You are on page 1of 44

Auditoría de

aplicaciones
usando CAAT’s
y otras técnicas

Auditoría de Sistemas y Legislación


Noviembre de 2008
Introducción
• El núcleo del proceso de auditoría es
analizar los controles para determinar si
son adecuados o necesitan ser mejorados.

• Algunas tareas del proceso, como


planificación, desarrollo y documentación
consumen un tiempo significante.
Beneficios de la automatización
• Reduce el tiempo para completar los
análisis de auditoría, testeos, reportes...
• Aumenta la cobertura de controles,
reduciendo el tiempo dedicado a tareas
manuales.
• Provee mayor flexibilidad y respuesta al
cambio.
• Provee servicios de auditoría de calidad,
gracias a un conjunto estándar de
herramientas y procedimientos de
auditoría.
Beneficios de la automatización
• Monitoreo permanente de las aplicaciones.
• Manejo centralizado del staff de trabajo,
gracias a tener los productos en línea para
revisiones inmediatas.
Herramientas de TI
• La computadora es una herramienta
importante para la función de auditor.
• Se pueden distinguir dos categorías de
herramientas de software:
– Herramientas de productividad: ayudan a
reducir la cantidad de tiempo dedicada a
tareas administrativas.
– CAAT’s (Computer-Assisted Audit Tools):
ayudan a evaluar los controles del SW y a
seleccionar y analizar los datos para los tests.
Herramientas de TI

1. Herramientas de productividad
2. CAAT’s
Herramientas de productividad
• La tecnología puede ser usada como
parte del proceso de auditoría en las
siguientes actividades:

– Planificación,
– Documentación y presentación,
– Comunicaciones,
– Manejo de los datos,
– Groupware.
Planificación
• Planificar y llevar adelante las auditorías
anuales, usando planillas de cálculo, BD y
SW de manejo de proyectos.
Documentación y presentación
• Documentación y presentación usando
procesadores de texto, herramientas de
diagramas de flujo y SW de gráficos,
provistos por suites de SW como:

– Microsoft Office
– OpenOffice
– Lotus SmartSuite
Comunicaciones
• Facilitar la operación del auditor como
parte de un grupo de trabajo, gracias a:

– Información en línea,
– Mensajes electrónicos,
– Capacidad de revisión en línea,
– Trabajo sobre terminales remotas.
Manejo de los datos
• Gracias a la conectividad, el auditor puede
acceder e introducir información a un
repositorio central.
• Se pueden desarrollar aplicaciones de BD
para consolidar información automática-
mente de todas las funciones de auditoría.
Manejo de los datos
• Las BD pueden contener información
fundamental como:
– Áreas de riesgo,
– Programas de auditoría
– Hallazgos anteriores,
– Acciones correctivas,
– Lecciones aprendidas,
– Estándares de la industria,
– Prácticas aconsejadas,
– Etc.
Manejo de los datos
• Esa información puede estar disponible
para consulta cuando sea requerida.
• Permite realizar búsquedas automatizadas
en grandes volúmenes de datos.
• Provee acceso inmediato a datos
históricos, evitando tener que “reinventar
la rueda”.
Groupware
• Es una herramienta especializada que
permite a los equipos trabajar más rápida
y eficientemente, comunicarse, completar
tareas.
• Ejemplos:
– Videoconferencias, aplicaciones de voz,
– Herramientas de trabajo distribuido,
– E-mail y bulletin-boards,
– Calendarios de grupo,
– Etc.
Herramientas de TI

1. Herramientas de productividad
2. CAAT’s
Uso de CAAT’s en auditoría
• Las técnicas automáticas son mejores que
las manuales, porque permiten evaluar
más rápidamente volúmenes de datos
más grandes, y realizar análisis de datos
usando una óptica más amplia.
Documentación de las CAAT’s
• El proceso de utilización de las herramientas CAAT
debe estar correctamente, y suficientemente
documentado para poder ser utilizado como
evidencia en los resultados obtenidos de la auditoría.
• Existen distintos aspectos a ser documentados, como
ser:
– Objetivos de las CAAT
– CAAT a utilizarse
– Controles a ser aplicados
– Preparación y testeo de los procedimientos y
controles de las CAAT
– Detalle de los testeos realizados
Factores para usar CAAT’s
• Cuando se determina utilizar CAAT los factores a
considerar son los siguientes:
– Conocimientos computacionales, y experiencia
del auditor de sistemas de información.
– Disponibilidad de los CAAT y de los sistemas de
información.
– Eficiencia y efectividad de utilizar los CAAT en
lugar de las técnicas manuales
– Restricciones de tiempo
– Nivel de riesgo de la auditoría
Herramientas disponibles
• Hay diferentes herramientas para
seleccionar, analizar, y evaluar la
integridad de los datos, o identificar
tendencias en la información.
• Estas herramientas varían desde Excel, a
herramientas dedicadas como ser IDEA y
ACL.
SW generalizado de Auditoría
• Puede ser usado para:
– Analizar y comparar archivos,
– Muestreos aleatorios,
– Validar cálculos,
– Preparar cartas de confirmación,
– Etc.
Uso de las herramientas CAAT
en la auditoría
Uso de CAAT’s en auditoría
• CAAT’s pueden ser usadas de muchas
maneras para:
– Evaluar la integridad de una aplicación,
– Determinar el cumplimiento de
procedimientos,
– Monitorear permanentemente los resultados.
• Para realizar testeos de aplicaciones y
datos.
Testeo de aplicaciones
• Se puede contribuir a la verificación de la
efectividad de controles existentes:
– Inyectando un conjunto de datos de prueba,
cuyo output esperado es conocido, para
verificar que la aplicación funciona
correctamente,
– Desarrollando programas independientes con la
misma lógica de la aplicación auditada,
– Evaluando los resultados de las aplicaciones.
Cuestiones del diseño de los testeos
de controles
• Reproducir una aplicación puede ser muy
costoso, además que la aplicación
simulada debe ser también testeada para
poder confiar en los resultados...

