Usando CAATTs como herramientas de la auditoría

Por Charles H. Le Gran, CIA, CISA, CDP

CAATTs (del inglés Computer Assisted Auditing Techniques and Tools -

Técnicas y Herramientas de Auditoría Asistido por Computadora) como
auditoría se clasifica en los siguientes grupos : ·

Papeles electrónicos de trabajo

· Recuperación de la Información y análisis
· Reporte de auditoría
· Bases de datos de historia de la auditoría
· Instrucciones basadas en los Computadoras.
· Pistas en el tiempo – (Pistas de auditoría)

Así como las herramientas de la auditoría llegan a ser más poderosas y

sofisticado, también llegan a ser más fácil de aprender y usar, aún todavía debe
ajustarse a un complejo y siempre cambiante ambiente. Por ejemplo pistas de
auditoría de software pueden chocar fácilmente con pistas de otro software en
la computadora o red, y se debe manejar cuidadosamente.

Como la herramienta llega a ser cada vez más poderoso, los auditores usarían
características o servicios que proveyeron en el software y que ordena
considerables recursos del sistema (memoria, ciclos del proceso, y
almacenamiento) y compite con los otros usuarios estos recursos.

Por ejemplo si un auditor accesa a un archivo con un programa que examinará

cada registro en el archivo, bloquearía a otros usuarios hasta que el proceso se
complete. El proceso podría requerir también una gran cantidad de espacio de
almacenamiento en la red al mismo tiempo y podría causar que el servidor se
bloquee. Esto por tanto es importante tener en cuanta para no procesar a un
mismo tiempo porque haría que tardarían usuarios del sistema o impidan
ejecutar su trabajo.

Alternativamente, para muchas auditorias a organizaciones cuando ejecutan

sus análisis de la auditoría usan copias de los archivos de la producción
actuales.

CAATTs podrían también requerir un servidor grande, poderosos y

especializado para propósitos de la auditoría. Un servidor podría necesitar
apoyo para auditar sitios web, o sólo asegurar la independencia y seguridad
requerida para funciones de auditoría. Esto es obvio por lo tanto para ese
software se requieren especialistas en aumento para apoyar auditajes internos
a pesar de que el software sea bastante amigable al usuario.

Papeles electrónicos de trabajo

La habilidad para buscar información en textos, bases de datos, u otros
registros de auditoria habilita a auditores a coordinar sus esfuerzos y examinar
hallazgos teniendo en cuenta prioridades.
Se requirieron estandarizar formas y formatos de la auditoría que pudieran
mejorar ambos la calidad y consistencia de auditoría con papeles de trabajo. El
manejo de papeles y archivos de papeles en un archivo de auditoría
centralizado o bases de datos coordinando las auditorías efectuadas,
asegurando los hallazgos por prioridad según proyectos relacionados.

Sistemas Expertos deben proveer una oportunidad para apoyar bastante y

aumentar la funcionalidad para la auditoria con herramientas del papel de
trabajo. Para ilustrar, un sistema experto evaluaría respuestas a un cuestionario
y automáticamente generaría vínculos a preguntas adicionales relacionadas.
Sistemas expertos mirarían también patrones de información, hallazgos,
recomendaciones de presentes o auditorías previas relacionadas, y proveer
informes indicando problemas potenciales en general relacionados o áreas
problema del sistema.

Como la auditoría trabaja con herramientas de papeles de trabajo deben

proveer la habilidad de manejar información que soporte otra cosa diferente a
texto o números (tales como gráficos, sonido y video), con métodos para
organizar y proveer acceso a tal información adaptada de manera acorde. En el
futuro los auditores hallarían que mucha información requiere repasos de la
auditoría existentes en formatos hacia otra cosa que texto, números o
caracteres gráficos.

Recuperación de la información y análisis

Sacar una muestra o no sacar una muestra?

