CAPITULO I

1.1. SISTEMAS DE INFORMACIÓN

Es el conjunto de elementos y procedimientos íntimamente ligados, interactuando

entre sí y con las demás partes de la organización a la que pertenecen (el sistema
mayor), llevan a cabo el proceso de captación de datos y entrega de información
con el objeto de proporcionar los conocimientos necesarios a las personas
indicadas, para que puedan decidir la actitud más adecuada a tomar frente a
determinadas alternativas o circunstancias.

1.1.1 INFORMACIÓN Y DATOS

En sistemas los datos son la materia prima de la cual se deriva la
información. Los datos son señales, hechos, cifras, palabras, símbolos o
gráficas que representan una idea, objeto, condición o situación, pero que
no afecta el comportamiento.

La información es el conjunto de datos seleccionados y organizados con

respecto al usuario. La conversión de datos a información es la principal
función del procesamiento de datos, sea este manual, mecánico o
electrónico.

La disponibilidad de datos e información en una empresa es de vital

importancia, se compara con el torrente sanguíneo en el cuerpo humano.

1.1.2 CICLO DE VIDA DE LOS DATOS

Los datos, dentro del sistema de información, tienen su propio ciclo vital.
Tres aspectos de este ciclo son especialmente importantes para el
desarrollo, diseño y operación de los sistemas:
¿Cómo se generan los datos?
¿Qué clase de manipulación o procesamiento de datos se lleva a cabo?
 2

¿Cómo se lleva a cabo la comunicación de información, el almacenamiento

y la recuperación de datos?

En el siguiente diagrama se presenta el ciclo vital de los datos:

– Generación: Es el resultado de algún fenómeno del ambiente o de la
compañía, se observa y registra

– Almacenamiento: Por lo menos brevemente se guarda el dato, en la

mente del hombre, en un documento o en un dispositivo de alguna clase,
hasta que el dato pueda aplicarse o utilizarse.

– Recuperación: Consiste en la conversión del dato de un código inteligible

para el usuarios, generalmente presentados en reporte.

– Valoración: El valor de los datos depende de su exactitud, confiabilidad y

oportunidad. También hay el aspecto económico, toda vez que el
almacenamiento tiene un costo, por lo que hay que vigilar constantemente
los archivos de daros para eliminar los que sean inútiles.

– Transportación: Los datos se transportan constantemente de la fuente al

almacenamiento, al procesamiento, al usuario y al almacenamiento. (las
flechas).

– Distribución: Antes de hacer llegar a los usuarios, pueden o no ocurrir dos

sub-fases: La reproducción y la clasificación.

– Reproducción: Cuando del almacenamiento en algún medio debe

reproducirse otro.

– Clasificación: A menudo los datos se acumulan en forma aleatoria y hay

que acomodarlos para que sean útiles.
 3

– Manipulación: Cambios en los datos cuantitativos, mediante sumas,

restas, otros cálculos, para cambiarlos de forma o para ampliar su
significado mediante fórmulas o ecuaciones.

– Síntesis: El conjunto de muchos trozos de datos, para estructurar un todo

significativo o un informe completo, es algo que requiere sintetizar todo
aquello.

– Destrucción: Los registros de datos pueden volver a almacenarse, o bien

destruirse, después de su valoración o su uso. La destrucción de los
registros de datos puede llevarse a cabo por rutina, después de usarlos una
vez, o puede ocurrir durante la revisión de los registros antiguos.

El problema práctico más importante del ciclo vital de los datos, es el de

almacenamiento y recuperación. El campo rápidamente creciente de los sistemas
de información, se basa en la determinación de lo que hay que almacenar, de lo
que hay que recuperar, y de la forma de recuperar información (los datos que son
significativos para las tareas administrativas), en el momento apropiado.

La información “es el fluido vital de toda compañía y la materia prima básica en el

toma de decisiones, resolución de problemas y análisis de oportunidades”.1

CAPÍTULO II

2.1. TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR (TAACs)

1 Revista Dirección y Control, México 1979, pag,21)

 4

Las Técnicas de Auditoría Asistidas por Computador ( TAAC’s) son un conjunto

de técnicas y herramientas utilizados en el desarrollo de las auditorias
informáticas con el fin de mejorar la eficiencia, alcance y confiabilidad de los
análisis efectuados por el auditor, a los sistemas y los datos de la entidad
auditada.

Incluyen métodos y procedimientos empleados por el auditor para efectuar su

trabajo y que pueden ser administrativos, analíticos, informáticos, entre otros; y,
los cuales, son de suma importancia para el auditor informático cuando este
realiza una auditoría.

El uso de los TAAC’s le permiten al auditor obtener suficiente evidencia confiable

sobre el cual, sustentar sus observaciones y recomendaciones, lo que obliga al
auditor a desarrollar destrezas especiales en el uso de estas técnicas, tales como:
mayores conocimientos informáticos, discernimiento en el uso adecuado de las
herramientas informáticas y analíticas, eficiencia en la realización de los análisis,
etc.; sin dejar a un lado las técnicas tradicionales de auditoría como son la
inspección, observación, confirmación, revisión, entre otros.

2.2. Auditoría asistida por computadora

La norma SAP 1009 (Statement of Auditing Practice) denominada Computer

Assisted Audit Techniques (CAATs) o Técnicas de Auditoría Asistidas por
Computador (TAAC's), plantea la importancia del uso de TAAC’s en la auditoría
de sistemas y las define como programas de computador y datos que el auditor
usa como parte de los procedimientos de auditoría para procesar datos de
significancia en un sistema de información.

–RETIRADA- SAS No. 94 (The Effect of Information Technology on the Auditor's

Consideration of Internal Control in a Financial Statement audit) indica que una
organización que usa Tecnologías de Información IT, se puede ver afectada en
 5

uno de los 5 componentes del control interno: El ambiente de control, evaluación

de riesgos, actividades de control, información, comunicación y monitoreo además
de la forma en que se inicializan, registran, procesan y reporta las transacciones.
A continuación se presentan las Normas Internacionales de Auditoría que hacen
mención a las Técnicas de Auditoria Asistidas por Computador:

NIA 330 – Procedimientos en Respuesta a Riesgos Evaluados

El uso de Técnicas de Auditoría con Ayuda de Computadora (TAAC's) puede
posibilitar pruebas más extensas de las transacciones electrónicas y archivos de
cuentas.
Estas técnicas pueden usarse para seleccionar transacciones de muestra de los
archivos electrónicos clave, para escoger transacciones con características
específicas o para pruebas de toda una población en lugar de una muestra.

