Computer Assisted Audit Techniques CAAT
Computer Assisted Audit Techniques CAAT
Computer Assisted Audit Techniques CAAT
Las tcnicas de auditora asistidas por computadora son de suma importancia para el auditor de TI cuando realiza una auditora. CAAT (Computer Audit Assisted Techniques) incluyen distintos tipos de herramientas y de tcnicas, las que ms se utilizan son los software de auditora generalizado, software utilitario, los datos de prueba y sistemas expertos de auditora. Las CAAT se pueden utilizar para realizar varios procedimientos de auditora incluyendo:
Prueba de los detalles de operaciones y saldos. Procedimientos de revisin analticos. Pruebas de cumplimiento de los controles generales de sistemas de Pruebas de cumplimiento de los controles de aplicacin.
informacin.
A continuacin se enuncian algunas de las normas que el auditor de sistemas de informacin debe conocer. El ajustarse a estas normas no es obligatorio, pero el auditor de sistemas de informacin debe estar preparado para justificar cualquier incumplimiento a stas. Normas Internacionales de Auditora emitidas por IFAC (International Federation of Accountants) en la NIA (Norma Internacional de Auditora o International Standards on Auditing, ISA) 15 y 16, donde se establece la necesidad de utilizar otras tcnicas adems de las manuales. Norma ISA 401, sobre Sistemas de Informacin por Computadora. SAS No. 94 (The Effect of Information Technology on the Auditor's Consideration of Internal Control in a Financial Statement audit) dice que en una organizacin que usa Tecnologas de Informacin, se puede ver afectada en uno de los siguientes cinco componentes del control interno: el ambiente de control, evaluacin de riesgos, actividades de control, informacin, comunicacin y monitoreo adems de la forma en que se inicializan, registran, procesan y reporta las transacciones. La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit Techniques (CAATs) o Tcnicas de Auditora Asistidas por Computador, plantea la importancia del uso de CAAT en auditoras en un entorno de sistemas de informacin por computadora. SAP 1009 los define como programas de computadora y datos que el auditor usa como parte de los procedimientos de auditora para procesar datos de significancia en un sistema de informacin. SAP 1009 describe los procedimientos de auditora en que pueden ser usados los CAAT: 1. Pruebas de detalles de transacciones y balances (reclculos de intereses, extraccin de ventas por encima de cierto valor, etc.) 2. Procedimientos analticos, por ejemplo identificacin de inconsistencias o fluctuaciones significativas. 3. Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparacin de cdigos y versiones. 4. Programas de muestreo para extraer datos.
5. 6.
Segn SAP1009, en su prrafo 26 y como se muestra en la Figura 3.1, Flujo de un CAAT: El software de auditora consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditora, para procesar datos de importancia de auditora del sistema de contabilidad de la entidad. Puede consistir en programas de paquete, programas escritos para un propsito, programas de utilera o programas de administracin del sistema. Independientemente de la fuente de los programas, el auditor deber verificar su validez para fines de auditora antes de su uso.
Traceo
Indica por donde paso el programa cada vez que se ejecuta una instruccin. Imprime o muestra en la pantalla el valor de las variables, en una porcin o en todo el programa.
Mapeo
Caracterstica del programa tales como tamao en bytes, localizacin en memoria, fecha de ltima modificacin, etc.
Comparacin de cdigo
Involucra los cdigos fuentes y cdigos objetos.
Planificacin de CAAT
En este punto se mencionarn cuales son los factores que influyen en la adecuada seleccin de una herramienta CAAT, as como los pasos que se deben tomar en cuenta para la planificacin y seleccin de la misma. Cuando se planifica la auditora, el auditor de sistemas de informacin debe considerar una combinacin apropiada de las tcnicas manuales y las tcnicas de auditora asistidas por computadora. Cuando se determina utilizar CAAT los factores a considerar son los siguientes:
sistemas de informacin.
Disponibilidad de los CAAT y de los sistemas de informacin. Eficiencia y efectividad de utilizar los CAAT en lugar de las tcnicas Restricciones de tiempo
manuales
Los pasos ms importantes que el auditor de sistemas de informacin debe considerar cuando prepara la aplicacin de los CAAT seleccionados son los siguientes:
Definir los procedimientos a seguir (por ejemplo: una muestra estadstica, Definir los requerimientos de output. Determinar los requerimientos de recursos. Documentar los costos y los beneficios esperados. Obtener acceso a las facilidades de los sistemas de informacin de la Documentar los CAAT a utilizar incluyendo los objetivos, flujogramas de Acuerdo con el cliente (auditado): Los archivos de datos, tanto como los
organizacin, sus programas/sistemas y sus datos. alto nivel y las instrucciones a ejecutar. archivos de operacin detallados (transaccionales, por ejemplo), a menudo son guardados slo por un perodo corto, por lo tanto, el auditor de sistemas de informacin debe arreglar que estos archivos sean guardados por el marco de tiempo de la auditora.
programas/sistemas y datos con anticipacin para minimizar el efecto en el ambiente productivo de la organizacin El auditor de sistemas de informacin debe evaluar el efecto que los cambios a los programas/sistemas de produccin puedan tener en el uso de los CAAT. Cuando el auditor de sistemas de informacin lo hace, debe considerar el efecto de estos cambios en la integridad y utilidad de los CAAT, tanto como la integridad de los programas/sistemas y los datos utilizados por el auditor de sistemas de informacin. Probando los CAAT el auditor de sistemas de informacin debe obtener una garanta razonable de la integridad, confiabilidad, utilidad y seguridad de los CAAT por medio de una planificacin, diseo, prueba, procesamiento y revisin adecuados de la documentacin. sto debe ser hecho antes de depender de los CAAT. La naturaleza, el tiempo y extensin de las pruebas depende de la disponibilidad y la estabilidad de los CAAT. La seguridad de los datos y de los CAAT pueden ser utilizados para extraer informacin de programas/sistemas y datos de produccin confidenciales. El auditor de sistemas de informacin debe guardar la informacin de los programas/sistemas y los datos de produccin con un nivel apropiado de confidencialidad y seguridad. Al hacerlo el auditor debe considerar el nivel de confidencialidad y seguridad que exige la organizacin a la cual pertenecen los datos. El auditor de sistemas de informacin debe utilizar y documentar los resultados de los procedimientos aplicados para asegurar la integridad, confiabilidad, utilidad y seguridad permanentes de los CAAT. Por ejemplo, debe incluir una revisin del mantenimiento de los programas y controles de los cambios de
programa de auditora para determinar que slo se hacen los cambios autorizados al CAAT. Cuando los CAAT estn en un ambiente que no est bajo el control del auditor de sistemas de informacin, un nivel de control apropiado debe ser implementado para identificar los cambios a los CAAT Cuando se hacen cambios a los CAAT el auditor de sistemas de informacin debe asegurarse de su integridad, confiabilidad, utilidad y seguridad por medio de una planificacin, diseo, prueba, procesamiento y revisin apropiados de la documentacin, antes de confiar en ellos.
