TÉCNICAS DE AUDITORÍA CON AYUDA DE COMPUTADORA

Trabajo semana 2 Curso  318811 del SENA-
Auditoría informática, conceptualización

 
Actividad A

 TÉCNICAS DE AUDITORÍA CON AYUDA DE COMPUTADORA

 

Los objetivos globales y el alcance de una auditoría no cambian cuando una    auditoría se conduce en un entorno de CIS según se definió en la Norma Internacional de Auditoría (NIA) "Auditoría en un entorno de sistemas de información por computadora"; sin embargo, la aplicación de procedimientos de auditoría puede requerir que el auditor considere técnicas que usen la compu­tadora como una herramienta de auditoría. Estos diversos usos de la computadora son conocidos como Técnicas de Auditoría con Ayuda de Computadora (TAACs).

Las TAACs pueden mejorar la efectividad y eficiencia de los procedimientos de auditoría. Pueden también proporcionar pruebas de control efectivas y procedimientos sustantivos cuando no haya documentos de entrada o un rastro visible de auditoría, o cuando la población y tamaños de muestra sean muy grandes.

Consideraciones en el uso de TAACs

Al planear la auditoría, el auditor deberá considerar una combinación apropiada de técnicas de auditoría manuales y con ayuda de computadora. Al determinar si se usan TAACs, los factores a considerar incluyen:

• Conocimiento, pericia y experiencia del auditor en computadoras.
• Disponibilidad de TAACs e instalaciones adecuadas de computación.
• No factibilidad de pruebas manuales.
• Efectividad y eficiencia.
• Oportunidad.

 Utilización de TAACs

Los pasos principales que debe tomar el auditor en la aplicación de una TAAC son:

1. establecer el objetivo de aplicación de la TAAC;
2. determinar el contenido y accesibilidad de los archivos de la entidad;
3. identificar los archivos específicos o bases de datos que deben examinarse;
4. entender la relación entre las tablas de datos cuando deba examinarse una base de datos;
5. definir las pruebas o procedimientos específicos y transacciones relacionadas y saldos afectados;
6. definir los requerimientos de datos de salida;
7. convenir con el usuario y departamentos de CIS, si es apropiado, en las copias de los archivos relevantes o tablas de bases de datos que deben hacerse en la fecha y momento apropiado del corte;
8. identificar al personal que puede participar en el diseño y aplicación de la TAAC;
9. refinar las estimaciones de costos y beneficios;
10. asegurarse que el uso de la TAAC está controlado y documentado en forma apropiada;
11. organizar las actividades administrativas, incluyendo las habilidades necesarias e instalaciones de computación;
12. conciliar los datos que deban usarse para la TAAC con los registros contables;
13. ejecutar la aplicación de la TAAC; y
14. evaluar los resultados.

Descripción de técnicas de auditoría con ayuda de computadora

Las TAACs pueden usarse para desarrollar diversos procedimientos de auditoría, incluyendo los siguientes:

• pruebas de detalles de transacciones y saldos, por ejemplo, el uso de software de auditoría para recalcular los intereses o la extracción de facturas por encima de un cierto valor de los registros de computadora;
• procedimientos analíticos, por ejemplo, identificar inconsistencias o fluctuaciones importantes;
• pruebas de controles generales, por ejemplo, pruebas de la instalación o configuración del sistema operativo o procedimientos de acceso a las bibliotecas de programas o el uso de software de comparación de códigos para verificar que la versión del programa en uso es la versión aprobada por la administración;
• muestreo de programas para extraer datos para pruebas de auditoría;
• pruebas de controles de aplicación, por ejemplo, pruebas del funcionamiento de un control programado; y
• rehacer cálculos realizados por los sistemas de contabilidad de la entidad.

Las TAACs son programas y datos de computadora que el auditor usa como parte de los procedimientos de auditoría para procesar datos importantes para la auditoría contenidos en los sistemas de información de una entidad. Los datos pueden ser datos de transacciones, sobre los que el auditor desea realizar pruebas de controles o procedimientos sustantivos, o pueden ser otros tipos de datos. Por ejemplo, los detalles de la aplicación de algunos controles generales pueden mantenerse en forma de archivos de texto u otros archivos por aplicaciones que no sean parte del sistema contable. El auditor puede usar TAACs para revisar dichos archivos para obtener evidencia de la existencia y operación de dichos controles. Las TAACs pueden consistir en programas de paquete, programas escritos para un propósito, programas de utilería o programas de administración del sistema. Independientemente del origen de los programas, el auditor ratifica que sean apropiados y su validez para fines de auditoría antes de usarlos:

•Los programas en paquete son programas generalizados de computadora diseñados para desempeñar funciones de procesamiento de datos, tales como leer datos, seleccionar y analizar información, hacer cálculos, crear archivos de datos así como dar informes en un formato especificado por el auditor.