NIA 500 – Evidencia de Auditoría

En algunas situaciones el auditor puede determinar que se necesitan
procedimientos adicionales de auditoría. Estos, por ejemplo, pueden incluir usar
Técnicas de Auditoría con Ayuda de Computadora (TAAC's) para volver a calcular
la información.

Las TAAC's pueden ser usadas en:

 Pruebas de detalles de transacciones y balance (Recálculos de

intereses, extracción de ventas por encima de cierto valor, etc.)
 Procedimientos analíticos: por ejemplo identificación de inconsistencias o
fluctuaciones significativas.
 Pruebas de controles generales: tales como configuraciones en sistemas
operativos, procedimientos de acceso al sistema, comparación de códigos
y versiones.
 Programas de muestreo para extractar datos.
 Pruebas de control en aplicaciones.
 Recálculos
 6

2.3. El Proceso De Auditoría De La Información

a. Si los controles computarizados son débiles o no existen, los auditores

necesitarán realizar más pruebas sustantivas.
– Las pruebas sustantivas son pruebas de detalle de transacciones y
de balance de cuentas.
a. Las pruebas de cumplimiento son realizadas para asegurar que los
controles están establecidos y trabajan correctamente.
– Esto puede implicar el uso de las Técnicas de Auditoría Asistidas
por Computador (TAAC’s).

2.4. Diseño De Pruebas Para La Utilización De Las TAAC’s

• Antes de utilizar las TAAC’s el auditor debe diseñar la forma en que se va a

llevar a cabo el examen, mediante el establecimiento oportuno de los
objetivos que busca el examen, establecer los sistemas de información
críticos de la organización y la disponibilidad que se tiene para acceder a
ellos, seleccionar los métodos y pruebas a realizarse durante la ejecución
del examen, definir los reportes que se deberán generar como evidencias e
informes de auditoria y otros procedimientos adicionales necesarios para la
ejecución exitosa del examen.
• Es necesario tener mucho cuidado respecto a la confidencialidad de los
datos y sistemas a los cuales acceda durante su revisión. Para ello, debe
realizarse una adecuada planificación, selección y diseño de las técnicas y
herramientas a utilizar, que permita tener una seguridad razonable sobre la
efectividad, confiabilidad y confidencialidad de los resultados que se vayan
a obtener durante el examen.

2.5. Auditando Alrededor Del Computador

 7

• Auditoría alrededor del computador asume que a través de la presencia de

salidas exactas se verifica el correcto procesamiento de las operaciones.
• Este tipo de auditoría presta poca o ninguna atención a los procesos de
control dentro del ambiente de TI.
• Generalmente no es un enfoque efectivo para llevar a cabo una auditoría
de un ambiente computarizado.
• Cuando se audita a través del computador, el auditor sigue las pistas de
auditoría a través de la fase de operaciones internas o proceso
automatizado de datos.
• Los intentos de verificación de los procesos de control involucran el uso de
Programas de SI.
• Los enfoques primarios son:
1) Programas de testeo,
2) Programas computarizados de validación
3) Software de revisión de sistemas
4) Auditoría continúa.

2.6. Auditoría Dentro Del Computador

Auditoría dentro del computador implica el uso de TAAC’s para ayudar en

diversas tareas de auditoría.
Este enfoque es prácticamente obligatorio, ya que los datos son almacenados en
medios informáticos y el acceso manual es casi imposible. Las TAAC’s son
eficaces y ahorran tiempo.

2.7. Aplicación de TAAC's en la Auditoría Informática

Una de las ventajas más notorias de las TAAC’s es la versatilidad que estas
presentan para la realización del trabajo de campo de la auditoría, (se pueden
utilizar sin importar el tipo de organización, su tamaño, sus operaciones y sector
del mercado).
 8

Para ello el auditor debe tener el suficiente discernimiento y experiencia

profesional para establecer la técnica o herramienta a utilizar.
El auditor dispone de una clasificación estandarizada respecto a las principales
TAAC’s aplicadas por auditores de todo el mundo:
 Técnicas Administrativas.
 Técnicas para evaluar los controles de Aplicaciones en Producción.
 Técnicas para análisis de Transacciones.
 Técnicas para análisis de Datos.
 Técnicas para análisis de Aplicaciones.

2.7.1 Técnicas Administrativas

Permiten al auditor establecer el alcance de la revisión, definir las áreas de interés
y la metodología a seguir para la ejecución del examen.

2.7.2 Selección de Áreas de Auditoría

Mediante esta técnica, el auditor establece las aplicaciones críticas o módulos
específicos dentro de dichas aplicaciones que necesitan ser revisadas
periódicamente, que permitan obtener información relevante respecto a las
operaciones normales del negocio.
Esta técnica es muy utilizada por los auditores internos de empresas corporativas
grandes o medianas con un alto volumen de transacciones y exige que el
departamento de auditoría interna construya sus propios aplicativos (con la ayuda
del departamento de sistemas), para que puedan realizar su trabajo de forma
eficiente.

a. Modelaje
Esta técnica es muy similar a la técnica de Selección de Áreas de Auditoria, cuya
diferencia radica en los objetivos y criterios de selección de las áreas de interés;
ya que esta técnica tiene como objetivo medir la gestión financiera de la
organización y todo lo que ello involucra.

b. Sistema de puntajes
 9

A través de esta técnica el auditor selecciona las aplicaciones críticas de la

organización de acuerdo a un análisis de los riesgos asociados a dichas
aplicaciones y que están directamente relacionadas con la naturaleza del negocio
mediante asignarle a cada riesgo un puntaje de ocurrencia, de tal forma que sean
examinadas detalladamente aquellas aplicaciones con mayor nivel de
vulnerabilidad ante posibles riesgos.

c. Software de Auditoría Multisitio

Se basa sobre el mismo concepto de los sistemas distribuidos, en el que una
organización con varias sucursales u oficinas remotas, dispone de un software de
auditoria capaz de ser utilizado en dichas sucursales y a la vez, pueda actualizar y
almacenar la información resultante en una base de datos principal, generalmente
ubicada en la matriz de la organización.

d. Centros de competencia
Consiste en centralizar la información que va a ser examinada por el auditor, a
través de la designación de un lugar específico que recibirá los datos
provenientes de todas las sucursales remotas y que luego serán almacenadas,
clasificadas y examinadas por el software de auditoria.