Realizar una conciliacin de los totales de control. Realizar una revisin independiente de la lgica de los CAAT Realizar una revisin de los controles generales de los sistemas de
informacin de la organizacin que puedan contribuir a la integridad de los CAAT (por ejemplo: controles de los cambios en los programas y el acceso a los archivos de sistema, programa y/o datos). El software de auditora generalizado, tambin conocidos como paquetes de auditora s on programas de computadora diseados para desempear funciones de procesamiento de datos que incluyen leer archivos de computadora, seleccionar informacin, realizar clculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor. Cuando el auditor de sistemas de informacin utiliza el software de auditora generalizado para acceder a los datos de produccin, se deben tomar las medidas apropiadas para proteger la integridad de los datos de la organizacin. Adems, el auditor de sistemas de informacin tendr que conocer en el diseo del sistema y las tcnicas que se utilizaron para el desarrollo y mantenimiento de los programas/sistemas de aplicacin de la organizacin. El software utilitario es usado para desempear funciones comunes de procesamiento de datos, como clasificacin, creacin e impresin de archivos. Estos programas generalmente no estn diseados para propsitos de auditora y, por lo tanto, pueden no contener caractersticas tales como conteo automtico de registros o totales de control. Cuando el auditor de sistemas de informacin utiliza el software utilitario debe confirmar que no tuvieron lugar ninguna intervencin no planificada durante el procesamiento y que ste software ha sido obtenido desde la biblioteca de sistema apropiado, mediante una revisin del log de la consola del sistema o de la informacin de contabilidad del sistema. El auditor de sistemas de informacin tambin debe tomar las medidas apropiadas para proteger la integridad del sistema y programas de la organizacin, puesto que estos utilitarios podran fcilmente daar el sistema y sus archivos. Los datos de prueba consisten en tomar una muestra del universo de datos del sistema que se encuentra en produccin para analizarlos.
Cuando el auditor de sistemas de informacin utiliza los datos de prueba debe estar consiente de que pueden existir ciertos puntos potenciales de errores en el procesamiento; dado que esta tcnica no evala los datos de produccin en su ambiente real. El auditor de sistemas de informacin tambin debe estar consiente de que el anlisis de los datos de prueba pueden resultar muy complejos y extensos, dependiendo de el nmero de operaciones procesadas, el nmero de programas sujetos a pruebas y la complejidad de los programas/sistemas. Cuando el auditor de sistemas de informacin utiliza el software de aplicacin para sus pruebas CAAT, debe confirmar que el programa fuente que est evaluando es lo mismo que se utiliza actualmente en produccin. El auditor de sistemas de informacin debe estar consiente de que el software de aplicacin slo indica el potencial de un proceso errneo, no evala los datos de produccin en su ambiente real. Cuando el auditor de sistemas de informacin utiliza los sistemas de auditora especializados debe conocer profundamente las operaciones del sistema.
Planificacin Los objetivos de los CAAT Los CAAT a utilizar Los controles a implementar El personal involucrado, el tiempo que tomar y los costos.
La documentacin debe incluir: Los procedimientos de la preparacin y la prueba de los CAAT y los Los detalles de las pruebas realizadas por los CAAT. Los detalles de los input (ejemplo: los datos utilizados, esquema de controles relacionados.
archivos), el procesamiento (ejemplo: los flujogramas de alto nivel de los CAAT, la lgica).
Evidencia de auditora: el output producido (ejemplo: archivos log, Resultado de la auditora. Conclusiones de la auditora. Las recomendaciones de la auditora.
reportes).
La seccin del informe donde se tratan los objetivos, la extensin y metodologa debe incluir una clara descripcin de los CAAT utilizados. Esta descripcin no debe ser muy detallada, pero debe proporcionar una buena visin general al lector. La descripcin de los CAAT utilizados tambin debe ser incluida en el informe donde se menciona el hallazgo especfico relacionado con el uso de los CAAT. Si se puede aplicar la descripcin de los CAAT a varios hallazgos o si es demasiado detallado debe ser descrito brevemente en la seccin del informe donde se tratan los objetivos, extensin y metodologa y una referencia anexa para el lector, con una descripcin ms detallada.
IDEA[41].
A travs de la herramienta IDEA, se puede disminuir costos de anlisis, realzar la calidad del trabajo y adquirir nuevos roles. Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar a cabo muestreos y extraer archivos de datos desde cualquier origen ordenadores centrales a PC, incluso reportes impresos. IDEA es reconocido en todo el mundo, como un estndar en comparaciones con otras herramientas de anlisis de datos, ofreciendo una combinacin nica en cuanto a poder de funcionalidad y facilidad de uso.
Precisin: comprobacin de clculos y totales. Revisin analtica: comparaciones, perfiles, estadsticas. Validez: duplicados, excepciones, muestreos estadsticos. Integridad: omisiones y coincidencias. Cortes: anlisis secuencial de fechas y nmeros. Valuacin:provisiones de inventario.
Auditora interna. Conformidad de polticas. Valor del dinero. Pruebas de excepcin. Anlisis. Comparaciones y coincidencias.
