Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
CAPÍTULO II
Una de las ventajas más notorias de las TAAC’s es la versatilidad que estas
presentan para la realización del trabajo de campo de la auditoría, (se pueden
utilizar sin importar el tipo de organización, su tamaño, sus operaciones y sector
del mercado).
8
a. Modelaje
Esta técnica es muy similar a la técnica de Selección de Áreas de Auditoria, cuya
diferencia radica en los objetivos y criterios de selección de las áreas de interés;
ya que esta técnica tiene como objetivo medir la gestión financiera de la
organización y todo lo que ello involucra.
b. Sistema de puntajes
9
d. Centros de competencia
Consiste en centralizar la información que va a ser examinada por el auditor, a
través de la designación de un lugar específico que recibirá los datos
provenientes de todas las sucursales remotas y que luego serán almacenadas,
clasificadas y examinadas por el software de auditoria.
c. Simulación paralela
Esta es una técnica en la que el auditor elabora, a través de lenguajes de
programación o programas utilitarios avanzados, una aplicación similar a la que
va a ser auditada, con el objetivo de ingresar simultáneamente la misma
información en ambas aplicaciones para verificar la exactitud del procesamiento
de datos de la aplicación en producción.
Registros Extendidos
Técnica muy particular y útil para los auditores que han desarrollado ciertas
destrezas en el análisis de datos; y, consiste en la conservación histórica de todos
los cambios que haya sufrido una transacción en particular, convirtiéndose en un
LOG de auditoría.
Programas Utilitarios
12
b. Técnica de Mapeo
Utilizada para medir la eficiencia de ejecución de las rutinas que integran el
sistema, a través de la utilización de programas especializados para dicho fin que
mediante reportes presentan las veces en que se ejecutan las rutinas
implementadas y el tiempo que le ha tomado al procesador ejecutarlas.
Pueden determinar las rutinas que no han sido utilizadas y aquellas que
posiblemente han sido incorporadas con fines fraudulentos.
c. Técnica de Rastreo
Mediante esta técnica se establece el orden en que han sido ejecutadas las
rutinas durante una determinada transacción, lo cual permite evaluar si el orden
secuencial en que se va ejecutando cada una de las etapas del procesamiento
electrónico de datos coincide con los procesos institucionales preestablecidos.
13
ACTIVIDADE
1 Elaboración de planes de trabajo
2 Elaboración de cuestionarios, encue
3 Trabajo de campo.
4 Control de actividades a realizar en
un sistema informático.
7 Elaboración de papeles de trabajo e
15
a. Paquete de Auditoría.
• Son programas generalizados de computadora diseñados para
desempeñar funciones de procesamiento de datos que incluyen leer bases
de datos, seleccionar información, realizar cálculos, crear archivos de datos
e imprimir informes en un formato especificado por el auditor.
• Son usados para control de secuencias, búsquedas de registros, detección
de duplicaciones, detección de gaps, selección de datos, revisión de
operaciones lógicas y muestreo, algunos de ellos son el IDEA, ACL, etc.
Esta descripción no debe ser muy detallada, pero debe proporcionar una buena
visión general al lector. La descripción de los CAAT utilizados también debe ser
incluida en el informe donde se menciona el hallazgo específico relacionado con
el uso de los CAAT.
Si se puede aplicar la descripción de los CAAT a varios hallazgos o si es
demasiado detallado debe ser descrito brevemente en la sección del informe
donde se tratan los objetivos, extensión y metodología y una referencia anexa
para el lector, con una descripción más detallada.
• IDEA
Con esta herramienta se puede leer, visualizar, analizar y manipular datos; llevar
a cabo muestreos y extraer archivos de datos desde cualquier origen ordenadores
centrales a PC, incluso reportes impresos.
IDEA es reconocido en todo el mundo, como un estándar en comparaciones con
otras herramientas de análisis de datos, ofreciendo una combinación única en
cuanto a poder de funcionalidad y facilidad de uso.
Auditoría interna.
• Conformidad de políticas.
• Valor del dinero.
• Pruebas de excepción.
• Análisis.
• Comparaciones y coincidencias.
Detección de fraudes.
• Compras y pagos: validación de proveedores, análisis contables.
• Nómina: coincidencias cruzadas, cálculos.
• Lavado de dinero: valores elevados, cifras redondeadas, movimientos
frecuentes.
• Informes y análisis de gestión.
• Transferencias de archivos.
• Bancos e instituciones financieras.
• Industrias.
• Organizaciones de ventas al por menor.
• Entes gubernamentales (prestadores de ayudas y beneficios).
• ACL
Es una herramienta CAAT enfocada al acceso de datos, análisis y reportes para
auditores y profesionales financieros.
No es necesario ser un especialista en el uso de CAAT.
21
ACL permite:
• Análisis de datos para un completo aseguramiento.
• Localiza errores y fraudes potenciales.
• Identifica errores y los controla.
• Limpia y normaliza los datos para incrementar la consistencia de los
resultados.
• Realiza un test analítico automático y manda una notificación vía e-mail
con el resultado.
• Brinda una vista de la información de la organización y habilita
directamente el acceso a búsquedas de cualquier transacción, de cualquier
fuente a través de cualquier sistema.
• Ahorra tiempo y reduce la necesidad de requerimiento de información a
departamentos de TI muy ocupados
• Acceso a diversos tipo de datos con facilidad.
• Tiene un tamaño ilimitado en el monitoreo de datos y puede procesar
rápidamente millones de transacciones de datos ya que permite leer mas
de 10,000 y hasta 100,000 registros por segundo.