2.7.3 Técnicas para evaluar los controles de Aplicaciones en Producción

Se orientan básicamente a verificar cálculos en aplicaciones complejas,
comprobar la exactitud del procesamiento en forma global y específica y verificar
el cumplimiento de los controles preestablecidos.

a. Método de Datos de Prueba

Consiste en la elaboración de un conjunto de registros que sean representativos
de una o varias transacciones que son realizadas por la aplicación que va a ser
 10

examinada, y que luego serán ingresadas en dicha aplicación para la verificación

del procesamiento exitoso de los datos.

b. Facilidad de Prueba Integrada (ITF)

Similar a la de datos de prueba, con la diferencia de que en esta se trabajan con
datos reales y ficticios.

c. Simulación paralela
Esta es una técnica en la que el auditor elabora, a través de lenguajes de
programación o programas utilitarios avanzados, una aplicación similar a la que
va a ser auditada, con el objetivo de ingresar simultáneamente la misma
información en ambas aplicaciones para verificar la exactitud del procesamiento
de datos de la aplicación en producción.

2.7.4 Técnicas para Análisis de Transacciones

Tienen como objetivo la selección y análisis de transacciones significativas de

forma permanente, utilizando procedimientos analíticos y técnicas de muestreo.

Archivo de revisión de auditoría como control del sistema (SCARF)

Consiste en el diseño de ciertas medidas de control para el procesamiento
electrónico de los datos, para luego incorporarlos dentro de los aplicativos en
producción (como rutinas huéspedes), con el objetivo de garantizar un control
permanente de las transacciones realizadas.
El resultado final será la generación de un archivo de datos que almacenará una
réplica de los registros que hayan presentado anomalías.

Archivo de revisión de auditoría por muestreo (SARF)

Esta es una técnica muy utilizada por los auditores externos y consiste en la
definición de ciertos parámetros de selección de registros utilizando muestreo,
para luego analizarlos detalladamente.
 11

Registros Extendidos
Técnica muy particular y útil para los auditores que han desarrollado ciertas
destrezas en el análisis de datos; y, consiste en la conservación histórica de todos
los cambios que haya sufrido una transacción en particular, convirtiéndose en un
LOG de auditoría.

2.7.5 Técnicas para el Análisis de Datos

Están orientadas hacia el uso de programas informáticos especializados que le
permiten al auditor, de forma eficiente y flexible, examinar la información que ha
sido procesada electrónicamente a través de los sistemas de información,
aplicativos o programas utilitarios.

Programas Generalizados de Auditoría

Es una de las técnicas de mayor desarrollo y aplicación en los últimos años. Se
encuentran disponibles en el mercado, numerosos paquetes de auditoría con muy
buen desempeño y flexibilidad en los tipos de archivos que pueden examinar. Los
más conocidos y difundidos en nuestro medio son IDEA y ACL.
Ventajas - Facilidad para el diseño de las pruebas de auditoría, flexibilidad en
cuanto a los formatos de archivo y la adaptabilidad para manejar y presentar la
información.

Programas de auditoría a la medida

Programas desarrollados especialmente para el análisis de datos de un sistema
de información en particular, cubriendo todas las funciones y características que
este posea, de acuerdo a los objetivos del auditor.
Pueden ser desarrollados directamente por el auditor con la ayuda del personal
de informática de la organización o viceversa, de acuerdo al grado de complejidad
que tenga el sistema de auditoría a ser desarrollado.

Programas Utilitarios
 12

Son programas estandarizados para la ejecución de actividades muy diversas

para el manejo de la información, gestión de documentos, realización de cálculos
matemáticos y estadísticos, almacenamiento de datos y control de proyectos, etc.;
los cuales, son muy utilizados por los auditores durante la ejecución de todo el
proceso de auditoría.

2.7.6 Técnicas para el Análisis de Aplicaciones

Poseen un grado mayor de complejidad respecto a su aplicación y grado de
conocimiento técnico que debe poseer el auditor, pues se orientan hacia la
evaluación del funcionamiento interno de las aplicaciones en producción y la
forma en que estos procesan la información.

a. Técnica de Imagen instantánea

Consiste en obtener una imagen instantánea del procesamiento electrónico de
datos en un momento determinado, a través de la identificación única de ciertas
transacciones de interés para el auditor y que, mediante rutinas especiales, son
seleccionadas para revisar el flujo que esta ha seguido dentro del sistema.

b. Técnica de Mapeo
Utilizada para medir la eficiencia de ejecución de las rutinas que integran el
sistema, a través de la utilización de programas especializados para dicho fin que
mediante reportes presentan las veces en que se ejecutan las rutinas
implementadas y el tiempo que le ha tomado al procesador ejecutarlas.
Pueden determinar las rutinas que no han sido utilizadas y aquellas que
posiblemente han sido incorporadas con fines fraudulentos.

c. Técnica de Rastreo
Mediante esta técnica se establece el orden en que han sido ejecutadas las
rutinas durante una determinada transacción, lo cual permite evaluar si el orden
secuencial en que se va ejecutando cada una de las etapas del procesamiento
electrónico de datos coincide con los procesos institucionales preestablecidos.
 13

2.7. 7 Análisis Lógico de las Aplicaciones

Esta técnica consiste en la revisión del programa de acuerdo a las
especificaciones técnicas y operativas presentadas en los Manuales de Diseño y
Usuario, que permita identificar errores o inconsistencia
El auditor debe poseer un alto grado de comprensión sobre la lógica del programa
y de los manuales que lo acompañan; pero para ello, el auditor debe estar
plenamente convencido de que los manuales del programa están adecuadamente
elaborados y libres de errores significativos.

