rea: AUDITORA

Contenido:

IX

INFORME ESPECIAL
Tcnicas de Auditora Asistidas por Computador (TAAC) - Computer Assisted Audit
Techniques (CAATs) ................................................................................................................................................................... IX-1

Tcnicas de Auditora Asistidas por Computador (TAAC) Computer Assisted Audit Techniques (CAATs)

1. Necesidad de una Gua

Las Tcnicas de Auditora Asistidas por
Computador (TAAC) -Computer Assisted
Audit Techniques (CAATs)- son herramientas importantes para la realizacin de
auditora por parte del auditor. Las TAAC incluyen muchos tipos de herramientas y tcnicas, tales como el software genrico de
auditora, programas utilitarios, ensayos con
datos de prueba, anlisis de trazabilidad y
anlisis de correspondencia de aplicaciones
(application software tracing and mapping),
y la utilizacin de sistemas expertos para la
auditora. Las TAAC pueden ser empleadas
en la ejecucin de mltiples procedimientos de auditora, tales como:
Pruebas de detalles de transacciones y
saldos.
Procedimientos de revisin analtica.
Pruebas de cumplimiento de controles
generales de sistemas informticos (SI).
Pruebas de cumplimiento de controles de aplicacin de SI.
Pruebas de penetrabilidad.
Las TAAC pueden producir un gran porcentaje de toda la evidencia de auditora
obtenida en las auditoras. Como consecuencia, el auditor deber planificar cuidadosamente su uso y aplicar el debido
cuidado profesional.
2. Planificacin
Factores de Decisin para el Empleo
de TAAC
En la planificacin de la auditora, el auditor debe considerar una adecuada combinacin de tcnicas manuales y TAAC.
Los factores a tener en cuenta para decidir el empleo de TAAC incluyen:
Conocimientos informticos, familiaridad y experiencia del auditor.
Disponibilidad de TAAC e instalaciones informticas.
Eficiencia y eficacia comparativa de las
TAAC respecto de las tcnicas manuales.

Restricciones de tiempo. Integridad del

SI y del entorno informtico.
Nivel de riesgo de auditora.
Fases de Planificacin para el Empleo
de TAAC
Los pasos principales que debe llevar a
cabo el auditor interno en su preparacin para la aplicacin de las TAAC seleccionadas son los siguientes:
Establecer los objetivos de auditora
de las TAAC.
Determinar la accesibilidad y disponibilidad de las instalaciones informticas
de la organizacin, sus programas, sistemas y datos.
Definir los procedimientos a llevar a
cabo (por ejemplo, muestreo estadstico, reclculos, confirmaciones, etc.).
Definir los requisitos de salida de resultados.
Determinar las caractersticas de los recursos a emplear; por ejemplo, personal, TAAC, entorno de proceso (instalaciones informticas de la organizacin o de auditora).
Obtener acceso a las instalaciones
informticas de la organizacin, sus
programas, sistemas y datos, incluyendo las descripciones de archivos.
Documentar las TAAC a utilizar, incluyendo objetivos, flujogramas de niveles
superiores e instrucciones de ejecucin.
Acuerdos con el Auditado
Los archivos de datos, tales como los archivos de transacciones, son frecuentemente conservados por un breve periodo
de tiempo. Teniendo en cuenta esto, el
auditor debe realizar los acuerdos que
garanticen la retencin de los datos por
el periodo que abarque la auditora. El
acceso a las instalaciones informticas de
la organizacin, sus programas y sistemas, y sus datos, deben ser previstos y
acordados con la suficiente antelacin de
modo de minimizar los efectos en el entorno de produccin de la organizacin.
El auditor debe evaluar los efectos que
los cambios en los programas y sistemas
de produccin puedan tener en las TAAC,
as como la integridad de los programas,
sistemas y datos utilizados por el auditor.