Históricamente los auditores han contado con muestras de transacciones para

ejecutar sus pruebas. Ahora, con el uso de recuperación automatizada y
herramientas del análisis, usualmente es más fácil evaluar todos sus registros
que evaluar una muestra. Además, los auditores pueden poner parámetros en
su software para identificar tal criterio y hacer selección de la reunión de
registros. Al hacer selección completa de conocidos tipos de error en registros
puede eliminar el problema de estimar tasas de error.

En cambio, el análisis de errores puede enfocarnos en esos registros cuyos

datos están fuera del rango de valores de transacción esperada, teniendo en
cuenta dentro de las limitaciones de condiciones del error definidas.

De hecho sacando una muestra técnica podrá ser aplicada al momento de

grabar registros que son seleccionados del sistema de la producción, o se
seleccionan todo el archivo de un tipo dado, y sacamos una muestra o más
detalladamente; una selección se aplica en el análisis del proceso.

Basados en criterios de selección del registro en auditorías previas, los

auditores deben evaluar continuamente oportunidades para mejorar las
auditorías por exceso de costos- especialmente si se puede lograr un costo
reducido en todo. La selección automatizada y las herramientas del análisis
pueden asegurar mejoras, pero no las asegurará automáticamente.
Software de Recuperación y análisis.

Herramientas de recuperación y análisis de la información pueden presentar

desafíos técnicos significantes a auditores porque información de la auditoría
residiría en sistemas diversos y distribuidos con varios grados de control y
estandarización. Se guardan datos debajo del control o varios tipos de máquina
y sistemas operativos usando diferentes formatos; se moverían por ambientes
de las telecomunicaciones usando diferentes protocolos; se guardarán o
archivarán por varios sistemas de manejo de bases de datos usando campos o
registros de longitud fija o variable, y sujetos a diferentes estándares de bases
datos; y finalmente, podrán residir en numerosas localidades físicas como en
una base de datos distribuida o en un ambiente de almacenamiento de los
datos. Los datos particularmente sensibles pueden sólo estar disponibles en
forma encriptada, y estarían sujetos a regulaciones del gobierno con respecto a
su transmisión, almacenamiento, software de control, manejo de
encriptamiento, e importación/ exportación.

Muchos departamentos de auditoría usan técnicas especiales para localizar y

evaluar fuentes de datos. Estos especialistas proveen las herramientas del
software para extraer datos, convertirlos en una forma que puedan ser usados
por herramientas analíticas de auditoría: Porque hay así muchas formas y
formatos de información y así muchos estándares para almacenamiento de la
información, y porque ambientes de los sistemas de la información cambian
frecuentemente, sería necesario mantener técnicas especializadas entre los
miembros de auditoría responsables por el software de recuperación. Personas
expertas serían difíciles de reclutar o conseguir, así proveer empleados con
tales habilidades los haría muy apetecibles.

En unas compañías se guarda información según estándares especificados

que frecuentemente no se cargan, y se ejecutan auditorías del múltiplo
información puesta en un formato común. En tales casos se pueden mantener
bibliotecas de rutinas de la recuperación de la información, llamando y
ejecutando un programa por cualquier auditor. En otras empresas, la frecuencia
de carga sería mayor que la frecuencia de auditorías y la preparación de
rutinas de software de recuperación evitaría el uso de pre-programar rutinas.

Una vez se guarda información en una forma utilizable por herramientas

analíticas de auditoría, los auditores con grados diversos de especialización
técnica ejecutarían realmente y revisan los resultados de análisis. Muchas
herramientas del software de la oficina tales como hojas de cálculo o bases de
datos podrían acceder y analizar información guardada en una base de dato
con formato ODBC (Open Database Compliant).

Unas organizaciones de la auditoría no sólo mantiene rutinas automatizadas

para recuperación de la información y análisis, sino que despliegan tal software
vía telecomunicaciones para repasar sistemas remotos sin el tiempo y gasto de
viaje de empleados. Organización con controles centralizados y manejo de
estándares estará hábilmente satisfecha en auditorías remotas, pero los
auditores estarían expuestos a los mismos tipos de software desarrollado por
hackers para violar las seguridades y controles en ambientes de los sistemas
distribuidos fuera de controles centralizados.