2.8 Ventajas del Uso de las Técnicas de Auditoría Asistidas por

Computadora (TAAC)

 Incrementan o amplían el alcance de la investigación y permiten realizar

pruebas que no pueden efectuarse manualmente;
 Incrementan el alcance y calidad de los muestreos, verificando un gran
número de elementos;
 Elevan la calidad y fiabilidad de las verificaciones a realizar;
 Reducen el período de las pruebas y procedimientos de muestreos a un
menor costo;
 Garantizan el menor número de interrupciones posibles a la entidad
auditada;
 Brindan al auditor autonomía e independencia de trabajo;
 Permiten efectuar simulaciones sobre los procesos sujetos a examen y
monitorear el trabajo de las unidades;
 Realizar un planeamiento a priori sobre los puntos con potencial violación
del Control Interno;
 Disminución considerable del riesgo de no-detección de los problemas;
 Posibilidad de que los auditores actuantes puedan centrar su atención en
aquellos indicadores que muestren saldos inusuales o variaciones
significativas, que precisan de ser revisados como parte de la auditoría;
 Elevación de la productividad y de la profundidad de los análisis realizados
en la auditoría;
 14

 Posibilidad de rescatar valor en el resultado de cada auditoría;

 Elevación de la autoestima profesional del auditor, al dominar técnicas de
punta que lo igualan al desarrollo de la disciplina.

2.9. Análisis de la aplicación de CAAT

a. Estudio Del Costo Beneficio

b. Costos Indirectos
c. Costos De Oportunidad
d. Diagnóstico Del Personal

ACTIVIDADE
1 Elaboración de planes de trabajo
2 Elaboración de cuestionarios, encue
3 Trabajo de campo.
4 Control de actividades a realizar en

5 Evaluación de resultados de los pro

6 Evaluación de la problemática de la
2.9.1 Planificación de CAAT

un sistema informático.
7 Elaboración de papeles de trabajo e
 15

Considerar una combinación apropiada de las técnicas manuales y las técnicas

de auditoría asistidas por computadora. Cuando se determina utilizar CAAT los
factores a considerar son los siguientes:
• Conocimientos computacionales, pericia y experiencia del auditor de
sistemas de información.
• Disponibilidad de los CAAT y de los sistemas de información.
• Eficiencia y efectividad de utilizar los CAAT en lugar de las técnicas
manuales
• Restricciones de tiempo

Pasos más importantes que el auditor debe considerar cuando prepara la

aplicación de los CAAT seleccionados son los siguientes:
• Establecer los objetivos de auditoría de los CAAT: Determinar
accesibilidad y disponibilidad de los sistemas de información, los
programas/sistemas y datos de la organización.
• Definir los procedimientos a seguir (por ejemplo: una muestra
estadística, recálculo, confirmación, etc.).
• Definir los requerimientos de output.
• Determinar los requerimientos de recursos.
• Documentar los costos y los beneficios esperados.
• Obtener acceso a las facilidades de los sistemas de información de la
organización, sus programas/sistemas y sus datos.
• Documentar los CAAT a utilizar incluyendo los objetivos, flujogramas de
alto nivel y las instrucciones a ejecutar.
• Acuerdo con el cliente (auditado): Los archivos de datos, tanto como los
archivos de operación detallados (transaccionales, por ejemplo), a menudo
son guardados sólo por un período corto, por lo tanto, el auditor de
sistemas de información debe arreglar que estos archivos sean guardados
por el marco de tiempo de la auditoría.
• Organizar el acceso a los sistemas de información de la organización,
programas/sistemas y datos con anticipación para minimizar el efecto en el
ambiente productivo de la organización
 16

Evaluar el efecto que los cambios a los programas/sistemas de producción

-cambios en la integridad y utilidad de los CAAT- (integridad de los
programas/sistemas y los datos utilizados)

2.9.2 Utilizar CAAT (realización de auditoría)

Cuando se toma la decisión de hacer una auditoría de sistemas con al ayuda de

CAAT es importante tomar en cuenta los pasos que a continuación se describen.
El auditor debe:
1. Realizar una conciliación de los totales de control.
2. Realizar una revisión independiente de la lógica de los CAAT
3. Realizar una revisión de los controles generales de los sistemas de
información de la organización que puedan contribuir a la integridad de los
CAAT (por ejemplo: controles de los cambios en los programas y el acceso
a los archivos de sistema, programa y/o datos).

2.9.3 TIPOS DE SOFTWARE

a. Paquete de Auditoría.
• Son programas generalizados de computadora diseñados para
desempeñar funciones de procesamiento de datos que incluyen leer bases
de datos, seleccionar información, realizar cálculos, crear archivos de datos
e imprimir informes en un formato especificado por el auditor.
• Son usados para control de secuencias, búsquedas de registros, detección
de duplicaciones, detección de gaps, selección de datos, revisión de
operaciones lógicas y muestreo, algunos de ellos son el IDEA, ACL, etc.

a. Software para un propósito específico o diseñado a la medida.

• Son programas de computadora diseñados para desempeñar tareas de
auditoría en circunstancias específicas. Estos programas pueden ser
desarrollados por el auditor, por la entidad, o por un programador externo
 17

contratado por el auditor. Por ejemplo programas que permitan generar

check-list adaptados a las características de la empresa y de los objetivos
de la auditoría.

a. Los programas de utilería.

• Son usados por la organización auditada para desempeñar funciones
comunes de procesamiento de datos, como clasificación, creación e
impresión de archivos. Como por ejemplo planillas de cálculo,
procesadores de texto, etc.

a. Los programas de administración del sistema.

Son herramientas de productividad sofisticadas que son típicamente parte de los
sistemas operativos sofisticados, por ejemplo software para recuperación de
datos o software para comparación de códigos.
Como en el caso anterior estas herramientas no son específicamente diseñadas
para usos de auditoría.
Existen en el mercado una gran variedad de este tipo de herramientas como por
ejemplo los que permiten controlar las versiones de un sistema.

b. Rutinas de Auditoría en Programas de aplicación.

Módulos especiales de recolección de información incluidos en la aplicación y
diseñados con fines específicos. Se trata de módulos que permiten obtener pistas
de auditora en muchos casos generados a través de trigers programados en las
propias bases de datos.

2.9.4 Documentación de CAAT

Una descripción del trabajo realizado, seguimiento y las conclusiones acerca de

los resultados de los CAAT deben estar registrados en los papeles de trabajo de
la auditoría.
 18

Las conclusiones acerca del funcionamiento del sistema de información y de la

confiabilidad de los datos también deben estar registrados en los PT’s de la
auditoría.
El proceso paso a paso de los CAAT debe estar documentado adecuadamente
para permitir que el proceso se mantenga y se repita por otro auditor de sistemas
de información.
Los PT’s deben contener la documentación suficiente para describir la aplicación
de los CAAT incluyendo los detalles como:
• Planificación
• Los objetivos de los CAAT
• Los CAAT a utilizar
• Los controles a implementar
• El personal involucrado, el tiempo que tomará y los costos.