Deteccin de fraudes. Compras y pagos: validacin de proveedores, anlisis contables. Nmina: coincidencias cruzadas, clculos. Lavado de dinero: valores elevados, cifras redondeadas, movimientos
Anlisis y clculos de porcentajes. Sumarizacin y categoras (por ejemplo: por cliente, producto o regin). Establecimiento de medidas de actuacin (por ejemplo: tiempos de Perfiles. Anlisis de Inventario. Anlisis de flujo de caja. Revisiones de Seguridad. Registros del sistema. Derechos de acceso. Registro de telfonos. Firewalls.
Transferencias de archivos. Importacin de datos desde el sistema central y exportacin a un nuevo sistema en un formato ms adecuado. Bancos e instituciones financieras.
Industrias.
Verificacin de clculos de inters. Identificacin de cuentas inactivas. Anlisis de prstamos por ndices de riesgo. Corroboracin de provisiones para prdidas por prstamos. Anlisis de reclamos de seguros.
Verificacin de costos de inventarios. Anlisis de movimientos de inventario. Comprobacin de diferencias entre el mayor general y las cuentas de Anlisis y anticuacin del trabajo en curso.
inventario.
Organizaciones de ventas al por menor. Anlisis de utilidad bruta. Anlisis por regin, departamento o lnea de producto. Anlisis de precios.
Entes gubernamentales (prestadores de ayudas y beneficios). Comprobacin de clculos. Anlisis y acumulacin de estadsticas de pago. Bsqueda de duplicados: coincidencias cruzadas de nombres, direcciones e
informacin bancaria.
Funciones
Importacin de datos. IDEA permite importar casi todo tipo de archivos desde cualquier tipo de origen, mediante la utilizacin del Asistente de importacin. IDEA
ofrece tambin el editor de Definiciones de Registro (RDE, Record Definition Editor), que lo ayudar en la importacin de archivos complejos, registros de longitud variable, y archivos con mltiples tipos de registros. Este producto tambin puede ser utilizado para modificar definiciones de registros creadas y guardadas por el Asistente de Importacin. Manejo de archivos y clientes. IDEA utiliza un Explotador de Archivos que proporciona un manejo sencillo y estandarizado de los mismos. Esta ventana puede cambiarse de posicin en la pantalla y puede modificarse su tamao. En ella se visualiza, ya sea en forma jerrquica u ordenada, toda la informacin referente a los archivos de IDEA que pertenecen a la carpeta de trabajo (cliente) activa. IDEA utiliza el concepto de Carpetas de Cliente para facilitar el manejo de los archivos. Tanto el nombre del cliente o proyecto como el perodo de anlisis pueden ser asociados a una Carpeta de Cliente. Esta informacin aparecer en todos los informes que se impriman dentro de esta carpeta. La Barra de Herramientas del Explorador de Archivos proporciona un acceso sencillo a las funciones de manejo de archivos incluyendo la posibilidad de marcar un archivo. Estadsticas de campo. Pueden generarse estadsticas para todos los campos numricos y de fecha pertenecientes a una base de datos. Se pueden calcular, para cada campo numrico, el valor neto, los valores mximos y mnimos, el valor medio, as como tambin la cantidad de registros positivos y negativos y la cantidad de registros de valor cero. Para los campos de fecha se proporcionan estadsticas tales como la fecha ms temprana y fecha ms tarda y el anlisis de transacciones diarias y mensuales. Historial. Dentro de la Ventana de Base de Datos, la pestaa Historial muestra todas y cada una de las operaciones realizadas en la Base de Datos presentadas en una lista que puede expandirse fcilmente. Cada prueba o funcin realizada genera, en forma automtica, un cdigo IDEAScript que puede ser copiado en el Editor de IDEAScript. IDEAScript es un lenguaje de programacin compatible con Visual Basic. Extracciones. La Extraccin o prueba de excepcin, es la funcin ms comnmente utilizada en IDEA para identificar elementos que satisfacen una determinada condicin como por ejemplo pagos mayores a $10,000 o transacciones efectuadas con anterioridad a una fecha dada. Los criterios de extraccin son ingresados utilizando el Editor de Ecuaciones y todos los registros que satisfagan el criterio ingresado son extrados a una nueva base de datos. Se puede realizar una sola extraccin de registros a una base de datos o hasta 50 extracciones diferentes a travs de un solo paso por la base de datos. Extraccin indexada. La Extraccin Indexada permite limitar el mbito de los datos a ser buscados por IDEA en la base de datos. Una extraccin indexada ahorra tiempo al trabajar con bases de datos extensas. Extraccin por valor clave. La Extraccin por Valor Clave brinda la posibilidad de generar una serie de bases de datos secundarias en forma rpida mediante valores comunes encontrados en la base de datos primaria. La extraccin por valor clave no requiere de la creacin de ecuaciones para ejecutar la extraccin. Una clave es un ndice creado en una base de datos y un valor clave es uno de los posibles valores que puede tomar esa clave. @Funciones. Las @Funciones son utilizadas para realizar clculos complejos y pruebas de excepcin. IDEA proporciona ms de 80 funciones las cuales pueden utilizarse para llevar a cabo aritmtica de fechas, manipulaciones de texto, as como clculos estadsticos, numricos, financieros y de conversin. En IDEA las funciones comienzan,
muy
similares
las
funciones
Conector Visual. El conector Visual le permite generar una nica base de datos a travs de otras bases de datos que comparten un campo clave en comn. Para crear una conexin visual entre diferentes bases de datos, se debe seleccionar una base de datos primaria y luego conectar bases de datos que posean registros coincidentes. La relacin creada por el Conector Visual entre las bases de datos es uno a muchos, es decir que la base de datos primaria puede contener diversos registros coincidentes en las bases de datos conectadas. Todos los registros de las bases de datos conectadas que coincidan con los registros de la base de datos primaria son incluidos en la base de datos resultante. Uniones. IDEA, a travs de la opcin Unir Bases de Datos, permite combinar dos campos de bases de datos distintas dentro de una nica base de datos, comprobando la existencia o no de datos coincidentes en ambos archivos. Las uniones entre bases de datos pueden realizarse si las mismas contienen un campo en comn denominado campo clave. Agregar. La funcin Agregar Bases de Datos se utilizar para concatenar dos o ms archivos dentro de una nica base de datos. Por ejemplo se pueden agregar todos los archivos mensuales de nminas para obtener una base de datos con todas las nminas del ao. Luego esta base de datos podra ser sumarizada por empleado obteniendo el bruto, el neto anual y las deducciones anuales. Pueden concatenarse hasta 32,768 archivos en una nica base de datos. Comparar. La opcin Comparar Bases