Acumulando datos del negocio por encima de un período de tiempo podría

dejar que el software identifique patrones, cambios, o tendencias en los datos
indicando cambios en los negocios, el ambiente del negocio, el cliente principal,
la economía, factores cambiantes de competencia, y su proyección. Tal análisis
del patrón sería importante en la planificación del negocio y ventaja
competitiva, y podría ser ejecutada por grupos fuera de la auditoría interna. Sin
embargo, si el análisis de auditoría reconoce tales patrones entonces los
auditores podrían proveer una contribución valiosa a la organización.

Análisis de auditoría de patrones de datos podrían ser enfocados a cambios

que indiquen una necesidad de redefinir criterios de selección de registros,
mecanismos del manejo de la calidad, monitoreo del umbral de errores, o
revisión de registros y transacciones que se estén por fuera del dominio normal
de eventos (posiblemente definido en desviaciones standard). Pero análisis de
la auditoría pueden también originar ciertos datos patrones tal como
identificación de números artificiales. Por ejemplo la ley de Benford define una
distribución natural de números común a todo el número configurado. En
circunstancias donde individuos inventan o modifican números debido a fraude
o errores, el resulta fijo de números no coincidirá.

Mediante la ley de Benford se podría detectar una investigación mediante vía

de análisis de software de auditoría. Rutinas del análisis de los datos de la
auditoría más comunes incluyen datos del cónyuge empleado hasta registros
del cliente o vendedor, pagos dobles, nómina y horas extras, aprobaciones
contra niveles de autorización, codificaciones forzadas, atropellos al sistema,
accesos autorizados, uso del teléfono, y muchos, muchos más. Ejemplos
abundan en literatura de auditoría.

Tendencias en recuperación y análisis de la información

Una tendencia en recuperación y análisis de la información del auditor es incluir
mayor inteligencia en auditoría o monitorear software integrado a sistemas de
negocio y redes. Como auditores identificar elementos de riesgo y desarrollo de
software para descubrir errores o transacciones sospechosas, este es a
menudo un proceso simple para integrar las pruebas o monitoreos en sistemas
de la producción. En tales casos los auditores pueden informar del error o
cambios en patrones de los datos tan pronto esto ocurre.

Los auditores piensan desplegar un sistema de auditoría integrado importante

que pueda identificarse como usuario de sistemas desde su desarrollo. Algo
más que la acción sobre el efecto y grupo de desarrollo como especialistas en
control, los auditores actúan como cualquiera otro usuario del sistema o
representante del sistema de interfase. Ellos especifican la selección del
registro y estructura de datos para monitorear criterios integrados, así como
cualquier rasgo especial tal como la habilidad para modificar, ampliar o reducir
tal monitoreo.
Caso puntual, los auditores esperarían ciertos sistemas seguros para procesar
transacciones a volúmenes esperados o dentro de rangos monetarios seguros.
Monitores integrados que alerten o activen una alarma si transacciones
exceden lindes esperados y recogerían copias de las transacciones
relacionadas. Pueden evaluar entonces los datos y determinan si las
fluctuaciones son normales o requieren valoración adicional. En cualquier caso,
se provee al software de la auditoría lógica adicional o inteligencia para ampliar
tales selecciones o apreciaciones en el futuro.

Típicamente, cuando se verifican monitoreos viene a ser más sofisticado que

las herramientas usadas por gerentes responsables de sistemas, los gerentes
rogarán que también se proveen de tal funcionalidad. Después de todo nadie
quiere que los auditores entren a hacer preguntas acerca de problemas en
manejos anteriores que ellos conocen. Como herramientas de control y
monitoreo de la gerencia llega a ser más sofisticado para igualar o exceder las
herramientas de auditoría. Los auditores pueden cambiar su énfasis a áreas de
más riesgo, o sofisticarla más o hacer más inteligentes sus monitoreos. En
cada caso, se amplia el ambiente de control.