La documentación debe incluir:

• Los procedimientos de la preparación y la prueba de los CAAT y los
controles relacionados.
• Los detalles de las pruebas realizadas por los CAAT.
• Los detalles de los input (ejemplo: los datos utilizados, esquema de
archivos), el procesamiento (ejemplo: los flujogramas de alto nivel de los
CAAT, la lógica).
• Evidencia de auditoría: el output producido (ejemplo: archivos log,
reportes).
• Resultado de la auditoría.
• Conclusiones de la auditoría.
• Las recomendaciones de la auditoría.

2.9.5 Informe/reporte descripción de los CAAT

La sección del informe donde se tratan los objetivos, la extensión y metodología

debe incluir una clara descripción de los CAAT utilizados.
 19

Esta descripción no debe ser muy detallada, pero debe proporcionar una buena
visión general al lector. La descripción de los CAAT utilizados también debe ser
incluida en el informe donde se menciona el hallazgo específico relacionado con
el uso de los CAAT.
Si se puede aplicar la descripción de los CAAT a varios hallazgos o si es
demasiado detallado debe ser descrito brevemente en la sección del informe
donde se tratan los objetivos, extensión y metodología y una referencia anexa
para el lector, con una descripción más detallada.

2.9.6 Tipos de herramientas CAAT

• IDEA
Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar
a cabo muestreos y extraer archivos de datos desde cualquier origen ordenadores
centrales a PC, incluso reportes impresos.
IDEA es reconocido en todo el mundo, como un estándar en comparaciones con
otras herramientas de análisis de datos, ofreciendo una combinación única en
cuanto a poder de funcionalidad y facilidad de uso.

Áreas de uso de la herramienta

Auditoría externa de estados financieros.
• Precisión: comprobación de cálculos y totales.
• Revisión analítica: comparaciones, perfiles, estadísticas.
 20

• Validez: duplicados, excepciones, muestreos estadísticos.

• Integridad: omisiones y coincidencias.
• Cortes: análisis secuencial de fechas y números.
• Valuación: provisiones de inventario.

Auditoría interna.
• Conformidad de políticas.
• Valor del dinero.
• Pruebas de excepción.
• Análisis.
• Comparaciones y coincidencias.

Detección de fraudes.
• Compras y pagos: validación de proveedores, análisis contables.
• Nómina: coincidencias cruzadas, cálculos.
• Lavado de dinero: valores elevados, cifras redondeadas, movimientos
frecuentes.
• Informes y análisis de gestión.
• Transferencias de archivos.
• Bancos e instituciones financieras.
• Industrias.
• Organizaciones de ventas al por menor.
• Entes gubernamentales (prestadores de ayudas y beneficios).

• ACL
Es una herramienta CAAT enfocada al acceso de datos, análisis y reportes para
auditores y profesionales financieros.
No es necesario ser un especialista en el uso de CAAT.
 21

Posee una poderosa combinación de accesos a datos, análisis y reportes

integrados, ACL lee y compara los datos permitiendo a la fuente de datos
permanecer intacta para una completa integridad y calidad de los mismos.

ACL permite:
• Análisis de datos para un completo aseguramiento.
• Localiza errores y fraudes potenciales.
• Identifica errores y los controla.
• Limpia y normaliza los datos para incrementar la consistencia de los
resultados.
• Realiza un test analítico automático y manda una notificación vía e-mail
con el resultado.
• Brinda una vista de la información de la organización y habilita
directamente el acceso a búsquedas de cualquier transacción, de cualquier
fuente a través de cualquier sistema.
• Ahorra tiempo y reduce la necesidad de requerimiento de información a
departamentos de TI muy ocupados
• Acceso a diversos tipo de datos con facilidad.
• Tiene un tamaño ilimitado en el monitoreo de datos y puede procesar
rápidamente millones de transacciones de datos ya que permite leer mas
de 10,000 y hasta 100,000 registros por segundo.
• Los resultados se pueden ver fácilmente y entenderlos en formatos
tabulares, posee graficas precargadas, también posee un log de actividad
de los registros, que permite analizar y comprar registros pasados con los
nuevos, posee vistas de reportes precargados de Crystal Reports.

• AUTO AUDIT

Es un sistema completo para la automatización de la función de Auditoría,

soportando todo el proceso y flujo de trabajo, desde la fase de planificación,
pasando por el trabajo de campo, hasta la preparación del informe final.
 22

Además del manejo de documentos y papeles de trabajo en forma electrónica,

Auto Audit permite seguir la metodología de evaluación de riesgos a nivel de
entidad o de proceso, la planificación de auditorías y recursos, seguimiento de
hallazgos, reportes de gastos y de tiempo, control de calidad, y cuenta con la
flexibilidad de un módulo de reportes “ad hoc”. Todos estos módulos están
completamente integrados y los datos fluyen de uno a otro automáticamente.

Beneficios

• Eficiencia en el trabajo -Aumenta la eficiencia en la conducción de la

evaluación de riesgos y planificación anual.
• Base de conocimiento - Acceso inmediato a toda la documentación de
auditorías pasadas, en ejecución o planeadas.
• Flexibilidad - Permite que los auditores puedan trabajar en lugares
distantes con sus réplicas locales de la auditoría en curso y su posterior
sincronización a la base de datos centralizada.
• Estandarización y control - Garantiza el seguimiento de metodologías de
trabajo de acuerdo a las mejores prácticas de la organización con el uso de
una biblioteca de documentos estándares (memoranda, programas,
papeles de trabajo, cuestionarios, evaluaciones, informe final y otros).
• Adaptabilidad - Provee una herramienta de reportes “ad hoc” para la
generación de informes, tablas y gráficos con los formatos requeridos para
el Comité de Auditoría o Auditor General.
• Comunicación - Mejora la comunicación con los auditados en el
seguimiento de los hallazgos y planes de acción.
• Reducción de costos y aprovechamiento del recurso más valioso (el
auditor) - Se reducen los costos y el tiempo de documentación y revisión
de papeles, logrando invertir más tiempo en la auditoría, añadiendo valor al
trabajo.
• Seguridad y confidencialidad - Permite la creación de usuarios
definiendo perfiles según su rol dentro de la auditoría para controlar el
acceso de documentos e integridad de la información.
 23