• Los resultados se pueden ver fácilmente y entenderlos en formatos
tabulares, posee graficas precargadas, también posee un log de actividad
de los registros, que permite analizar y comprar registros pasados con los
nuevos, posee vistas de reportes precargados de Crystal Reports.
• AUTO AUDIT
Beneficios
• AUDIMASTER
• Gestor de eventos (Log event handler) Actúa como una especie de “caja
negra” que captura y escribe en un registro de seguimiento todas las
actividades que se llevan a cabo en la base de datos.
• Base de datos de registro (Log database): El archivo principal de registro
contiene toda la información de seguimiento, por ejemplo, la identificación
de usuario, la identificación de la estación de red, el tiempo y la fecha de la
operación, el nombre de aplicación, el nombre de la tabla de la base de
datos y el tipo de operación. Además, el archivo crea imágenes, antes y
después de la transacción, a efectos de actualización de los registros.
Cada vez que un usuario modifica algún dato, AuditMaster escribe en el
registro tanto el valor antiguo como el nuevo.
• Visor de registros (Log viewer): Permite hacer consultas a la base de datos
de registro, lo que permite que un administrador de seguridad compruebe
las actividades realizadas y analice patrones y tendencias.
• DELOS
Delos es un sistema experto que posee conocimientos específicos en materia de
auditoría, seguridad y control en tecnología de información.
Este conocimiento se encuentra estructurado y almacenado en una base de
conocimiento y puede ser incrementado y/o personalizado de acuerdo con las
características de cualquier organización y ser utilizado como una guía
automatizada para el desarrollo de actividades específicas.
Delos es una herramienta que fue diseñada pensando en empresas,
organizaciones y profesionistas que deseen incrementar los beneficios derivados
de la tecnología de información a través de actividades relacionadas con
auditoría, seguridad y control en TI.
DATOS DE PRUEBA
25
SIMULACIÓN PARALELA
Registros extendidos
30
Traceo
31
Mapeo
Comparación de código
32
CAPITULO III
CASO PRÁCTICO
I. INTRODUCCIÓN
El departamento de Informática deberá contar con un espacio dentro de sus
instalaciones, dedicado al Centro de Procesamiento de Información que reúna las
condiciones mínimas de seguridad que protejan los equipos y al personal
asignado a éste.
II. OBJETIVO
Verificar el cumplimiento de los controles internos y políticas establecidas, para
salvaguardar los equipos asignados al Centro de Procesamiento de Información.
III. ALCANCE
Los resultados serán referidos al 05 de enero de 2007 e incluirán los siguientes
procedimientos:
• Entrevista con personal del departamento de Informática.
• Revisión de la documentación, para evaluar el cumplimiento de controles
internos y políticas establecidas.
• Revisión de las instalaciones para verificar la adecuada salvaguarda de los
activos.
IV. PROCEDIMIENTO
Para la revisión del control interno y operaciones se revisará lo siguiente:
CONTROL INTERNO
Revisión de control utilizado para el ingreso y egreso de equipos y personal
Se revisará la actualización de los formularios, con la siguiente información:
• Fecha y hora de ingreso y egreso.
• Nombre de la persona que ingresa y persona que la acompaña.
• Motivo del Ingreso.
• Constancia de Autorización para el ingreso de personal o egreso de equipos.
Claves de acceso
Para el control del ingreso del personal se utilizan claves de acceso y una tarjeta
electrónica, se deberá verificar lo siguiente:
35
Inventario de equipos
Se deberá solicitar el registro del inventario de equipos, verificando su existencia
física en el centro de cómputo, así como si se está efectuando la amortización del
valor de los mismos.
OPERACIONES Y PROCESOS
36
Contratos de mantenimiento
El mantenimiento periódico a los equipos es necesario para mantenerlos en
óptimas condiciones, se deberá verificar el cumplimiento y actualización de estos
contratos. Así mismo verificar la suficiencia de los mismos.
Pólizas de seguro
Para proteger los equipos se deben de contratar seguros que cubran el equipo y
su instalación, así mismo se deberá verificar la actualización de los nuevos
equipos y la fecha de vencimiento.
Plan de contingencia
Un plan de contingencia deberá contemplar todo los procesos críticos de la
organización, para reestablecer sus operaciones y deberá ser eficaz y eficiente,
los aspectos legales, el impacto en el servicio del cliente.
Deberá verificarse la actualización de los procesos, misma que se deberá realizar
por lo menos una vez al año, las pruebas para verificar su funcionalidad y la
distribución al personal responsable.
37
PT A-1
Hecho IMJXR
Fecha 18/04/08
Reviso EOR
REVISIÓN DEL CONTROL UTILIZADO PARA
Fecha 18/04/08
EL INGRESO
38
PT A-2
Hecho IMJXR
Fecha 18/04/08
Reviso EOR
Fecha 18/04/08
REVISIÓN DE LAS CLAVES UTILIZADAS
PARA EL
39
PT A-3
Hecho IMJXR
REVISIÓN DEL CONTROL DE EGRESO DE Fecha 18/04/08
Reviso EOR
EQUIPOS
Fecha 18/04/08
40
PT A-4
Hecho IMJXR
Fecha 18/04/08
Reviso EOR
Fecha 18/04/08
INVENTARIO DE EQUIPOS DE COMPUTACIÓN
UBICADOS EN EL CENTRO DE PROCESAMIENTO DE INFORMACIÓN
Como parte del programa de trabajo anual del departamento de Auditoría Interna,
adjunto encontrará informe de la revisión efectuada al los controles existentes
para salvaguardar la seguridad física del Centro de Procesamiento de
Información.
CONCLUSIONES
RECOMENDACIONES
REFERENCIAS BIBLIOGRAFICAS