de Datos identifica las diferencias que existen en un campo numrico dentro de dos archivos para una clave en comn. Estos archivos pueden ser comparados en diferentes momentos, por ejemplo, en el caso de la nmina al principio y al final del mes para identificar cambios en los salarios de cada empleado. Se puede comparar tambin un campo numrico en sistemas distintos, por ejemplo, la cantidad de inventario existente para un tem tanto en el archivo maestro de inventario como en el archivo inventarios. Duplicados. IDEA puede identificar elementos duplicados dentro de una base de datos donde existen hasta 8 campos con la misma informacin. Por ejemplo, nmeros de cuenta duplicados, direcciones, plizas de seguros, etc. Omisiones. IDEA le permite buscar omisiones o huecos en secuencias numricas y de fechas dentro de un archivo, as como tambin dentro de secuencias alfanumricas a travs de una mscara previamente definida. Para omisiones de fecha, se pueden elegir las opciones fines de semana e ignorar vacaciones. Como ocurre con muchas de las funciones de IDEA, se pueden establecer criterios antes de realizar la bsqueda, tales como importes superiores a $1,000, e incluso se puede modificar el incremento si se desea buscar, por ejemplo, omisiones mltiplos de 10. Omisiones. La opcin Ordenar se utilizar para crear una base de datos fsicamente ordenada de acuerdo a un orden previamente especificado. El ordenar bases de datos puede mejorar significativamente el desempeo de determinadas funciones. Grficos. La opcin Graficar Datos puede utilizarse para graficar archivos de datos o resultados de pruebas realizadas, ya sea en grficos de barras, barras agrupadas, reas, lneas o sectores. El Asistente de Grficos lo guiar paso a paso en la creacin del grfico proporcionndole opciones para incluir ttulos, efectos 3D, leyendas, colores, formas y estilos de rejillas. Los grficos pueden ser impresos, guardados como archivos de mapa de bits o pueden ser copiados en otra aplicacin de Windows.
Ley de Benford. Mediante la aplicacin del anlisis de la ley de Benford podr identificar posibles errores, fraudes potenciales y otras irregularidades. Esta ley determina que los dgitos y las secuencias de dgitos persiguen un patrn predecible. El anlisis cuenta las apariciones de valores en los dgitos en una serie de datos y compara los totales con un resultado predeterminado de acuerdo a la ley de Benford. Los dgitos distintos de cero son contados de izquierda a derecha. Estratificacin. La Estratificacin Numrica, la Estratificacin de Carcter y la Estratificacin de Fecha son una poderosa herramienta para totalizar la cantidad y el valor de los registros dentro bandas especficas. Permiten analizar, por ejemplo, elementos por cdigo postal o por cdigo alfanumrico de producto o activos por fecha de adquisicin. Sumarizacin. La Sumarizacin de Campo Rpida se utiliza para totalizar valores de campos numricos por cada clave nica, sumarizando un nico campo clave. La Sumarizacin por Campo Clave se utiliza cuando la clave esta formada por uno o ms campos. Los resultados de las sumarizaciones pueden ser graficados y puede accederse en detalle a los registros asociados a cada clave. Antigedad. La funcin antigedad realiza una anticuacin del archivo desde una fecha especfica en hasta seis intervalos definidos. Por ejemplo, al final del ao pueden anticuarse los crditos a cobrar para determinar si se deben realizar provisiones. La funcin antigedad produce un Informe de Antigedad y dos bases de datos opcionales: la base de datos de antigedad detallada y la base de datos totalizada por clave. Tabla pivot. La Tabla Pvot le permite crear anlisis variables y multi-dimensionales en archivos de datos extensos. Al momento de disear una tabla pvot en IDEA, podr seleccionar la ubicacin de los distintos campos en la tabla para visualizar la informacin en el modo en que usted desea. La posicin de los campos en la tabla definir como estarn organizados y cmo sern sumarizados los datos. Agrupador de procesos. Cuando se ejecuta una serie de tareas sobre una base de datos de IDEA, cada tarea requiere de un paso a travs de la base de datos. El Agrupador de Procesos analiza las tareas a efectuar y ejecuta las diferentes tareas realizando un solo paso por la base de datos, siempre y cuando esto sea posible. El Agrupador de Procesos ejecuta cada tarea en forma independiente y crea una salida para cada proceso realizando un solo paso por la base de datos. Muestreo. IDEA proporciona cuatro mtodos de muestreo junto con la posibilidad de calcular tamaos de muestras basadas en parmetros ingresados, y evaluar los resultados de las muestras efectuadas. Los mtodos de muestreo disponibles son: sistemtico (ej. cada 1000 registros); aleatorio (nmero de elementos elegidos al azar); aleatorio estratificado (un nmero especfico de elementos seleccionados de acuerdo al azar de acuerdo a intervalos); y unidad monetaria (ej. De cada 1,000 dlares u otra unidad monetaria).IDEA proporciona tambin una opcin de Planificacin y Evaluacin de Atributos, la cual puede ser utilizada para calcular tamaos de muestras, niveles de confianza, lmites de errores o desvos y cantidad de errores de la muestra. Estos clculos son utilizados para planificar y luego evaluar los resultados de las muestras. Agregar campos. Los datos importados a IDEA son protegidos y no pueden ser modificados. Sin embargo, pueden agregarse campos adicionales editables ya sea para detallar comentarios, para tildar elementos o para corregir datos. Por otro lado, se pueden agregar campos virtuales (calculados) para probar clculos en una base de datos, para realizar nuevos clculos, para obtener porcentajes a travs de otros campos de la base de datos, o para convertir datos de un tipo a otro. Los campos editables pueden estar vacos para ingresar comentarios o datos, o pueden basarse en una
expresin como ocurre en el caso de los campos virtuales. Los campos booleanos y triestado permiten etiquetar o marcar los campos de acuerdo a 2 o 3 estados respectivamente. IDEAScript. IDEAScript es un lenguaje de programacin orientada a objetos, compatible con Microsot Visual Basic para Aplicaciones TM y LotusScript TM. Los IDEAScripts, tambin denominados macros, pueden ser creados ya sea grabando una serie de pasos, copindose desde otros scripts, copindose desde el Historial, siendo ingresados en la Ventana de Macro o mediante una combinacin de cualquiera de todas estas posibilidades. Los Scripts pueden incorporarse al men Herramientas o a la Barra de Herramientas de Macro, o ejecutarse simplemente desde el men Herramientas. Los IDEAScript poseen una serie de herramientas complementarias tales como el Editor de Dilogos, el Explorador de Lenguaje y las herramientas de Depuracin para asistirlo en la creacin de los scripts.