• Integración con ACL - Es posible integrar los procesos de análisis de

datos que se efectúan con ACL en los papeles de trabajo de Auto Audit.

a. AUDITCONTROL APL (AUDISIS)

Es una herramienta para asistir en la construcción de sistemas de gestión de
riesgos y controles internos en los procesos de la cadena de valor y los sistemas
de información de las empresas. Para este fin, utiliza la técnica de Autoevaluación
del Control (CSA: Control Self Assessment), también conocida con el nombre de
Autoaseguramiento del Control (CSA: Control Self Assurance).
Desde la perspectiva administrativa, CSA asiste en la determinación de si la
organización está satisfaciendo sus objetivos. Las ventajas claves de implementar
un CSA incluyen la detección temprana de riesgos y el desarrollo de planes de
acción concretos que salvaguarden los programas organizacionales contra
riesgos del negocio significativos.

La metodología AUDICONTROL APL fue creada para apoyar el trabajo de:

 Analistas y Desarrolladores de Sistemas.
 Departamentos de Organización y Métodos.
 Auditores de Sistemas.
 Departamentos de Control Interno.
 Administradores de Seguridad en Procesamiento electrónico de datos.
 Administradores de Riesgos.

• AUDIMASTER

AuditMaster de Pervasive, es una solución de supervisión de transacciones a

nivel de base de datos. Este sistema controla e informa de toda la actividad que
tiene lugar en una base de datos Pervasive.SQL.
La tecnología de AuditMaster consiste en capturar las operaciones que se
realizan en la base de datos y escribirlas en un archivo de registro. AuditMaster se
divide en tres componentes:
 24

• Gestor de eventos (Log event handler) Actúa como una especie de “caja
negra” que captura y escribe en un registro de seguimiento todas las
actividades que se llevan a cabo en la base de datos.
• Base de datos de registro (Log database): El archivo principal de registro
contiene toda la información de seguimiento, por ejemplo, la identificación
de usuario, la identificación de la estación de red, el tiempo y la fecha de la
operación, el nombre de aplicación, el nombre de la tabla de la base de
datos y el tipo de operación. Además, el archivo crea imágenes, antes y
después de la transacción, a efectos de actualización de los registros.
Cada vez que un usuario modifica algún dato, AuditMaster escribe en el
registro tanto el valor antiguo como el nuevo.
• Visor de registros (Log viewer): Permite hacer consultas a la base de datos
de registro, lo que permite que un administrador de seguridad compruebe
las actividades realizadas y analice patrones y tendencias.

• DELOS
Delos es un sistema experto que posee conocimientos específicos en materia de
auditoría, seguridad y control en tecnología de información.
Este conocimiento se encuentra estructurado y almacenado en una base de
conocimiento y puede ser incrementado y/o personalizado de acuerdo con las
características de cualquier organización y ser utilizado como una guía
automatizada para el desarrollo de actividades específicas.
Delos es una herramienta que fue diseñada pensando en empresas,
organizaciones y profesionistas que deseen incrementar los beneficios derivados
de la tecnología de información a través de actividades relacionadas con
auditoría, seguridad y control en TI.

DATOS DE PRUEBA
 25

PRUEBA INTEGRADA -ITF

 26

SIMULACIÓN PARALELA

SOFTWARE GENERAL DE AUDITORÍA

 27

SOFTWARE DE AUDITORÍA A LA MEDIDA

Rutinas de auditoría en programas de aplicación

 28

Archivo de revisión de Auditoría

 29

Registros extendidos
 30

Traceo
 31

Mapeo

Comparación de código
 32

CAPITULO III
CASO PRÁCTICO

Antecedentes del caso práctico

El análisis efectuado se realizó en el Banco Guatemalteco deFinanzas, S.A. A
continuación se presentan los datos del banco:

Datos del banco Guatemalteco de Finanzas, S.A.

El banco Guatemalteco de Finanzas, S.A. es un banco privado que inició sus
operaciones en el año de 1975. Las oficinas centrales están ubicadas en la zona
10 de la ciudad de Guatemala. La dirección del banco está a cargo del Consejo
de Administración.

Estructura organizativa del banco

La estructura organizativa es de la siguiente forma: Gerencia General, Gerencia
Financiera y de Riesgos, Asesoría Jurídica, Auditoría Interna, Oficialía de
Cumplimiento, Gerencia de Recursos Humanos, Gerencia Administrativa,
Gerencia de Negocios, Gerencia de Medios informáticos y Operaciones, que es
de donde depende el Departamento de Informática.

Estructura organizativa del departamento de Informática

El departamento de Informática se conforma de la siguiente forma: Gerente, jefe
del departamento de Sistemas, jefe de sección de Desarrollo de Sistemas, jefe de
sección de Análisis de Sistemas. jefe del departamento de Infraestructura
Tecnológica, jefe de sección de Soporte a la infraestructura tecnológica y
operaciones, jefe de sección de Soporte técnico, y Mesa de ayuda (Help desk).

Aplicación del caso práctico

 33

El caso práctico presentará la evaluación de los principales riesgos que afectan el

Centro de Procesamiento de Información (CPI), que es el espacio físico dentro del
departamento de Informática, que contiene la computadora central (mainframe) y
el sistema principal de la entidad bancaria (software). Así mismo en el (CPI) se
encuentran las impresoras de alto volumen, cableado de comunicaciones, las
cintas de uso diario y demás equipos y documentación que por sus características
debe de estar custodiadas para evitar accesos no autorizados.
Los objetivos de control interno a observar tienen la finalidad de asegurar que el
Centro de Procesamiento de Información cuente con un ambiente que resguarde
los equipos y el personal que los administra.
La recopilación de información se realizará con entrevistas y observación. Las
técnicas a utilizar serán el examen, la inspección, la comparación, la revisión
documental y lista de chequeo (check list).

PROGRAMA AUDITORÍA INTERNA PARA REALIZAR REVISIÓN DEL

CONTROL INTERNO Y OPERACIONES EN EL CENTRO DE
PROCESAMIENTO DE INFORMACIÓN
 34

I. INTRODUCCIÓN
El departamento de Informática deberá contar con un espacio dentro de sus
instalaciones, dedicado al Centro de Procesamiento de Información que reúna las
condiciones mínimas de seguridad que protejan los equipos y al personal
asignado a éste.