•Los programas escritos para un propósito desempeñan tareas de auditoría en circunstancias específicas. Estos programas pueden desarrollarse por el auditor, por la entidad que está siendo auditada o por un programador externo contratado por el auditor. En algunos casos el auditor puede usar los programas existentes de una entidad en su estado original o modificados porque así puede ser más eficiente que desarrollar programas independientes.

•Los programas de utilerías se usan por una entidad para desempeñar funciones comunes de procesamiento de datos, tales como clasificación, creación e impresión de archivos. Estos programas generalmente no están diseñados para propósitos de auditoría y, por lo tanto, pueden no contener características tales como conteos automáticos de registros o totales de control.

•Los programas de administración del sistema son herramientas de productividad mejorada que típicamente son parte de un ambiente sofisticado de sistemas operativos, por ejemplo, software de recuperación de datos o software de comparación de códigos. Como los programas de utilerías, estas herramientas no están diseñadas específicamente para usarlos en auditoría y su uso requiere un cuidado adicional.

•Las rutinas de auditoría, incorporadas a veces, están integradas en un sistema de computadoras de una entidad para proporcionar datos de uso posterior por el auditor.

Control de la aplicación de la TAAC

El uso de una TAAC deberá ser controlado por el auditor para proporcionar razonable certeza de que los objetivos de auditoría y las especificaciones detalla­das de la TAAC han sido satisfechos, y de que la TAAC no es manipulada en forma inapropiada por el personal de la entidad. Los procedimientos específicos necesarios para controlar el uso de una TAAC dependerán de la aplicación particular. Al establecer el control de auditoría, el auditor deberá considerar la necesidad de:

(a) aprobar especificaciones y conducir una revisión del trabajo que deba desarrollar la TAAC;

(b) revisar los controles generales de la entidad que puedan contribuir a la integridad de la TAAC, por ejemplo, controles sobre cambios a programas y acceso a archivos de computadora. Cuando dichos controles no son confiables para asegurar la integridad de la TAAC, el auditor puede considerar el proceso de la aplicación de la TAAC en otra instalación de computación adecuada; y

(c)  asegurar la integración apropiada de los datos de salida dentro del proceso de auditoría por parte del auditor.

Los procedimientos desempeñados por el auditor para controlar las aplicaciones del software de auditoria pueden incluir:

(a) Participar en el diseño y prueba de los programas de computadora.

(b) Verificar  la  codificación  del programa para asegurar que está de acuerdo con las especificaciones detalladas del programa.

(c) Solicitar  al personal de computación de la entidad que revise las instruc­ciones del sistema operativo para asegurar que el software correrá en la instalación de computación de la entidad.

(d) Correr el software de auditoria en pequeños archivos de prueba antes de correrlo en los archivos principales de datos.

(e) Asegurar   que  fueron usados los archivos correctos -por ejemplo, verifican­do con la evidencia externa, como totales de control conservados por el usuario.

(f) Obtener  evidencia  de que el software de auditoria funcionó como se planeaba -por ejemplo, revisando los datos de salida y la información de control.

(g) Establecer medidas de seguridad apropiadas para salvaguardar contra la manipulación de los archivos de datos de la entidad.

La presencia del auditor no se requiere necesariamente en la instalación de computación  durante  la  corrida  de  una  TAAC  para asegurar procedimientos de control apropiados. Sin embargo, puede tener ventajas prácticas, como la posibilidad de controlar la distribución de los datos de salida y asegurar la corrección oportuna de errores -por ejemplo, si se fueran a usar archivos de entrada equivocados.

Los procedimientos llevados a cabo por el auditor para controlar las aplicaciones de datos de prueba pueden incluir:

(a)       Controlar  la  secuencia de  entregas  de  datos  de prueba cuando se extienda a varios ciclos de procesamiento.

(b)       Realizar corridas de prueba  que contengan pequeñas  cantidades  de  datos  de prueba antes de someter los datos de prueba de auditoría principales.

(c)       Predecir los  resultados  de  los  datos  de  prueba  y compararlos con la salida real de los datos de prueba, para las transacciones individuales y en total.

(d)       Confirmar  que  se usó la  versión corriente de los programas para procesar los datos de prueba.

(e)       Obtener razonable certeza de que los programas usados para procesar los datos de prueba se usaron por la entidad durante el periodo aplicable de auditoría.

Cuando utilice una TAAC, el auditor puede requerir la cooperación del personal de  la entidad que tenga amplio conocimiento de la instalación de computación. En tales circunstancias, el auditor deberá tener razonable certeza de que el personal de la entidad no influyó en forma inapropiada en los resultados de la TAAC.