ACL[42]
ACL es una herramienta CAAT enfocada al acceso de datos, anlisis y reportes para auditores y profesionales financieros. Una de las ventajas de esta herramienta es que no es necesario ser un especialista en el uso de CAAT ya que su uso es muy amigable, esta herramienta reduce el riesgo y asegura el retorno de la inversin, tambin posee una poderosa combinacin de accesos a datos, anlisis y reportes integrados, ACL lee y compara los datos permitiendo a la fuente de datos permanecer intacta para una completa integridad y calidad de los mismos. ACL permite tener una vista inmediata de la transaccin de datos crticos en la organizacin. ACL permite:
Anlisis de datos para un completo aseguramiento. Localiza errores y fraudes potenciales. Identifica errores y los controla. Limpia y normaliza los datos para incrementar la consistencia de los Realiza un test analtico automtico y manda una notificacin va e-mail
resultados. con el resultado. ACL brinda una vista de la informacin de la organizacin y habilita directamente el acceso a bsquedas de cualquier transaccin, de cualquier fuente a travs de cualquier sistema. Ahorra tiempo y reduce la necesidad de requerimiento de informacin a departamentos de TI muy ocupados, incrementa el nivel de datos hospedados en mltiples ERP o aplicaciones especializadas. Permite examinar el 100 por ciento de las transacciones de datos, cada campo, cada registro.
Accesa a diversos tipo de de datos con facilidad incluyendo bases de datos ODBC. Esta herramienta proporciona una completa integridad de datos, ACL solo tiene acceso de lectura a los datos de los sistemas que se estn monitoreando, esto significa que la fuente de datos nunca ser cambiando, alterada o borrada. Una de las ventajas de esta herramienta es que tiene un tamao ilimitado en el monitoreo de datos y puede procesar rpidamente millones de transacciones de datos ya que permite leer mas de 10,000 y hasta 100,000 registros por segundo ACL destaca por ser de fcil uso: selecciona, identifica y da formato a los datos fcilmente gracias al Data Definition Wizard con esta librera permite importar y exportar datos directamente a Excel, Access y XML, otra mas de las ventajas es que no es necesario tener conocimientos de programacin para el uso de ACL. La herramienta tiene comandos pre-programados para anlisis de datos, pero tambin puede analizar datos adaptndose a una metodologa y excepciones de investigacin en cualquier momento, se pueden implementar continuos monitoreos haciendo anlisis automticos a travs de scripts y habilitando la notificacin en tiempo real. Explora los datos rpida y completamente, como se muestra en Figura 3.2, Comandos precargados
Otra ventaja es los resultados se pueden ver fcilmente y entenderlos en formatos tabulares, posee graficas precargadas, tambin posee un log de actividad de los registros sto permite analizar y comprar registros pasados con los nuevos, posee vistas de reportes precargadas de Crystal Reports, como se muestra en Figura 3.3, Visor de Cristal Reports
Especificaciones tcnicas:
PC con procesador Pentium o superior. Windows 98/ME o Windows NT (SP6), 2000 (SP2), XP. 32MB de RAM (Mnimo). 26MB de espacio en disco duro para ACL (Mnimo) y 44 MD extras si se
Internet Explorer 5.5 o mayor. Windows Installer MDAC 2.6 MsJet 4.0 SP3 o mayor. MSXML 4.0 o mayor.
Auto Audit
Auto Audit es un sistema completo para la automatizacin de la funcin de Auditora, soportando todo el proceso y flujo de trabajo, desde la fase de planificacin, pasando por el trabajo de campo, hasta la preparacin del informe final. Adems del manejo de documentos y papeles de trabajo en forma electrnica, Auto Audit permite seguir la metodologa de evaluacin de riesgos a nivel de entidad o de proceso, la planificacin de auditoras y recursos, seguimiento de hallazgos, reportes de gastos y de tiempo, control de calidad, y cuenta con la flexibilidad de un mdulo de reportes ad hoc. Todos estos mdulos estn completamente integrados y los datos fluyen de uno a otro automticamente. Su pantalla principal se muestra en la Figura 3.4, Ventana principal.
Base de conocimiento
Acceso inmediato a toda la documentacin de auditoras pasadas, en ejecucin o planeadas.
Flexibilidad
Permite que los auditores puedan trabajar en lugares distantes con sus rplicas locales de la auditora en curso y su posterior sincronizacin a la base de datos centralizada.
Estandarizacin y control
Garantiza el seguimiento de metodologas de trabajo de acuerdo a las mejores prcticas de la organizacin con el uso de una biblioteca de documentos estndares (memoranda, programas, papeles de trabajo, cuestionarios, evaluaciones, informe final y otros).
Adaptabilidad
Provee una herramienta de reportes ad hoc para la generacin de informes, tablas y grficos con los formatos requeridos para el Comit de Auditora o Auditor General.