II. OBJETIVO
Verificar el cumplimiento de los controles internos y políticas establecidas, para
salvaguardar los equipos asignados al Centro de Procesamiento de Información.

III. ALCANCE
Los resultados serán referidos al 05 de enero de 2007 e incluirán los siguientes
procedimientos:
• Entrevista con personal del departamento de Informática.
• Revisión de la documentación, para evaluar el cumplimiento de controles
internos y políticas establecidas.
• Revisión de las instalaciones para verificar la adecuada salvaguarda de los
activos.

IV. PROCEDIMIENTO
Para la revisión del control interno y operaciones se revisará lo siguiente:

CONTROL INTERNO
Revisión de control utilizado para el ingreso y egreso de equipos y personal
Se revisará la actualización de los formularios, con la siguiente información:
• Fecha y hora de ingreso y egreso.
• Nombre de la persona que ingresa y persona que la acompaña.
• Motivo del Ingreso.
• Constancia de Autorización para el ingreso de personal o egreso de equipos.
Claves de acceso
Para el control del ingreso del personal se utilizan claves de acceso y una tarjeta
electrónica, se deberá verificar lo siguiente:
 35

• Listado de usuarios habilitados para el ingreso al Centro de Procesamiento de

Información.
• Fecha de habilitación.
• Nombre del usuario.
• Fecha que expira la clave.
• Fecha de último acceso.
• Funcionario que autorizó la clave.
• Estatus de la clave.
• Verificar que la clave administrador esté siendo custodiada en sobre lacrado en
bóveda de seguridad del banco.

Inventario de equipos
Se deberá solicitar el registro del inventario de equipos, verificando su existencia
física en el centro de cómputo, así como si se está efectuando la amortización del
valor de los mismos.

Control de egreso de equipos

Se deberá verificar la existencia de un control para el egreso de equipos, que
deberá contener como mínimo los siguientes aspectos:
• Fecha del egreso.
• Nombre del equipo.
• Motivo del egreso.
• Nombre de la persona que recibe el equipo.
• No. de inventario.

Inventario de cintas de respaldo

Para verificar la existencia física de las cintas de respaldo de información se
solicitará el inventario de cintas de respaldo. Así mismo se deberá verificar la
periodicidad con que se realizanlos back- up de información, así como si se está
efectuando las pruebas para comprobar su funcionalidad.

OPERACIONES Y PROCESOS
 36

Seguridad para la protección de los equipos

Para verificar que la adecuada protección de los equipos se deberá verificar la
existencia de los siguientes equipos:
• Cámara de vigilancia. Verificar el medio de almacenamiento de las imágenes.
• Extintores de incendios. Comprobar que la carga no esté vencida.
• Aire acondicionado. Revisar cuando fue realizado el mantenimiento preventivo.
• Dispositivo para evitar inundaciones.
• Alarmas detectoras de `humo y temperatura. Verificar que se realicen las
pruebas periódicamente.
• Reguladores de voltaje y UPS.
• Software y hardware para el control de accesos al Centro de Procesamiento de
Información.

Contratos de mantenimiento
El mantenimiento periódico a los equipos es necesario para mantenerlos en
óptimas condiciones, se deberá verificar el cumplimiento y actualización de estos
contratos. Así mismo verificar la suficiencia de los mismos.

Pólizas de seguro
Para proteger los equipos se deben de contratar seguros que cubran el equipo y
su instalación, así mismo se deberá verificar la actualización de los nuevos
equipos y la fecha de vencimiento.

Plan de contingencia
Un plan de contingencia deberá contemplar todo los procesos críticos de la
organización, para reestablecer sus operaciones y deberá ser eficaz y eficiente,
los aspectos legales, el impacto en el servicio del cliente.
Deberá verificarse la actualización de los procesos, misma que se deberá realizar
por lo menos una vez al año, las pruebas para verificar su funcionalidad y la
distribución al personal responsable.
 37

PT A-1
Hecho IMJXR
Fecha 18/04/08
Reviso EOR
REVISIÓN DEL CONTROL UTILIZADO PARA
Fecha 18/04/08
EL INGRESO
 38

DE PERSONAL EXTERNO AL CENTRO DE PROCESAMIENTO DE

INFORMACIÓN.
Conforme plan de trabajo se procedió a verificar el control utilizado para el ingreso
de personal externo a las instalaciones del Centro de Procesamiento de
Información. La utilización de este control está establecida en circular normativa
No. Informática-75-2006. Los resultados se presentan a continuación.

PT A-2
Hecho IMJXR
Fecha 18/04/08
Reviso EOR
Fecha 18/04/08
REVISIÓN DE LAS CLAVES UTILIZADAS
PARA EL
 39

ACCESO AL CENTRO DE PROCESAMIENTO DE INFORMACIÓN

Conforme plan de trabajo se procedió a verificar las claves de acceso utilizadas

por personal para el ingreso a las instalaciones del Centro de Procesamiento de
Información. La asignación y custodia de claves de acceso está establecida en
circular normativa No. Informática-80-2006. Los resultados se presentan a
continuación.

PT A-3
Hecho IMJXR
REVISIÓN DEL CONTROL DE EGRESO DE Fecha 18/04/08
Reviso EOR
EQUIPOS
Fecha 18/04/08
 40

DEL CENTRO DE PROCESAMIENTO DE INFORMACIÓN

Conforme plan de trabajo se procedió a verificar el control utilizado para el egreso

de personal externo, a las instalaciones del Centro de Procesamiento de
Información. El control para el egreso de equipos está establecido en circular
normativa No. Informática-85-2006. Los resultados se presentan a continuación.
 41

PT A-4
Hecho IMJXR
Fecha 18/04/08
Reviso EOR
Fecha 18/04/08
INVENTARIO DE EQUIPOS DE COMPUTACIÓN
UBICADOS EN EL CENTRO DE PROCESAMIENTO DE INFORMACIÓN

Conforme plan de trabajo se procedió a verificar el inventario de equipos ubicados

en el Centro de Procesamiento de Información. Este inventario fue realizado
comparando los registros en libros según la conciliación de saldos de la cuenta
110101.02 mobiliario y equipo. Los resultados se presentan a continuación.
 42

INFORME DE CONTROL INTERNO Y DE OPERACIONES

Como parte del programa de trabajo anual del departamento de Auditoría Interna,
adjunto encontrará informe de la revisión efectuada al los controles existentes
para salvaguardar la seguridad física del Centro de Procesamiento de
Información.