Prueba de las TAAC

El auditor debe obtener aseguramiento
razonable
de
la
integridad,
confiabilidad, utilidad y seguridad de las
TAAC mediante la adecuada planificacin, diseo, prueba, proceso y revisin
de la documentacin. Esto debe ser realizado antes de basar ningn trabajo en
las TAAC. La naturaleza, oportunidad y
alcance de las pruebas depender de la
disponibilidad comercial y estabilidad de
las TAAC.
Seguridad de los Datos y las TAAC
Cuando se empleen TAAC para extraer
informacin para su posterior anlisis,
el auditor deber verificar la integridad
del sistema de informacin y del entorno informtico del cual se extraen los
datos. Las TAAC pueden utilizarse para
extraer informacin de programas y sistemas de naturaleza sensitiva que deben conservar su confidencialidad. El
auditor deber proteger dicha informacin con el nivel de confidencialidad y
seguridad apropiado. Para llevar a cabo
lo mencionado, el auditor debe considerar el nivel de confidencialidad y seguridad requerido por la organizacin
propietaria de los datos y toda legislacin relevante al respecto. El auditor debe
utilizar y documentar los resultados de
los procedimientos apropiados que garanticen el mantenimiento de la integridad, confiabilidad, utilidad y seguridad
de las TAAC. Esto puede incluir, por ejemplo, una revisin de los controles de
mantenimiento de aplicaciones y cambios en los mdulos de auditora incluidos en sistemas y aplicaciones, para determinar que slo se efectan en las
TAAC los cambios debidamente autorizados. Cuando las TAAC se encuentren
en un entorno que escape al control del
auditor, debe existir un nivel de control
suficiente que permita identificar los
cambios. Si las TAAC son modificadas,
el auditor deber asegurarse de su integridad, confiabilidad, utilidad y seguridad mediante la planificacin, diseo,
pruebas, ejecucin y revisin de documentacin, antes de depositar en ellas
confianza alguna.

A C T U A L I D A D E M P R E S A R I A L | N . 104

E
S
P
E
C
I
A
L

P R I M E R A Q U I N C E N A - F E B R E R O 2006

Mg. Armando Villacorta Cavero

Presidente del Instituto de Auditores
Internos del Per

I
N
F
O
R
M
E

1:-1

IX

INFORME ESPECIAL

3. Realizacin del Trabajo de

Auditora
Obtencin de Evidencia de Auditora
La utilizacin de TAAC debe estar controlada en todo momento por el auditor, para
proporcionar garanta razonable de que se
cumplen los objetivos de auditora y las especificaciones de las TAAC. El auditor debe:
Efectuar una conciliacin de totales de
control, si es necesario.
Revisar la razonabilidad de los resultados de salida.
Efectuar una revisin de la lgica,
parmetros u otras caractersticas de
las TAAC.
Revisar los controles informticos de
la organizacin que pueden contribuir
a la integridad de las TAAC (por ejemplo: controles de cambios de programas y accesos al sistema, programas y
archivos de datos).
Software Genrico de Auditora
Cuando se emplee software genrico de
auditora para acceder a los datos de produccin, el auditor deber tomar las medidas adecuadas para proteger la integridad de los datos de la organizacin. En
los mdulos de auditora incluidos en sistemas y aplicaciones, el auditor debe participar en el diseo del sistema, y las tcnicas tendrn que ser desarrolladas y
mantenidas dentro de los programas y
sistemas de aplicacin de la organizacin.

P R I M E R A Q U I N C E N A - F E B R E R O 2006

Programas Utilitarios
Cuando se emplean programas utilitarios,
el auditor debe asegurarse de que no se
hayan realizado acciones no planificadas
durante el procesamiento y que el software
utilitario haya sido obtenido de las libreras
del sistema apropiadas. Adems, el auditor
debe tomar las medidas necesarias para
proteger la integridad de los sistemas y archivos de la organizacin, dado que estos
utilitarios pueden daarlos fcilmente.
Datos de Prueba
Cuando se empleen datos de prueba, el
auditor debe tener en cuenta que los mismos slo permiten descubrir el potencial
de errores de procesamiento. Esta tcnica no evala datos de produccin reales.
El auditor tambin tiene que considerar
que los anlisis con datos de prueba pueden ser extremadamente complejos y demandar una gran cantidad de tiempo,
dependiendo de la cantidad de transacciones procesadas, la cantidad de programas verificados y la complejidad de los
programas y sistemas. Antes de utilizar
datos de prueba, el auditor debe verificar
que los mismos no afectarn de manera
permanente al sistema en produccin.
Anlisis de Trazabilidad y Anlisis de Correspondencia de Aplicaciones
(Application Software Tracing and
Mapping)
Cuando se empleen tcnicas de anlisis