Comunicacin
Mejora la comunicacin con los auditados en el seguimiento de los hallazgos y planes de accin.
Seguridad y confidencialidad
Permite la creacin de usuarios definiendo perfiles segn su rol dentro de la auditora para controlar el acceso de documentos e integridad de la informacin. Con sus algoritmos de cifrado (encriptacin) Auto Audit garantiza la confidencialidad de informacin.
Facilidad de uso
Auto Audit se aprende e implementa en menos de una semana.
siguiendo la metodologa de evaluacin vertical y/o por proceso. campo. papeles de trabajo, enlaces y referencias cruzadas de documentos. papeles de trabajo, memos, listas de chequeo, hallazgos, informes y otros. eliminar, revisar o aprobar documentos especficos, de acuerdo a su rol dentro del flujo de trabajo en el proceso de auditora (Gerente, Encargado, Staff).
Monitoreo de hallazgos para todas las auditoras visualizado por status, Registro de tiempos y gastos para la generacin de reportes. Elaboracin de encuestas post-auditora as como tambin evaluaciones de Disponibilidad de reportes estndares ya listos para su uso y posibilidad de Mantiene un registro histrico de todas las actualizaciones, revisiones y Permite personalizar reas de la aplicacin para reflejar el ambiente de
los auditores. crear reportes ad hoc segn las necesidades. aprobaciones de documentos. trabajo nico de cada organizacin tales como: reas de negocio, factores de riesgo, calificaciones de hallazgos, entre otros y se adapta a cualquier estructura de auditora (COSO, COCO, CSA).
Tiene
un
algoritmo
propio
que
encripta
los
datos
asegurando
la
Reducir o eliminar los controles costosos e inefectivos. Define con precisin las reas de riesgo, mientras se desarrollan Evala los estndares de control utilizados. Enfatiza las responsabilidades de la administracin por el desarrollo y Comunicar los resultados a otros.
CSA es una tcnica que implica la conduccin de talleres (workshops) con todos los miembros del staff que intervienen en un proceso o sistema de informacin, en el cual se discuten los riesgos y problemas de control y se aconsejan planes de accin para solucionar esos problemas. Este proceso ofrece un medio de identificar los problemas de control y las recomendaciones de mejoramiento. Los facilitadores ayudan al grupo a ponerse de acuerdo. Audicontrol-APL automatiza las metodologas de diseo y documentacin de controles en operaciones de negocios y procesos de TI, utilizando tres alternativas de escenarios de riesgo:
Empresas (misionales o de apoyo administrativo), definidos de acuerdo con las condiciones de funcionamiento reales de cada Organizacin.
metodologa es aplicable para desarrollar el enfoque de diseo de gestin de riesgos para procesos de los cuatro dominios del Modelo COBIT (Control Objectives for Information and Related Technology, tercera edicin en el ao 2000).
Quince
escenarios
de
Riesgo
agrupados
de
manera
natural,
que
representan el ciclo de vida del control de los datos en las aplicaciones de computador. Audicontrol-APL provee una herramienta de software orientada al usuario final, para apoyar el desarrollo de todas las fases y etapas de la metodologa de Diseo de Controles y Gestin de Riesgos Operacionales. Las 2 fases y 10 etapas de la metodologa son las siguientes: Fase I: fase esttica o estructural del control interno. 1. 2. 3. 4. Identificar la Seguridad Requerida. Evaluar Riesgos Potenciales e identificar Riesgos Crticos. Elaborar Mapa de Riesgos. Seleccionar Controles Necesarios y evaluar la proteccin que ofrecen.
5. Definir Especificaciones para Implantar los Controles (Documentar los Controles). Fase II: dinmica u operativa del control interno. 1. Sensibilizar y Concientizar a los propietarios del proceso para el mejorar cultura de Control de la Organizacin. 2. Elaborar e Implantar Guas de Autocontrol.
3. Elaborar e Implantar de Guas de Monitoreo de la Proteccin Existente y del Riesgo Residual. 4. Generar el Operacionales. 5. Manual de Controles y Administracin de Riesgos
Audicontrol-APL es un software para Windows, que opera en ambientes monousuario o en Red local. La metodologa AUDICONTROL APL fue creada para apoyar el trabajo de:
Funciones.
Departamentos de Organizacin y Mtodos. Auditores de Sistemas. Departamentos de Control Interno. Administradores de Seguridad en Procesamiento electrnico de datos. Administradores de Riesgos.
personalizar las bases de datos de conocimientos de las organizaciones, con conceptos y elementos modernos de control aportados por los modelos COBIT ( Control Objectives for Information and Related Technology ISACA, 2000 ) y COSO y las normas ISO 9000, ISO 9126, ISO 12207, ISO 14000, ISO 18000 e ISO 17799.
los controles, Audicontrol-APL apoya a los diseadores con guas, cuestionarios estndar y bases de conocimientos sobre procesos de tecnologa de informacin, riesgos, causas del riesgo, controles y objetivos de control.
Identificar y categorizar los riesgos inherentes a los negocios o servicios de Ayuda a elaborar el Mapa de Riesgos con la ubicacin fsica, lgica y
las empresas, como lo recomienda el modelo COSO. funcional de los riesgos en las dependencias y procesos que intervienen en los negocios o servicios de las empresas.
probabilidad de ocurrencia de las amenazas que podran originar cada uno de los riesgos potenciales crticos.
Mide
(califica)
el
grado
de
proteccin
que
aportan
los
controles
seleccionados, por cada amenaza (causa del riesgo), punto de control, dependencia y objetivo de control de cada proceso de negocio y servicio soportado en tecnologa de informacin.
ejecucin y/o supervisin de cada control clave en las dependencias que intervienen en los procesos de negocios automatizados.
Control, para medir (determinar) peridicamente los niveles del riesgo residual en las dependencias de la empresa.
Disear e implantar el Plan de Mitigacin de Riesgos no protegidos Elaborar los Manuales de Control Interno y Gestin de Riesgos para los
apropiadamente por los controles establecidos en la organizacin. procesos, las aplicaciones y la infraestructura de TI y permite su actualizacin permanente.
ayuda a disear e implantar la estructura de control requerida, desde su inicio hasta su implantacin definitiva.
generadas con circunstancias propias de la empresa, como base para el diseo de controles en otras reas o procesos automatizados.