REVISIÓN DEL CONTROL INTERNO

Revisión del control de accesos al Centro de Procesamiento de Información.

Se estableció que según circular normativa No. Informática-75-2006 que indica
que el personal del departamento de Sistemas deberá presentar autorización para
el ingreso al Centro de Procesamiento de Información. Por lo anterior se
considera conveniente que el personal asignado al Centro de Procesamiento de
Información cumpla su función de solicitar la autorización para el ingreso.

Claves de acceso autorizadas para el ingreso al Centro de Procesamiento de

Información.
En la revisión efectuada se identificaron 5 claves de acceso habilitadas para el
ingreso al Centro de Procesamiento de Información. Se compararon los usuarios
contra la nómina de empleados activos, estableciendo que la clave asignada al a
clave del Sr. Juan Carlos Gómez, no se ha dado de baja, derivado que es un
exempleado del Banco.
Así mismo la clave de Administrador del Software de acceso al Centro de
Procesamiento de Información no está siendo custodiada en un sobre lacrado en
la Bóveda del Banco.
Estos procedimientos están establecidos en Circular Normativa No. Informática-
80-2006.
 43

Inventario de equipos de computación ubicados en el Centro de

Procesamiento de Información.
Tomando el como base conciliación de saldos de la cuenta 110101.02 Mobiliario y
Equipo, se realizó inventario de los equipos asignados al Centro de
Procesamiento de Información. Derivado de esta revisión se obtuvieron resultados
satisfactorios únicamente se observaron dos equipos que no están registrados en
los libros del banco, de la siguiente manera:

• Computador central sin número de inventario ya fue dado de baja en libros.

• Servidor correspondiente a equipo de prueba perteneciente a la empresa GBM
de Guatemala.

Control de egreso de equipos del Centro de Procesamiento de Información.

El control para el egreso de equipos está establecido en circular normativa No.
Informática-85-2006. En esta circular se establece que en el control auxiliar
deberá consignarse la fecha de reingreso de los equipos, así mismo que se
deberá adjuntar la boleta que indica cuál fue el motivo que originó el envió a
reparación.

Inventario de cintas de respaldo.

El control de las cintas de respaldo está establecido en circular normativa No.
Informática-95-2006.
Según revisión a esta circular normativa, se comprobó que en el mismo no se
incluye la periodicidad con la que se deberá comprobar la utilidad de las cintas de
respaldo. Únicamente se comprueban cuando se necesita restaurar un proceso.
Por lo anterior es necesario que se incluya este aspecto en la circular normativa.

REVISIÓN DE OPERACIONES Y PROCESOS

 44

Revisión de la seguridad física de las instalaciones del Centro de

Procesamiento de Información.
Como parte importante del trabajo efectuado analizamos la seguridad física de las
instalaciones del Centro de Procesamiento de Información. Derivado de este
trabajo se determinó que no existe un procedimiento escrito para el
mantenimiento de los equipos. Un procedimiento para el mantenimiento a los
equipos asigna la periodicidad necesaria de mantenimiento a los equipos.
Actualmente no se ha dado mantenimiento preventivo a los extintores de
incendios, ni a las alarmas detectoras de humo.

Contratos de mantenimiento y seguros.

Se estableció que no existe un procedimiento escrito para la negociación y control
de los contratos de mantenimiento ni de seguro. Es importante que se lleve un
control de los contratos de mantenimiento firmados, la fecha de vencimiento, los
derechos y obligaciones adquiridos. A la fecha se encuentran vencidos los
contratos de mantenimiento de aire acondicionado y el seguro de responsabilidad
civil.

Plan de continuidad del negocio.

El Banco cuenta con un Plan de Continuidad del Negocio, sin embargo se
observó que el 20 de diciembre de 2006 se realizó la actualización anual, sin
embargo no se distribuyeron las copias al personal involucrado, así mismo no se
han realizado pruebas para verificar la oportunidad de los procesos contenidos en
este plan y documentar los resultados.
 45

CONCLUSIONES

1. Las Técnicas de Auditoría Asistidas por Computador (TAACs) constituyen

un conjunto de herramientas que permiten al auditor contar con los
procedimientos indispensables en el momento que le sea solicitado realizar
una auditoría de sistemas computacionales.

2. A través de las TAACs podemos aplicar procedimientos que nos permitan

evaluar los Sistemas de Información de una empresa desde el ingreso de
los datos al programa, pasando por su procesamiento hasta que los
mismos se convierten en información útil para la toma de decisiones a
través de los informes emitidos por los mismos.

3. Mediante las Técnicas de Auditoría Asistidas por Computador podemos

ampliar nuestro alcance de auditoría ya que el uso de una computadora
nos facilita el manejo de un gran volumen de información, con la cual
obtendremos mayor confiabilidad del trabajo realizado.
 46

RECOMENDACIONES

1. Es conveniente que el Contador Público y Auditor se mantenga actualizado

en cuanto al manejo de los sistemas de información que se realizan a
través del computador ya que del conocimiento de estos podrá estar en la
capacidad de efectuar una adecuada Auditoría de Sistemas cuando esta
sea solicitada por algún cliente.

2. Conocer a través de la evaluación del control interno, el proceso que se da

dentro de la empresa, en cuanto al registro de sus operaciones en el
sistema contable, esto con el fin de determinar la efectividad de los
operaciones registradas en el mismo de principio a fin.

3. Es importante el conocimiento de todas aquellas técnicas que nos

permitan obtener mejores resultados en nuestra proceso de revisión ya que
el mismo contribuirá a la ejecución de un trabajo más confiable-
 47

REFERENCIAS BIBLIOGRAFICAS

• Edwin Ramos Rosales, Tesis “Auditoría Interna en el Departamento de

Informática de una Institución Bancaria”, Facultad de Ciencias Económicas,
Escuela de Auditoría. Año 2008

• Lic. MSc. Marvin Cifuentes Velásquez, diplomado de Auditoría Interna

2008, Conferencia “Técnicas de Auditoría Asistidas por Computador-
TAACs-”, Instituto Guatemalteco de Contadores Públicos y Auditores –
IGCPA-, junio 2008.

• Revista Dirección y Control, México 1979, pag,21)