1:-2

INSTITUTO PACFICO

de trazabilidad y de correspondencia de
aplicaciones, el auditor debe confirmar
que el cdigo fuente evaluado ha generado el programa objeto en produccin.
El auditor debe considerar que las tcnicas de anlisis de trazabilidad y correspondencia slo descubren el potencial de
procesamiento errneo, y no evalan datos de produccin reales.
Sistemas Expertos de Auditora
Cuando se empleen sistemas expertos de
auditora el auditor debe estar suficientemente familiarizado con el funcionamiento del
sistema a fin de garantizar que las estructuras de decisin seguidas son las adecuadas
para ese entorno o situacin de auditora.
4. Documentacin de las TAAC
Papeles de Trabajo
Todos los pasos del empleo de TAAC deben estar suficientemente documentados
para proporcionar la evidencia de auditora
adecuada. Especficamente, los papeles
de trabajo deben contener suficiente documentacin que describa la aplicacin
de las TAAC, incluyendo los detalles que
se sealan en las siguientes secciones.
Planificacin
La documentacin debe incluir:
Objetivos de las TAAC.
TAAC a emplear.
Controles a ejercer.
Dotacin de personal y tiempo.
Ejecucin
La documentacin debe incluir:
Preparacin de las TAAC y procedimientos de pruebas y controles.
Detalle de las pruebas efectuadas mediante TAAC.
Detalles de las entradas (por ejemplo:
datos utilizados, estructura de archivos), procesamiento (por ejemplo:
flujogramas de nivel superior de las
TAAC, lgica) y salidas de resultados
(por ejemplo, archivos de log, informes).
Listado de parmetros o cdigos fuente relevantes.
Evidencia de Auditora
La documentacin debe incluir:
Resultados producidos.
Descripcin de los anlisis de auditora
efectuados sobre los resultados.
Hallazgos de auditora.
Conclusiones de auditora.
Recomendaciones de auditora.
5. Informe
Descripcin de las TAAC
La seccin del informe referida a objetivos, alcance y metodologa debe contener

una clara descripcin de las TAAC utilizadas. Esta descripcin no debe ser excesivamente detallada, pero debe proporcionar
un buen resumen para el lector. La descripcin de las TAAC utilizadas tambin
debe incluirse en el cuerpo principal del
informe, donde se coloca el hallazgo especfico relacionado con el uso de las TAAC.
Si la descripcin de las TAAC utilizadas es
aplicable a varios hallazgos o es demasiado detallada, debe mencionarse brevemente en la seccin del informe referida
a objetivos, alcance y metodologa, y tratarse en mayor detalle en un anexo.
Anexo - Glosario
Anlisis de Trazabilidad y Anlisis de Correspondencia de Aplicaciones (Application
Software Tracing and Mapping): Son herramientas especializadas que pueden utilizarse para
analizar el flujo de datos mediante el proceso
de lgica del software de aplicacin y la documentacin de la lgica, caminos, condiciones
de control y secuencias de proceso. Tanto el
lenguaje de comando o declaraciones de control de trabajos y el lenguaje del programa
pueden ser analizados. Esta tcnica incluye programas y sistemas: mapeo, trazabilidad, instantneas, simulaciones en paralelo y comparaciones de cdigo.
Sistemas Expertos de Auditora (Audit
Expert Systems):Sistemas de soporte de decisiones o expertos que pueden utilizarse para
asistir a los auditores en el proceso de toma de
decisiones mediante la automatizacin de los
conocimientos de expertos en el campo. Esta
tcnica incluye anlisis de riesgos automatizados, software de sistemas y paquetes de software de objetivos de control.
Tcnicas de Auditora Asistidas por Computador TAAC (Computer Assisted Audit.
Techniques CAATs): Cualquier tcnica automatizada de auditora, tal como software genrico de
auditora, software utilitario, datos de prueba, anlisis
de trazabilidad y anlisis de correspondencia de
aplicaciones (application software tracing and
mapping), y sistemas expertos de auditora.
Software Genrico de Auditora: Un programa de computacin o una serie de programas diseados para realizar determinadas funciones automatizadas. Estas funciones incluyen
la lectura de archivos de computacin, seleccin
de datos, manipulacin de datos, clasificacin
de datos, resumen de datos, realizacin de clculos, seleccin de muestras e impresin de informes o cartas en un formato especificado por
el auditor. Esta tcnica incluye software adquirido o preparado para propsitos de auditora, y
software incluido en sistemas de produccin.
Datos de Prueba: Transacciones simuladas que
pueden utilizarse para probar la lgica del proceso, clculos y controles realmente programados en aplicaciones informticas. Programas individuales o un sistema completo que puede
ser probado. Esta tcnica incluye Instalaciones
de Prueba Integradas (Integrated Test Facilities ITFs) y Evaluaciones de Sistemas de Caso Base
(Base Case System Evaluations - BCSEs).
Software Utilitario: Programas inform-ticos
proporcionados por un proveedor de hardware
informtico o un proveedor de software y utilizados en la ejecucin del sistema. Esta tcnica
puede ser utilizada para examinar la actividad de
procesamiento, probar programas, actividades
del sistema y procedimientos operativos, evaluar
la actividad de archivos de datos, y analizar datos contables de trabajo.