En el futuro la lógica usada por auditores será integrada en sistemas sensibles

rastreando transacciones y eventos que reenvían y devuelven datos dentro de
sistemas de la computadora, redes y archivos. Entonces transacciones
sensibles fluirán entre sistemas que puedan llevar con ellos información
integrada indicando el origen de las transacciones y todas las rutas tomadas a
través de procesos, redes, o archivos. Tales tags de la auditoría serán más útil
en el caso de transacciones monetarias como pagos o transferencia de fondos,
y proveerán información vital necesaria para descubrir o detener fraudes

Con los costos decrecientes y capacidades nuevas de proceso de la

información, sistemas de almacenamiento y medios de comunicación, llega a
ser factible capturar y archivar información sensible en todos los puntos de
entrada, proceso, transferencia o almacenamiento. La eficacia en manejo de
datos gran cantidad de datos con monitoreos activos y herramientas analíticas
para rastrear, en gran detalle, los cambios aplicados a datos alrededor de su
ciclo de la vida. Grandes cantidades pueden proveer también datos para
análisis usando muestras y otros métodos analíticos o estadísticos. Así, se
pueden basar en el futuro en análisis de los datos de forma compleja sólo para
apreciaciones de integridad de la información y como se encuentran anomalías.
Éste está contrario a la aplicación de apreciaciones de la auditoría tradicionales
y requeriría unos procesos re-ingeniería dentro de la profesión del auditor.

Reportes de Auditoría
Unas herramientas de la auditoría hoy proveen vínculos automáticos que une el
trabajo que ejecutó, la información que recogió, los avalúos del auditor, e
información usada para apoyar informes de la auditoría.

Papeles de trabajo Inteligentes notarían respuestas en cuestionarios de control

interno que indica reales o potenciales debilidades y automáticamente prepara
una sección en el reporte de auditoría para documentar la debilidad o
resolución del problema.
Reportes de Auditoría, también, pueden proveer automáticamente información
acerca de secciones de auditorías ejecutadas individualmente por auditores
para completar así al supervisor de la auditoría y que conozca el estado de los
proyectos de la auditoría. Tal informa deberá también permitir que el supervisor
concentrarse en procesos de la auditoría problemas y/ o proveer recursos
adicionales en áreas fallidas detrás del programa.

La auditoría puede reportar fácilmente vínculos a papeles de trabajo, hojas

electrónicas, gráficas u otra información que será automáticamente actualizada
como cambien los datos. Miembros del equipo de la auditoría y directivos
pueden compartir archivos del reporte pero implementando simples controles
sobre el acceso tal como sólo lectura, accesos no autorizados ó cambiar los
archivos

Se pueden distribuir informes de la auditoría en formato electrónico vía email,

transferir archivos o sitio web de auditoría. En tales casos los auditores deben
dar seguridad apropiada, confidencialidad y controles de acceso para tales
informes. La tecnología de Encripción se desarrolla rápidamente y llegará a ser
el mecanismo normal para integridad electrónica de mensajes, envío y
recepción autenticada y control de acceso.

Base de datos de historia de auditoría

La base de datos de la historia de la auditoría debe proveer una perspectiva
histórica para todas las auditorías en el plan o programa. Historias de la
auditoría pueden identificar problemas repetidos o no resueltos, o indicar áreas
de riesgo. Además, muchas secciones de auditoría trabajan papeles de trabajo
que pueden imitarse de archivos previos y actualizarse para liberar a auditores
de tiempo y esfuerzo.

Los Informes de auditoría pueden ser indexados por palabras clave para
facilitar revisiones o búsquedas, o se pueden investigar en su completa
dependencia o de las técnicas que emplearon. Similitudes en patrones de
datos, hallazgos de auditoría, o se pueden hacer recomendaciones para
encontrarse usando indexamientos o usos de tecnología, y poder apoyar el
aumento o la reducción del alcance de la auditoría.

Las técnicas desarrolladas de las bases de datos de historia de la auditoría

pueden basarse en manejadores de bases de datos de sistemas tecnológicos o
pueden ser desarrollados vía sitios web. En cualquier caso es también
importante considerar la confidencialidad de información auditada y proveer
controles de acceso y otras técnicas de privacidad y seguridad para archivos y
comunicaciones. Evaluando auditoría de controles puede representar un
elemento de riesgo en vez de proveer información necesaria para identificar
hallazgos.