(RP), la proteccin ofrecida (PO) por los controles establecidos y el riesgo residual (RR) que estn asumiendo las organizaciones en cada proceso o sistema de informacin.
que es una firma de Consultores Gerenciales especializados en control y auditora de sistemas, estable y de reconocido prestigio profesional en Colombia y el exterior. En sntesis, Audicontrol-APL p roporciona un esquema de trabajo seguro y eficiente para:
Identificar y evaluar los riesgos potenciales y residuales asociados con las Definir e implantar controles manuales y automatizados que sean efectivos
operaciones de negocio y de soporte administrativo de las empresas. para reducir a niveles aceptables la exposicin al riesgo en los sistemas automatizados de las empresas, con su respectiva documentacin.
Facilitar
la
implantacin
de
un
Sistema
de
Gestin
de
Riesgos
Operacionales. Implantar tcnicas y procedimientos de Autocontrol y de Prevencin del Riesgo en las empresas.
AuditMaster[44]
AuditMaster de Pervasive, es una solucin de supervisin de transacciones a nivel de base de datos. Este sistema controla e informa de toda la actividad que tiene lugar en una base de datos Pervasive.SQL. La tecnologa de AuditMaster consiste en capturar las operaciones que se realizan en la base de datos y escribirlas en un archivo de registro. AuditMaster se divide en tres componentes:
patrones y tendencias. Las consultas se realizan con rapidez gracias a una sencilla interfaz grfica. Los informes de AuditMaster tambin pueden evidenciar si se utilizan las prcticas requeridas o buenas prcticas generales. Asimismo, el visor de registros tambin se emplea para mantener y configurar el sistema AuditMaster, lo que incluye la creacin de alertas que ejercen una vigilancia dinmica de las actividades realizadas con datos futuros. Una vez definidas las alertas en AuditMaster, esperan a que se lleve a cabo alguna operacin de inters perteneciente al espectro de acciones de los usuarios, tales como la creacin, la actualizacin, la eliminacin o simplemente la lectura de datos. Cuando se produce algn evento de inters, el gestor de eventos activa inmediatamente una alerta, bien a travs de un correo electrnico enviado a uno o ms destinatarios, bien a travs de una llamada a otra aplicacin o mediante el inicio de una nueva aplicacin. El visor de registros puede instalarse en cualquier mquina con acceso al servidor Pervasive.SQL y a los archivos de la base de datos de registro.
Ventajas
AuditMaster no exige modificar el cdigo de la aplicacin actual o de la base de datos Pervasive.SQL, ya que es independiente de la aplicacin y se instala en la propia base de datos, muy por debajo del nivel de las aplicaciones clientes. AuditMaster puede supervisar varias aplicaciones e incluso identificar la fuente original de cada evento en el registro de seguimiento, permitiendo de esta manera llevar a cabo un anlisis interno del sistema y un control detallado de la aplicacin. Adems de presentar informes y activar alertas, el registro de seguimiento detallado ofrece otras ventajas. Al almacenar imgenes de todos los cambios antes y despus de la transaccin, es posible recuperar registros individuales de la base de datos deshaciendo los cambios capturados en el registro de seguimiento. Adems, como el registro est almacenado en tablas de Pervasive.SQL, las aplicaciones pueden acceder directamente a los datos de registro, lo que permite integrar AuditMaster en otras aplicaciones. Trabaja con todos los datos de Pervasive.SQL, tanto transaccionales como relacionales, tambin puede mantener automticamente en los registros de datos mltiples archivos de metadatos que faciliten actualizaciones a nuevas versiones de la aplicacin cliente, incluso aunque cambien los archivos de definicin de datos (DDF). Los metadatos de AuditMaster pueden ser auditados aunque falten los archivos DDF o estn incompletos. Adems, si el sistema utiliza registros variantes, AuditMaster sigue realizando las mismas funciones de captura, informe y alerta.
Especificaciones.
Plataformas soportadas.
Delos
[45]
Delos es un sistema experto que posee conocimientos especficos en materia de auditora, seguridad y control en tecnologa de informacin. Este conocimiento se encuentra estructurado y almacenado en una base de conocimiento y puede ser incrementado y/o personalizado de acuerdo con las caractersticas de cualquier organizacin y ser utilizado como una gua automatizada para el desarrollo de actividades especficas. Para la utilizacin del sistema hemos identificado cuatro roles o que tienen relacin con el control en una organizacin:
quien puede ser un analista de sistemas, un oficial de seguridad, un diseador de procesos de trabajo o alguien quien realice trabajos de reingeniera.
organizacin, quien normalmente es un auditor, un representante de aseguramiento de calidad o cualquier persona que se le asigne en forma temporal o definitiva la funcin de evaluacin
seguridad de que cuenta con los elementos suficientes para desarrollar sus funciones de forma eficiente, efectiva, segura y consistente y
Los beneficiarios del control, quienes reciben los beneficios de que una
organizacin opere con adecuados procedimientos de control. Los beneficiarios pueden ser tanto internos como externos a la organizacin, los primeros representados por la administracin y los accionistas y los segundos representados normalmente por clientes, proveedores, gobierno, inversionistas, etc. Delos es una herramienta que fue diseada pensando en empresas, organizaciones y profesionistas que deseen incrementar los beneficios derivados de la tecnologa de informacin a travs de actividades relacionadas con auditora, seguridad y control en TI.
Ventajas
Delos presenta una serie de caractersticas que lo distinguen de otras herramientas. Orientacin al negocio. A diferencia de otros productos de auditora de software, Delos tiene una orientacin al negocio, es decir, parte de un marco de referencia estratgico formado por los objetivos de negocio y factores crticos de xito de la empresa y lo relaciona con elementos de control interno en tecnologa de informacin. Consecuentemente, su empleo promueve el cumplimiento de los objetivos institucionales de la empresa, permitiendo alinear sus elementos de tecnologa de informacin con la estrategia de negocio. De manera indirecta, Delos ayuda a estructurar los objetivos, metas y factores crticos de xito de la empresa, as como los indicadores que permiten su medicin.