Documentación

El estándar de papeles de trabajo y de procedimientos de retención para una TAAC deberá ser consistente con el de la auditoría como un todo (ver NIA 9, Documentación). Puede ser conveniente mantener los papeles técnicos que se refieren al uso de la TAAC separados de los otros papeles de trabajo de la auditoría.

Los papeles de trabajo deberán contener suficiente documentación para describir la aplicación de la TAAC, tal como:

(a)  Planeación

Objetivos de la TAAC.
TAAC específica que se va usar.
Controles que se van a ejercer.
Personal, tiempo y costo.

(b)  Ejecución

Preparación de la TAAC y procedimientos de prueba y controles.
Detalles de las pruebas ejecutadas por la TAAC.
Detalles de datos de entrada, procesamiento y datos de salida. Información técnica relevante sobre el sistema de contabilidad de la entidad, tal como compaginación de archivos de computadora.

(c) Evidencia de Auditoría

Datos de salida proporcionados. Descripción del trabajo de auditoria       realizado en los datos de salida.       Conclusiones de auditoria.

(d) Otros

Recomendaciones a la administración de la entidad.


Además, puede ser útil documentar sugerencias para usar la TAAC en años futuros.

 Ejemplos de utilización de técnicas CAAT

    - Generadores de datos de prueba     - Sistemas expertos     - Utilitarios estándares     - Paquetes de biblioteca de software     - Instalaciones de pruebas integradas     - Archivos de revisión de auditoría de control del sistema     - Software especializado de auditoría

Ventajas de las técnicas CAAT

   - Reducir el nivel de riesgo de auditoría      - Mayor independencia respecto del auditado      - Cobertura más amplia y coherente de la auditoría     - Mayor disponibilidad de información     - Mejor identificación de excepciones     - Mayores oportunidades de cuantificar las debilidades del control interno  

Aspectos de las técnicas CAAT

- Facilidad de utilización     - Requisitos de capacitación e instalación     - Complejidad de codificación y mantenimiento      - Flexibilidad de uso      - Eficiencia de procesamiento      - Esfuerzo que se requiere para llevar la información fuente al CAAT para su análisis

Documentación de las técnicas CAAT

 - Listados de programas      - Flujogramas      - Informes de muestras      - Diseño de archivos y registros      - Definición de campos      - Instrucciones de operación

Utilización de TAACs en entornos de computadora en negocios pequeños

Los principios generales explicados en esta Norma son aplicables en los entornos de computadora de negocios pequeños. Sin embargo, en estos entornos deberá darse especial consideración a los siguientes puntos:

(a)       El nivel de controles generales de CIS puede ser tal que el auditor deposite menos confiabilidad en el sistema de control interno. Esto dará como resultado:

· Mayor énfasis en las pruebas de detalles de transacciones y saldos y en los procedimientos de revisión analítica, lo que puede aumentar la efectividad  de  ciertas TAACs, particularmente del software de auditoria.

· La aplicación de procedimientos de auditoria para asegurar el funcionamiento  apropiado  de  la  TAAC y la validez de los datos de la entidad.

En casos donde se procesen menores volúmenes de datos, los métodos manuales pueden ser más efectivos en costo.

La asistencia técnica adecuada puede no estar disponible al auditor por parte de la entidad, haciendo así poco factible el uso de TAACs.

Ciertos  programas de auditoria en paquete pueden no operar en com­putadoras  pequeñas,  restringiendo  así  la  opción  del  auditor  en    cuanto  a TAACs.   Sin  embargo,  los  archivos de datos de la  entidad  pueden  copiarse  y procesarse en otra computadora adecuada.

Definir mínimo 3 técnicas de auditoria asistidas por computadora

Datos de Prueba Las técnicas de datos de prueba se usan para conducir los procedimientos de auditoria cuando se registran los datos en el sistema de cómputo de una dependencia (por ejemplo, una muestra de transacciones), y los resultados obtenidos se comparan con los resultados determinados previamente. He aquí algunos ejemplos de estos usos: 

· Datos de prueba que se hayan usado para verificar los controles específicos en los programas de cómputo, como son la clave de acceso en línea y los controles para el acceso a datos. ·

Transacciones de prueba seleccionadas a partir de transacciones anteriores o creadas por el auditor para verificar las características específicas de procesamiento del sistema de cómputo de una dependencia. En general, estas transacciones se procesan fuera del procesamiento normal que utilice la dependencia

Análisis de Bitácoras Hoy en día los sistemas de cómputo se encuentran expuestos a distintas amenazas, las vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen más complejos, el número de ataques también aumenta, por lo anterior las organizaciones deben reconocer la importancia y utilidad de la información contenida en las bitácoras de los sistemas de cómputo así como mostrar algunas herramientas que ayuden a automatizar el proceso de análisis de las mismas. El crecimiento de Internet enfatiza esta problemática, los sistemas de cómputo generan una gran cantidad de información, conocidas como bitácoras o archivos logs, que pueden ser de gran ayuda ante un incidente de seguridad, así como para el auditor. Una bitácora puede registrar mucha información acerca de eventos relacionados con el sistema que la genera los cuales pueden ser: Fecha y hora Direcciones IP origen y destino. Dirección IP que genera la bitácora. Usuarios. Errores. Las bitácoras contienen información crítica es por ello que deben ser analizadas, ya que están teniendo mucha relevancia, como evidencia en aspectos legales.

