texto, etc.

d) Programas de administración del sistema.- Son herramientas de productividad sofisticadas que son
típicamente parte de los sistemas operativos sofisticados, por ejemplo software para recuperación de
datos o software para comparación de códigos. Como en el caso anterior estas herramientas no son
específicamente diseñadas para usos de auditoría. Existen en el mercado una gran variedad de este tipo
de herramientas como por ejemplo los que permiten controlar las versiones de un sistema.
e) Rutinas de Auditoría en Programas de aplicación. Módulos especiales de recolección de información
incluidos en la aplicación y diseñados con fines específicos. Se trata de módulos que permiten obtener
pistas de auditora en muchos casos generados a través de triggers programados en las propias bases de
datos

Documentación de CAAT  

Una descripción del trabajo realizado, seguimiento y las conclusiones acerca de los resultados de los
CAAT deben estar registrados en los papeles de trabajo de la auditoría. Las conclusiones acerca del
funcionamiento del sistema de información y de la confiabilidad de los datos también deben estar
registrados en los Papeles de Trabajo de la auditoría.

El proceso paso a paso de los CAAT debe estar documentado adecuadamente para permitir que el
proceso se mantenga y se repita por otro auditor de sistemas de información.

Los PT’s deben contener la documentación suficiente para describir la aplicación de los CAAT
incluyendo los detalles como:

Planificación, objetivos de los CAAT , CAAT´s a utilizar, Los controles a implementar,

El personal involucrado, el tiempo que tomará y los costos.

La documentación debe incluir:

- Los procedimientos de la preparación y la prueba de los CAAT y los controles relacionados, Los detalles
de las pruebas realizadas por los CAAT, Los detalles de los input (ejemplo: los datos utilizados, esquema
de archivos), el procesamiento (ejemplo: los diagramas de flujo de alto nivel de los CAAT, la lógica).

- Evidencia de auditoría: el output producido (ejemplo: archivos log, reportes).

- Resultado de la auditoría.

- Conclusiones de la auditoría.

- Las recomendaciones de la auditoría.

Tipos de herramientas CAAT

1.- IDEA Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar a cabo
muestreos y extraer archivos de datos desde cualquier origen ordenadores centrales a PC, incluso
reportes impresos. IDEA es reconocido en todo el mundo, como un estándar en comparaciones con otras
herramientas de análisis de datos, ofreciendo una combinación única en cuanto a poder de funcionalidad
y facilidad de uso.

2.- ACL Es una herramienta CAAT enfocada al acceso de datos, análisis y reportes para auditores y
profesionales financieros. No es necesario ser un especialista en el uso de CAAT. Posee una poderosa
combinación de accesos a datos, análisis y reportes integrados, ACL lee y compara los datos permitiendo
a la fuente de datos permanecer intacta para una completa integridad y calidad de los mismos. ACL
permite:

 Análisis de datos para un completo aseguramiento.

 Localiza errores y fraudes potenciales.

 Identifica errores y los controla.

 Limpia y normaliza los datos para incrementar la consistencia de los resultados.

 Realiza un test analítico automático y manda una notificación vía e-mail con el resultado.

ACL Brinda una vista de la información de la organización y habilita directamente el acceso a búsquedas
de cualquier transacción, de cualquier fuente a través de cualquier sistema. Ahorra tiempo y reduce la
necesidad de requerimiento de información a departamentos de TI muy ocupados.

3.- AUTO AUDIT Es un sistema completo para la automatización de la función de Auditoría, soportando
todo el proceso y flujo de trabajo, desde la fase de planificación, pasando por el trabajo de campo, hasta
la preparación del informe final. Además del manejo de documentos y papeles de trabajo en forma
electrónica, Auto Audit permite seguir la metodología de evaluación de riesgos a nivel de entidad o de
proceso, la planificación de auditorías y recursos, seguimiento de hallazgos, reportes de gastos y de
tiempo, control de calidad, y cuenta con la flexibilidad de un módulo de reportes “ad hoc”. Todos estos
módulos están completamente integrados y los datos fluyen de uno a otro automáticamente.

4.- AUDICONTROL APL (audisis) La metodología AUDICONTROL APL fue creada para apoyar el
trabajo de:

Analistas y Desarrolladores de Sistemas, Departamentos de Organización y Métodos, Auditores de

Sistemas, Departamentos de Control Interno, Administradores de Seguridad en Procesamiento
electrónico de datos, Administradores de Riesgos.

5.- AUDIMASTER de Pervasive, es una solución de supervisión de transacciones a nivel de base de

datos. Este sistema controla e informa de toda la actividad que tiene lugar en una base de datos
Pervasive.SQL.

La tecnología de AuditMaster consiste en capturar las operaciones que se realizan en la base de datos y
escribirlas en un archivo de registro. AuditMaster se divide en tres componentes:

 Gestor de eventos (Log event handler) Actúa como una especie de “caja negra” que captura y
escribe en un registro de seguimiento todas las actividades que se llevan a cabo en la base de
 datos.

 Base de datos de registro (Log database): El archivo principal de registro contiene toda la
información de seguimiento, por ejemplo, la identificación de usuario, la identificación de la estación
de red, el tiempo y la fecha de la operación, el nombre de aplicación, el nombre de la tabla de la
base de datos y el tipo de operación. Además, el archivo crea imágenes, antes y después de la
transacción, a efectos de actualización de los registros. Cada vez que un usuario modifica algún
dato, AuditMaster escribe en el registro tanto el valor antiguo como el nuevo.

 Visor de registros (Log viewer): Permite hacer consultas a la base de datos de registro, lo que
permite que un administrador de seguridad compruebe las actividades realizadas y analice patrones
y tendencias.

6.- DELOS Delos es un sistema experto que posee conocimientos específicos en materia de auditoría,
seguridad y control en tecnología de información. Este conocimiento se encuentra estructurado y
almacenado en una base de conocimiento y puede ser incrementado y/o personalizado de acuerdo con
las características de cualquier organización y ser utilizado como una guía automatizada para el
desarrollo de actividades específicas. Delos es una herramienta que fue diseñada pensando en
empresas, organizaciones y profesionistas que deseen incrementar los beneficios derivados de la
tecnología de información a través de actividades relacionadas con auditoría, seguridad y control en TI.

EN RESUMEN TENEMOS DIVERSAS IMPLEMENTACIONES DE TAACS MEDIANTE:

DATOS DE PRUEBA

PRUEBA INTEGRADA

SIMULACIÓN PARALELA

SOFTWARE GENERAL DE AUDITORÍA

SOFTWARE DE AUDITORÍA A LA MEDIDA

RUTINAS DE AUDITORÍA EN PROGRAMAS DE APLICACIÓN

ARCHIVO DE REVISIÓN DE AUDITORÍA

REGISTROS EXTENDIDOS

TRAZADO
MAPEO

COMPARACIÓN DE CÓDIGO