Instrucciones basadas en el computador

Instrucciones integradas e importantes ayudas son bastante incluidas en las
herramientas de software de auditoría de hoy. Muchos vendedores del software
ofrecen ambos instrucción genérica y específica por el uso de herramientas del
software. Sin embargo los computadores basados en instrucciones puede
medir ampliamente el rango de auditoría y actividades de auditoría, y no se
debe limitar por experiencia previa. Las instrucciones puedes ser informales y
auto-motivadas, o puede ser formales por medio de la administración de
auditoría quien retroalimentará al gerente de auditoría.

Usar computadora basada en instrucciones, como una herramienta de la

auditoría es más probable que se retroalimente. Es limitado por el tiempo y
herramientas disponibles, la rapidez a que las herramientas operan, o la
energía del auditor, imaginación y exposición de la información. Por ejemplo si
los auditores no tienen acceso a Internet, no pueden usarlo para buscar
información. Si su camino del acceso es lento, entonces los requisitos del
tiempo pueden rápidamente ser anticuados de valores recibidos o reduce el
entusiasmo del auditor para al aprendizaje. Si auditores viajeros no tienen
acceso remoto a sus archivos céntricos o correo, no pueden investigar historias
de la auditoría o usar una lista de servidores para buscar entrada de otros en
un problema o pregunta.

Finalmente, el manejo de la auditoría, según con su presupuesto, determinará

la herramienta a proveer a auditores, pero ellos determinarán cómo
efectivamente se usan las herramientas. Las instrucción deben enfocarse en
cómo buscar fuera y aprender nuevas técnicas y proximidades, no meramente
en cómo ejecutar tareas previas definidas o usar software existente.

Pistas de auditoria
En unos casos sería posible dirigir relojes del sistema interno para grabar el
tiempo que el auditor gasta usando sus computadoras, y dejar pistas de ese
tiempo a sus proyectos individuales. Estaría también pertinente grabar el
tiempo y recursos usados por programas cuando procesan para los propósitos
de proyectos de la auditoría individuales. Eventualmente las pistas de recursos
automatizados llegará a ser la norma, pero hoy es más probable que sólo
provea pistas de entrada en el tiempo y manejadores de procesos..

Un sistema del manejo de la auditoría puede proveer detalles y resumió

análisis de productividad y otro informar parámetros requeridos para manejar
efectivamente y auditar sección. Pistas de tiempo y reportes pueden ser
elementos del sistema del proyecto previamente descritos, y se puede usar
para evaluar ejecución, estimar requisitos del tiempo para planificación y les
relata las habilidades críticas a su despliegue con más en vigor.

Conclusión
Este artículo apenas reseña la superficie de información relacionado a
auditores sobre usos de software. Es importante notar que no hay ningún
modelo genérico por software aplicable a toda organización. Es también
importante reconocer la dependencia creciente del software para llevar a cabo
virtualmente todas las actividades de auditoría.

Tópicos de la tecnología inventan un porcentaje creciente del conocimiento

profesional del auditor y habilidades. Mientras un fondo técnico es importante
entender desarrollos nuevos y direcciones, este es un pequeño uso fuera de
adquisición continua de conocimiento nuevo. Efectivamente el uso de
herramientas tecnológicas es crítico al éxito de actividad de la auditoría, pero
es únicamente un paso hacia los negocios y la profesión del auditor.
Emergerán tecnologías que cambiarán continuamente la forma de y proximidad
a controles de negocio, y la auditoría deberá aprovechar y tecnificar estos
cambios acordemente..

Un papel importante para auditores no sólo entender y cambiar con la

tecnología, también explicar el impacto de tal cambia a otros. Y finalmente,
también vale la pena recordar la importancia del contacto personal en
auditorías porque computadoras nunca reemplazarán la necesidad de
habilidades personales.