Estrategia de TI, seguridad informática,

pruebas de auditoría
Unidad N° 3
Clase 2
Técnicas particulares para la realización de pruebas de
auditoría
Análisis de Datos
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Análisis de Datos

• Permite identificar errores, inconsistencias y/o incongruencias de

información en las bases de datos, las cuales pueden generarse por la
omisión y/o el incumplimiento de los controles definidos e
implementados.
• Complementa y/o facilita la evaluación de los circuitos administrativos
como así también la realización de auditorías operativas y de sistemas.
• Permite generar estadísticas específicas no provistas por los sistemas.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

TAACs

• En inglés C.A.A.T.s
-Computer Assited Auditing Techniques
• En español T.A.A.C.s
-Técnicas de Auditoría Asistida por Computadora

Las Técnicas de Auditoría Asistidas por Computador son todas aquellas

pruebas o comprobaciones realizadas en una auditoría con la ayuda de
herramientas informáticas.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

TAACs

• Permiten eficientizar los resultados de las comprobaciones, en

comparación con la realización de pruebas manuales.
• Las TAAC se convierten paulatinamente en una herramienta del
auditor en general, dejando de pertenecer solo al auditor de
sistemas.
• Para la documentación y resguardo de evidencia, deben seguirse
pasos similares a los seguidos en otros tipos de pruebas, pero
considerando algunos aspectos particulares.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Cuándo utilizar las TAACs

Auditorías de Alto Riesgo.

Insuficiente cobertura después de pruebas sustantivas o de
cumplimiento.
Identificación de fraudes o inconsistencias de datos.
Gran volumen de información.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

TAACs
Ejemplos
Cuentas a Cobrar Inventarios
• Antigüedad del balance de deuda (Aging). • Identificar nivel de stock de productos nuevos,
discontinuados, etc.
• Identificar débitos y créditos pendientes por cliente.
• Antigüedad de inventario para centrarse en ítems
• Analizar faltantes y duplicados de número de facturas. posiblemente obsoletos o de poco movimiento.
• Calcular saldos totales de clientes. • Listado de ítems de inventario negativo o sin valores
o sin cantidades.
Cuentas a Pagar • Identificar ítems con números de serie duplicados.
• Identificar los pagos y facturas de compras con montos
superiores a cierto importe y conciliarlos con los datos
de la cuenta corriente.
• Comparar el total de compras de cada proveedor con los
años anteriores.
• Realizar procedimientos de control de corte.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Pruebas sobre datos

• Las pruebas, en general, se complementan con una revisión operativa de
una muestra de los expedientes relacionados con la información contenida
en el archivo, comparando:

 una muestra de expedientes contra el archivo.

 una muestra de datos contra los expedientes.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

TAACs

Beneficios
• Aumentar el alcance de la auditoría al permitir validar el universo y no sólo de
pequeñas muestras, disminuyendo así el riesgo de no detección de los problemas
• Mejorar la calidad de las actividades realizadas. Resultados ampliados, “más jugosos”,
que permiten recomendaciones más contributivas.
• Mejorar la relación costo-beneficio del esfuerzo aplicado al trabajo de auditoría.
• Mejorar el entendimiento de cómo funcionan actualmente los sistemas.
• Mayor eficacia en la ejecución de pruebas de gran volumen y/o complejidad.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Enfoque de análisis de datos

 Planeamiento  Planear el trabajo antes de comenzar

 Obtención de datos
 Verificación de integridad
 Análisis de los datos
 Documentación de resultados
 Formular objetivos claros
 Establecer el alcance del trabajo
 Identificar las funcionalidades y comandos que darán
soporte a las pruebas a realizar

Verificación de Documentación de
Planeamiento Obtención de datos Análisis de datos
integridad resultados
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Enfoque de análisis de datos

• Identificar archivos de datos disponibles en conjunto con
 Planeamiento personal de sistemas
 Obtención de datos
 Verificación de integridad • Efectuar la solicitud de información

 Análisis de los datos • Recepción de datos

 Documentación de resultados • Crear el proyecto
• Importar datos
• Verificar el diseño de registros (formato). Para ello
verificar el formato del mismo y su longitud.

Verificación de Documentación de
Planeamiento Obtención de datos Análisis de datos
integridad resultados
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Enfoque de análisis de datos

 Planeamiento • Realizar pruebas para asegurar que la información en los

 Obtención de datos archivos proveerá datos válidos:

 Verificación de integridad •Verificar que el archivo no se encuentre dañado o alterado.

 Análisis de los datos
 Documentación de resultados
•Verificar campos recibidos vs campos solicitados.
•Validar el Archivo vs. el Reporte de Resumen, en cuanto a:
•Total de Registros
•Totales de Control

Verificación de Documentación de
Planeamiento Obtención de datos Análisis de datos
integridad resultados
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Enfoque de análisis de datos

La Integridad de los datos significa que las tablas contienen:

 Todos los datos y solo los datos que solicitó.