Base de conocimientos. Delos cuenta con una extensa base de conocimientos que contiene tanto elementos de negocio (objetivos, metas y factores crticos de xito) como elementos de control, seguridad y auditora en TI, utilizando relaciones puntuales entre dichos elementos para ofrecer un nivel de inteligencia. Esta base de conocimientos, no solo permite establecer un marco de referencia para las funciones de auditora, sino que ofrece la posibilidad de ampliar su alcance y sus beneficios a otras reas de la empresa que tienen relacin con el concepto de control, tales como el rea de tecnologa de informacin y, en caso de que exista, el rea de contralora (responsable del control en la empresa). Fundamento metodolgico. El funcionamiento de Delos se basa en una metodologa estructurada que ofrece al usuario una orientacin detallada sobre las actividades y la secuencia necesaria para desarrollar auditoras o evaluaciones en ambientes de TI. Esta caracterstica diferencia y posiciona favorablemente a Delos con respecto a otros productos, los cuales primordialmente ofrecen un conjunto de diagramadores, tcnicas y/o reporteadores cuya utilizacin queda supeditada a la experiencia individual de cada usuario o al empleo de una metodologa adicional que no necesariamente corresponde a las caractersticas del software. Personalizable a las caractersticas y requerimientos de cada empresa. Adicionalmente a contar con una robusta base de conocimientos, Delos permite incorporar nuevos elementos, modificar los existentes y definir nuevas relaciones entre los objetos que integran dicha base. Esto permite complementar el cuerpo de conocimientos y adecuarlo a los requerimientos especficos de cada empresa. Multicompaa y multiproyecto. La estructura de Delos permite crear modelos de diversas compaas definiendo proyectos con diferentes enfoques, objetivos y alcances. Esta capacidad proporciona gran flexibilidad para la realizacin de auditoras en empresas o instituciones con requerimientos plurales, como pueden ser: corporativos, entidades de supervisin y vigilancia, organismos gubernamentales o firmas de auditora externas. Incluye COBIT. Delos utiliza la estructura y los objetivos de control definidos por COBIT para disear programas de auditora basados en dicha estructura y/o interpretar los resultados de evaluaciones realizadas con el propio enfoque de Delos, con base en el estndar internacional sobre control en tecnologa de informacin emitido por la ISACA (Information Systems Audit and Control Association).
Beneficios
En forma concreta podemos decir que Delos genera los siguientes beneficios:
Apoya
la
planeacin
estratgica
de
TI,
al
identificar
elementos
automatizados para procesar informacin e incorporar a los programas de trabajo slo las actividades que cada auditora requiere en forma especfica.
patrimonio institucional, al conservar el conocimiento en un repositorio de software, minimizando en gran medida los efectos de rotacin de personal.
Permite capacitar a personal de nuevo ingreso, tanto de la compaa en Estandariza el trabajo de auditora al utilizar una metodologa
general como de las funciones relacionadas con auditora y control en TI. automatizada incorporada al sistema de software.
Caractersticas.
Adems de la descripcin antes mencionada Delos se divide en 5 mdulos mas, los cuales se describen a continuacin:
DelosCognos:
es
el
mdulo
responsable
de
la
administracin
del
conocimiento de Gobierno de Tecnologa de Informacin. Este conocimiento se almacena en una completa base de conocimientos. Este mdulo permite personalizar, consultar y mantener actualizada la base de conocimientos del sistema y se integra tanto por elementos de negocio como: estrategias, fortalezas, stakeholders, objetivos, metas y factores crticos de xito, como por elementos de tecnologa de informacin, tales cmo: Aplicaciones, procesos, recursos, colaboradores y elementos de auditora /aseguramiento, como: Objetivos de control, procedimientos de control y procedimientos de auditora entre otros. En esta base de conocimientos tambin se encuentran los elementos de COBIT. Estos elementos se encuentran interrelacionados, lo cual permite establecer los sistemas de control requeridos por la organizacin y su relacin con elementos de la estrategia institucional.
auditora, es decir, funge como consejero o gua virtual que proporciona apoyo para la realizacin de tareas especficas de auditora con base en una metodologa de trabajo estructurada. Delos Mentor permite elaborar programas de revisin personalizados de acuerdo con las caractersticas de la organizacin y al alcance y objetivos especficos de cada auditora.
usuarios, emulando, como su nombre lo indica, la labor de un tutor, que es proporcionar educacin y orientacin a sus alumnos en alguna materia en particular. Delos Tutor tiene incorporados los conceptos tericos de auditora en TI, lo cual es utilizado para proporcionar instruccin autodidacta a sus usuarios.
Delos Control: Este mdulo esta enfocado a la otra perspectiva del control,
es decir, no a la de quien debe evaluar el control, sino del que es responsable de disear e implantar controles en una empresa u organizacin. La misma base de conocimientos de control de Delos es utilizada para identificar los procedimientos que una organizacin debera tener establecidos en un ambiente de tecnologa de informacin, ya sea en sus procesos de trabajo relacionados con el desarrollo de soluciones informticas (como desarrollo de sistemas, implantacin de paquetes de software, planeacin estratgica de sistemas, adquisicin de tecnologa, etc), como en los procesos de administracin de recursos informticos.
Delos. Esto incluye tanto la administracin de usuarios del sistema, como la asignacin de distintos niveles de seguridad para acceder a cada una de las organizaciones dadas de alta en Delos. Los niveles de seguridad permiten otorgar privilegios de acceso de manera especfica, inclusive para restringir los
tipos de acciones que cada usuario puede ejercer sobre cada uno de los tipos de objetos en la base de conocimientos de la organizacin. Requerimientos.
[41] [42] [43] [44] [45]
Windows 95, 98, 2000, NT y XP. 150 MB en disco duro. 32 MB en memoria RAM Procesador pentium a 100 megahertz.