• Se debe considerar duplicar sólo


parcialmente la lógica, para testear
funciones clave.
Análisis de los datos
• Se pueden usar las CAAT’s para:
– Buscar valores inválidos o combinaciones de
valores que hagan posible detectar
debilidades de los controles o posible fraude.
– Unificar archivos para una comprensión
mayor de la información,
– Chequear duplicación de datos,
– Etc.
Testeos de cumplimiento
• Los auditores de SI pueden tener que
determinar el cumplimiento con
determinados procedimientos.

• Puede lograrse desarrollando programas


que detecten datos fuera de los valores
esperados.
Monitoreo continuo
• Pueden crearse módulos especiales,
embebidos en la aplicación, para capturar
y analizar continuamente la información
producida.

• Valores erróneos pueden ser detectados y


reportados automáticamente.
Controles de aplicaciones soporte
• Aplicaciones soporte son las utilizadas por
el auditor.

• Los auditores deben aplicar los mismos


estándares que recomiendan a los demás
a sus propias aplicaciones.

• Deben considerarse:
– Controles a las planillas de cálculo
– Controles a las BD
Controles a planillas de cálculo
• Los riesgos asociados a las planillas de
cálculo pueden ser significantes, en
función de la influencia en la toma de
decisiones.

• Riegos:
– Falta de confiabilidad
– Falta de auditabilidad
– Falta de modificabilidad
Controles a planillas de cálculo
• Los auditores usan las planillas de cálculo
para recolectar y analizar información.
• Si las planillas son reutilizadas en
sucesivas auditorías, debe tenerse
confianza en las mismas. Los controles
son indispensables.
• Los controles incluyen: análisis, diseño,
documentación, verificación de la lógica
usada, etc.
Controles a BD
• Las BD deben ser protegidas con
controles para evitar cambios no
autorizados.
• Una vez creada, la BD debe ser
mantenida en un directorio separado y con
permiso “execution-only”.
• Se deben determinar los permisos de
acceso de usuarios a determinadas
tablas.
Controles a BD
• Las pantallas de input deben incluir
controles de edición, para limitar los datos
de entrada a opciones válidas (controles
de tipo preventivo).
Funciones de auditoría
• Gran parte de las habilidades profesionales
requeridas para usar CAAT’s se basan en
entender y aplicar las funciones de
auditoría apropiadas.
• Como ejemplo, presentamos algunas
funciones típicas de auditoría:
– Ítems de interés auditable,
– Matemática para la auditoría,
– Análisis de datos.
Ítems de interés auditable
• El auditor puede servirse de la computadora
para seleccionar ítems materiales, ítems
inusuales o muestras estadísticas.
• Para seleccionar ítems de interés auditable,
el auditor puede:
– Estipular un criterio específico de selección,
– Definir un criterio relativo y dejar que la
computadora se encargue de la selección.
Matemática para la auditoría
• Los cálculos necesarios pueden ser
realizados sobre todos los ítems de un
archivo sin requerir un tiempo significativo
de procesamiento.
• Hay que tener en cuenta que la
computadora tiene ciertas limitaciones en
este área. Ej: no se puede reemplazar el
juicio humano en la examinación de ítems
y realización de tests.
Análisis de los datos
• La computadora puede comparar y resumir
datos, y mostrarlos de forma gráfica.
• Los programas de análisis de datos usan
técnicas como:
– Histogramas
– Modelado: comparación de los datos con patrones
determinados.
– Análisis comparativos: programas que comparan
conjuntos de datos para determinar relaciones de
interés auditable.
Muestreo
• Algunas herramientas ayudan a definir el
tamaño de la muestra y en la selección de la
misma.
• Se pueden distinguir dos formas de muestreo:
– Juicioso: se elige la muestra basándose en la
experiencia del auditor.
– Estadístico: la muestra es seleccionada aleatoria-
mente, y es evaluada mediante la aplicación de la
teoría de probabilidad.
Herramientas de análisis y consulta
Producto Características Plataforma
Access Aplic. de BD que permite PC
selección, análisis y
reportes.
ACL Permiten leer archivos en PC o Mainframe
IDEA distintos formatos, y
proveen selección,
análisis y reportes.
Excel Planillas de cálculo que PC
Lotus permiten selección de
QuatroPro datos, análisis y reportes.
Herramientas de análisis y consulta
Producto Características Plataforma
DYL-Audit Lenguajes de Mainframe
DYL-260 programación que
DYL-280 permiten selección de
datos, análisis y reportes
SAS
Eztreive Plus
FOCUS Lenguaje de PC
programación que
permiten selección de
datos, análisis y reportes.
Herramientas disponibles:
porcentajes de utilización
SW para detección y Análisis de datos
prevención de fraude
Conclusiones
• El uso de TI para auditar TI no es una
idea nueva.
• Han sido innovaciones de los auditores
para aprovechar el conocimiento,
automatizar actividades, mejorar la
confiabilidad...
• El profesional auditor debe usar las
CAAT’s debido al marco de soporte
confiable que significan.
Conclusiones
• Las técnicas y herramientas de auditoría
asistidas por computadora pueden ser
muy eficientes y efectivas, desde la
documentación hasta la validación de
los controles.
• El dominio de las CAAT’s va desde
plataformas como PC/notebook hasta
servidores, mainframes, redes, etc.
Responsables

• Chilczenko, Marina

• Martínez, Fernando

• Peluffo, Ignacio