 Campos computados que proporcionan valores correctos.
 Sólo registros únicos.
 Sólo fechas válidas.
 Datos en los campos donde se espera que los haya.
 Tipo de datos de acuerdo con el diseño.
 Relaciones de campos que se consideren coherentes y lógicas.
Si las tablas no reúnen estos requisitos,
el análisis puede basarse en premisas incorrectas,
lo que probablemente haga que los resultados y
recomendaciones no sean válidos.
Verificación de
integridad
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Enfoque de análisis de datos

Integridad de los datos: orígen de los posibles errores
 Entrada: un empleado puede ingresar datos erróneos o inválidos, omitir elementos o incluir elementos no
deseados.
 Procesamiento: los datos de origen pueden presentar defectos que se detectaron en sus definiciones de campo
o expresiones.
 Extracción: al recibir una solicitud de datos, el responsable del sistema puede malinterpretar los parámetros.
 Conversión: dado que varias aplicaciones no pueden leer ciertos caracteres, los programadores convierten los
datos en ACII.
 Transmisión: el modo de transmisión, ya sea por medio de una red o por otro medio pude dañar los datos.
 Definición: el formato de tabla creado para aceptar los datos de origen pueden no estar definidos
adecuadamente.
Estos posibles errores pueden alterar el origen de los datos, produciendo un análisis poco confiable y
obteniendo resultados poco fiables.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Enfoque de análisis de datos

 Planeamiento • Ejecutar comandos para analizar información e

identificar excepciones utilizando expresiones
 Obtención de datos y variables de acuerdo a las necesidades.

 Verificación de integridad
 Análisis de los datos
 Documentación de resultados

Verificación de Documentación de
Planeamiento Obtención de datos Análisis de datos
integridad resultados
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Enfoque de análisis de datos

 Planeamiento • Documentar detalladamente el trabajo realizado y

resguardar la evidencia.
 Obtención de datos
• Documentar los resultados obtenidos (modelo
 Verificación de integridad adjunto).
 Análisis de los datos
 Documentación de resultados

Verificación de Documentación de
Planeamiento Obtención de datos Análisis de datos
integridad resultados
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Modelo para documentación de resultados

Propósito de la Fecha de Resultado Resultado

Observaciones
prueba ejecución Esperado Obtenido
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

TAACs

Herramientas
Herramientas genéricas de manejo de datos
 Excel.

 Access.

 Querys (realizados directamente con el motor de base de datos).

Herramientas específicas de Análisis de datos

 ACL.

 IDEA.

 Monarch.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Herramientas genéricas de manejo de datos: MS Excel

• Posibilidad de alterar accidental o intencionalmente la información analizada

(ej. borrar el contenido de una celda).
• Restringido en los volúmenes de datos que puede procesar (en algunas
versiones solo permite hasta 65.536 registros).
• Convierte los datos al accederlos.
• Número limitado de formatos de archivos para procesar.
• Dificultad en el seguimiento de las tareas realizadas (fórmulas).
• Número limitado de comandos predefinidos para el análisis de datos.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Herramientas genéricas de manejo de datos: MS Access

• Posibilidad de alterar accidental o intencionalmente la información analizada

(ej. borrar un registro).
• Soporta procesamientos de gran volumen de datos.
• Es necesario convertir los datos al formato Access.
• Posee escasa variedad de tipos de pruebas de análisis de datos predefinidas.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Herramientas genéricas de manejo de datos: ACL Analytics

Analytics
• Imposibilidad de modificar los datos originales recibidos.
• Efectivo para procesamientos de gran volumen de datos.
• No es necesario una conversión previa de los datos (incluso puede leer datos
habitualmente no accesibles desde sistemas PC, ej. EBCDIC y Packed Number).
• Gran gama de tipos de análisis de datos predefinidos disponibles para ser
ejecutados.
• Registración de tareas realizadas: Log.
• Posibilidad de automatización de trabajos recurrentes.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

ACL Analytics
Con el objetivo de disponer de herramientas de auditoría que permitan
desarrollar e implementar más y mejores controles, SIGEN utiliza el software
ACL para el para el análisis de datos dentro del Sector Público Nacional.

Esto permite:

 Modernizar la ejecución de labores de SIGEN y las UAIs mediante la

incorporación de tecnología.
 Homogeneizar / unificar lenguajes y herramientas entre SIGEN y las UAI.
 Maximizar el aprovechamiento de los productos, provocando un salto
cuantitativo y cualitativo en los trabajos de análisis que se realizan.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

¿Qué se puede hacer con ACL?

Visualizar, procesar y analizar datos. Detectar registros duplicados o
Importar/exportar archivos hacia/ faltantes.
desde distintas bases de datos. Estratificar y calcular estadísticas para
Construir nuevos campos computados campos numéricos.
en la base de datos. Generar sumarizaciones y conteo de
Identificar los registros que cumplen registros.
con una determinada condición. Ordenar los datos de un archivo.
Verificar la exactitud de los datos,Unir archivos a través de campos
recálculo de totales. claves.
Verificar la secuencialidad de losComparar archivos para identificar
registros. similitudes y diferencias.
 Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

ACL: Aplicaciones Práticas

• Auditorías
 Reprocesamiento de sistemas (por ej, recálculo de la facturación, proceso de lavado de
dinero, etc.).
 Pruebas de controles aplicativos.
 Selección de muestras.
 Análisis de excepciones.

• Otros
 Conversión de datos en migraciones de sistemas.
 Calidad de Datos / Revenue Assurance.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

ACL: Factores de éxito

Entendimiento del flujo de la información de la organización y de la

documentación del sistema y de las bases de datos.
Asegurarse que las bases de datos recibidas son las correctas y necesarias y
corresponden al período solicitado.
Conocimiento de la capacidades de la herramienta.
Validar los resultados obtenidos.
Adecuada documentación de la tarea realizada y de los resultados.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría

Comentario Final

Hoy en día prácticamente todos los procesos tienen

apoyo en algún sistema informático.
El objetivo es contemplar en el plan de cada
auditoría el análisis de los datos de esos sistemas.