5.3 Técnicas de auditoría asistidas por computadoras
Imprime este documento

La aplicación de los procedimientos de auditoría ha dado lugar a que el auditor considere las técnicas que hacen uso de la computadora como una herramienta de auditoría. Estos diversos usos de la computadora se conocen como Técnicas de Auditoría Asistidas por Computadoras (TAAC).

La eficacia y eficiencia de los procedimientos de auditoría pueden mejorarse mediante el uso de las TAAC.

Las Técnicas de Auditoría Asistida por Computadora pueden usarse para llevar a cabo varios procedimientos de auditoría como los siguientes:

  • Pruebas detalladas de las transacciones y los balances. Por ejemplo, el uso de software de auditoría para verificar todas las transacciones (o una muestra) en un archivo de computadora.
  • Procedimientos de revisión analítica. Por ejemplo, el uso del software de auditoría para identificar las fluctuaciones o los artículos extraordinarios.
  • Pruebas de cumplimiento de los controles generales de Procesamiento Electrónico de Datos (PED), por ejemplo, el uso de datos de prueba para verificar los procedimientos de acceso a las bibliotecas del programa.
  • Pruebas de cumplimiento de los controles de aplicación de PED. Por ejemplo, el uso de los datos de prueba para verificar el funcionamiento de un procedimiento programado.

Descripción de las Técnicas de Auditoría Asistidas por Computadora

Software de auditoría

El software de auditoría consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditoría, para procesar datos de importancia de auditoría del sistema de contabilidad de la entidad. Puede consistir en programas de paquete, programas escritos para un propósito, programas de utilería o programas de administración del sistema. Independientemente de la fuente de los programas, el auditor deberá verificar su validez para fines de auditoría antes de su uso.

Paquete de Auditoría

Son programas generalizados de computadora diseñados para desempeñar funciones de procesamiento de datos que incluyen leer archivos de computadora, seleccionar información, realizar cálculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor. Son usados para control de secuencias, búsquedas de registros, selección de datos, revisión de operaciones lógicas y muestreo.

Software para un propósito específico o diseñado a la medida

Son programas de computadora diseñados para desempeñar tareas de auditoría en circunstancias específicas. Estos programas pueden ser desarrollados por el auditor, por la entidad, o por un programador externo contratado por el auditor. En algunos casos, el auditor puede usar programas existentes en la entidad en su estado original o modificado porque puede ser más eficiente que desarrollar programas independientes. Si se desarrolla a la medida, es posible aprovechar estos programas para aplicar otras técnicas.

Los programas de utilería

Son usados por la entidad para desempeñar funciones comunes de procesamiento de datos, como clasificación, creación e impresión de archivos. Estos programas generalmente no están diseñados para propósitos de auditoría y, por lo tanto, pueden no contener características tales como conteo automático de registros o totales de control.

Los programas de administración del sistema

Son herramientas de productividad sofisticadas que son típicamente parte de los sistemas operativos sofisticados, por ejemplo, software para recuperación de datos o software para comparación de códigos. Como en el caso anterior, estas herramientas no son específicamente diseñadas para usos de auditoría y deben ser utilizadas con cuidado.

Rutinas de Auditoría embebidas en Programas de aplicación

Son módulos especiales de recolección de información incluidos en la aplicación y diseñados con fines específicos.

Snap Shots

Es semejante a una fotografía interna al sistema, es decir, a la memoria, lo que permite obtener resultados intermedios en diferentes momentos de un proceso o conseguir valores temporales de una variable. Se activa mediante ciertas condiciones preestablecidas. Permite al auditor rastrear los datos y evaluar los algoritmos aplicados a los datos.

Archivo de revisión de auditoría

Involucra módulos incrustados en una aplicación que monitorea continuamente el sistema de transacciones. Recolecta la información en archivos especiales que puede examinar el auditor.

System control audit Review file

En resumen, los paquetes de auditoría son usados para control de secuencias, búsquedas de registros, selección de datos, revisión de operaciones lógicas y muestreo.

Registros extendidos

Se incluye en algún tipo de registro, información significativa sobre las transacciones o sobre el sistema, que luego puede ser consultada por el auditor.

Traceo

Indica por dónde pasa el programa cada vez que se ejecuta una instrucción. Imprime o muestra en la pantalla el valor de las variables, en una porción o en todo el programa.

Mapeo

Son características del programa tales como tamaño en bytes, localización en memoria, fecha de última modificación, etcétera.

Comparación de código

Involucra los códigos fuentes y códigos objetos.

Job Accounting Software

Es un Informe de Contabilidad del Sistema. Utilitario del sistema operativo que provee el medio para acumular y registrar la información necesaria para facturar a los usuarios y evaluar el uso del sistema.

La Auditoría del Área de Informática

Al igual que el uso de todo tipo de herramientas para llevar a cabo la auditoría con el empleo de los avances tecnológicos, como se indicó en los párrafos anteriores, se perfila también la necesidad de aplicarse auditorías especiales al área encargada de llevar a cabo el registro de todas las transacciones y actividades en general con el empleo de los equipos de cómputo, me refiero precisamente al área de informática o de procesamiento de datos, bien sea que opere a través de una sola máquina o, peor aún, con el uso de servidores y terminales instaladas en diversas áreas de la organización.