 Simulación paralela Técnica muy utilizada que consiste en desarrollar programas o módulos que simulen a los programas de un sistema en producción. El objetivo es procesar los dos programas o módulos de forma paralela e identificar diferencias entre los resultados de ambos.

Menciona las ventajas de su uso en términos generales

·         Incrementan el alcance y calidad de los muestreos, verificando un gran número de elementos.

·         Se puede ver como los recursos han sido utilizados y detectar parámetros de uso o desviaciones en cuanto a los procedimientos y políticas de la empresa.

·         Recuperar información ante incidentes de seguridad, detección de comportamiento inusual, información para resolver problemas, evidencia legal.

·         Es de gran ayuda en las tareas de cómputo forense.

·         Incrementan la confiabilidad y calidad permitiendo realizar pruebas que no pueden efectuarse manualmente.  

CONCLUSIÓN

Se concluye que el uso de los TAAC´s  le permite al auditor obtener suficiente evidencia confiable, sobre la cual sustentar sus observaciones y recomendaciones, lo que obliga al auditor a desarrollar destrezas especiales en el uso de estas técnicas.

 

Fuentes:

http://hugo-r-gonzalez-b.neurona.com/

 

Nota sobre las fuentes:

Cuando imprimo de Internet los diversos informes relacionados con la actividad, no me preocupé por anotar las fuentes; luego, al hacer el trabajo no las tuve y se me dificultaría mucho encontrarlas; no volverá a suceder.

                                    

Actividad B

 

INTECO informa del robo de datos de su Plataforma de Formación online

/extfrontinteco/img/cm/10/01/80/06/72/10/01/80/06/73/10/01/80/06/74/logo_inteco1_para_web.png-

06/06/2011

El Instituto está adoptando las medidas necesarias para minimizar los daños a los usuarios de la Plataforma

El hecho ha sido descubierto hoy en el curso de actuaciones que lleva a cabo regularmente INTECO, en colaboración con empresas de seguridad de la información y otros centros de respuesta a incidentes de seguridad.

Según las primeras investigaciones, la sustracción de datos podría haber afectado a parte de los 20.000 usuarios de la plataforma y la información personal que habría sido robada se refiere exclusivamente a los siguientes datos, en el caso de que hubieran sido aportados por los usuarios:

•Nombre y apellidos. •Número de teléfono. •DNI. •Correo electrónico.

INTECO ha puesto el incidente en conocimiento de la Brigada de Investigación Tecnológica de la Policía Nacional y está preparando un comunicado personalizado a los posibles afectados alertándoles de los riesgos derivados del incidente y de la manera de protegerse.

INTECO pide disculpas a los usuarios de su plataforma de formación en línea por los inconvenientes causados.

En el sitio web de INTECO (www.inteco.es -http://www.inteco.es- ) se irá ofreciendo información actualizada sobre este incidente.

Le recomendamos que siga los siguientes consejos de seguridad:

1. Desde INTECO nunca se le solicitará información de carácter personal por correo electrónico o teléfono. No responda a ninguna petición de información de estas características.

2. No haga clic en enlaces incluidos en mensajes de correo electrónico, mensajes SMS o MMS cuyo origen no sea confiable.

3. Revise el estado de seguridad de su equipo. En particular, compruebe que el sistema operativo, el navegador y otras aplicaciones (entre otras las de seguridad) están debidamente actualizadas.

4. Ante cualquier duda, póngase en contacto con INTECO en la dirección de correo electrónico: incidencias@cert.inteco.es

 

Fuentes:

•General/pressRoom/Prensa/Actualidad_INTECO/?idLabel=2250578&labelName=General-

•Seguridad -/pressRoom/Prensa/Actualidad_INTECO/?idLabel=2250048&labelName=Seguridad-

 

Conclusiones:

Los procesos informáticos requieren capacitación y nos falta mucho, es evidente con esto de estar robando a Inteco (Instituto de las Tecnologías de la Comunicación); pero siempre se está aprendiendo y seguramente es un error que se corrige y no vuelven o vuelven a repetir. ¿Faltó tomar qué medidas?, ¿qué sabemos de lo que pasó?, a veces no se sabe y nos toca conformarnos con lo que nos regalen o vendan.