Los principales objetivos que constituyen a la auditoría informática son el control de la función informática, el análisis de la eficiencia de los sistemas informáticos que comporta, la verificación del cumplimiento de la normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.

Alcances de la auditoría informática

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, lo cual se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el informe final, de modo que quede perfectamente determinado no solamente hasta qué puntos se ha llegado, sino cuales áreas fronterizas han sido omitidas. Para esto se necesitan evaluar dos puntos convergentes que determinan el alcance.

  1. Control de integridad de registros: Hay aplicaciones que comparten registros. Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionará como debería.
  2. Control de validación de errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.

Síntomas de necesidad de una auditoria en informática

Las empresas acuden a las auditorias externas o internas cuando existen síntomas perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

  1. Síntomas de descoordinación y desorganización.
    1. No coinciden los objetivos de la informática de la compañía.
    2. Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.

Puede ocurrir con algún cambio masivo de personal, o en una reestructuración
fallida de alguna área o en la modificación de alguna norma importante.

  1. Síntomas de mala imagen e insatisfacción de los usuarios.
    1. No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en las terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etcétera.
    2. No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.
    3. No se cumplen en todos los casos los plazos de entrega de resultados periódicos.
    4. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de aplicaciones críticas y sensibles.
  2. Síntomas de debilidades económico-financieras.
    • Incremento desmesurado de costes.
    • Necesidad de justificación de inversiones informáticas.
    • Desviaciones presupuestarias significativas.
    • Costes y plazos de nuevos proyectos.
    • Síntomas de inseguridad (evaluación de nivel de riesgos).

a) Seguridad Lógica.
b) Seguridad Física.
c) Confidencialidad.

Continuidad del Servicio

Es un concepto aún más importante que la seguridad, establece las estrategias de continuidad entre fallos mediante planes de contingencia totales y locales (para prevenir cortes de energía u otro tipo de problemas que bloqueen el uso del sistema o el acceso al sitio donde se encuentra físicamente el equipo de cómputo central, por ejemplo, el uso de Back up, para operar en oficinas paralelas).

Toda empresa, pública o privada, que posean Sistemas de Información medianamente complejos, deben de someterse a un control estricto de evaluación de eficacia y eficiencia. Hoy en día, la gran mayoría de las empresas tienen toda su información estructurada en sistemas informáticos, de aquí, la vital importancia de que los sistemas de información funcionen correctamente.

El éxito de una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede tener un staff de gente de primera, pero un sistema informático propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldrá adelante. En cuanto al trabajo de la auditoría en sí, podemos remarcar que se precisa de gran conocimiento de Informática, seriedad, capacidad, minuciosidad y responsabilidad; la auditoría de sistemas debe hacerse por gente altamente capacitada en el área, una auditoría mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente económicas.

El computador, la auditoría y las normas internacionales

La evolución del mundo hacia bloques económicos y de allí hacia empresas multinacionales, dan lugar a que cada vez pierdan importancia las normas específicas de cada país y tome mayor auge la estandarización internacional y las reglas que se fijen en ese contexto.

Las nuevas condiciones de los negocios entre países se han conjugado con dos elementos más: a) el empleo de las computadoras para el registro y control de la información contable-financiera-administrativa; y b) la importancia de las auditorías tanto para la verificación y aseguramiento de la información como para el control y mejoramiento de los negocios de manera integral.

Debido también a que los inversionistas internacionales exigen reglas estandarizadas que les faciliten la realización de sus negocios apoyados en el uso de la tecnología y en sistemas de información que les provean reportes financieros de calidad que sirvan para la toma de decisiones. Lo anterior ha obligado a preparar el camino para la creación de las normas de auditoría que tienen ese carácter de tipo internacional, como lo transcribo a continuación:

Estándares Internacionales de Auditoría

NORMA 401. Auditoría en un ambiente de sistemas de información por computador (SIC).

El objetivo y alcance de una auditoría no cambia en un ambiente SIC, sin embargo, el uso del computador cambia el procesamiento, almacenamiento y salida de información, pudiendo afectar los sistemas de contabilidad y de control interno. Esto hará que se afecten los procedimientos seguidos por el auditor para comprender los sistemas de contabilidad y de control interno, la consideración del riesgo inherente y del riesgo de control y el diseño de las pruebas de control y sustantivas.

Declaraciones Internacionales de Auditoría

El Comité IAASB de la Federación Internacional de Contadores (IFAC) emite lineamientos (IAPS s) sobre prácticas de auditoría generalmente aceptadas y sobre servicios relacionados y sobre la forma y contenido de los dictámenes del auditor. Estos lineamientos tienen la intención de mejorar el grado de uniformidad de las prácticas de auditoría y servicios relacionados en todo el mundo.

Declaración 1009 - Técnicas de auditoría con ayuda del computador

Las Técnicas de Auditoría con ayuda de la computadora (TAACs) pueden mejorar la efectividad y eficiencia de los procedimientos de auditoría. Pueden también proporcionar pruebas de control efectivas y procedimientos sustantivos cuando no haya documentos de entrada o un rastro visible de auditoría, o cuando la población y tamaños de muestra sean muy grandes.

anteriorSiguiente