Computer Assisted Audit Techniques CAAT.docx

7/22/2019 Computer Assisted Audit Techniques CAAT.docx

1/24

Computer Assisted Audit Techniques CAAT

Las tcnicas de auditora asistidas por computadora son de suma importancia para elauditor de TI cuando realiza una auditora. CAAT (Computer Audit AssistedTechniques) incluyen distintos tipos de herramientas y de tcnicas, las que ms seutilizan son los software de auditora generalizado, software utilitario, los datos de

prueba y sistemas expertos de auditora. Las CAAT se pueden utilizar para realizarvarios procedimientos de auditora incluyendo:

Prueba de los detalles de operaciones y saldos. Procedimientos de revisin analticos. Pruebas de cumplimiento de los controles generales de sistemas de informacin. Pruebas de cumplimiento de los controles de aplicacin.

A continuacin se enuncian algunas de las normas que el auditor de sistemas de

informacin debe conocer. El ajustarse a estas normas no es obligatorio, pero el auditorde sistemas de informacin debe estar preparado para justificar cualquierincumplimiento a stas.

Normas Internacionales de Auditoraemitidas por IFAC (International Federation ofAccountants) en la NIA (Norma Internacional de Auditora o International Standards onAuditing, ISA) 15 y 16, donde se establece la necesidad de utilizar otras tcnicasadems de las manuales.

Norma ISA 401, sobre Sistemas de Informacin por Computadora. SAS No. 94 (The

Effect of Information Technology on the Auditor's Consideration of Internal Control in

a Financial Statement audit)dice que en una organizacin que usa Tecnologas deInformacin, se puede ver afectada en uno de los siguientes cinco componentes delcontrol interno: el ambiente de control, evaluacin de riesgos, actividades de control,informacin, comunicacin y monitoreo adems de la forma en que se inicializan,registran, procesan y reporta las transacciones.

La norma SAP 1009 (Statement of Auditing Practice)denominada Computer AssistedAudit Techniques (CAATs) o Tcnicas de Auditora Asistidas por Computador, planteala importancia del uso de CAAT en auditoras en un entorno de sistemas de informacin

por computadora.

SAP 1009 los define como programas de computadora y datos que el auditor usa comoparte de los procedimientos de auditora para procesar datos de significancia en unsistema de informacin.

SAP 1009 describe los procedimientos de auditora en que pueden ser usados losCAAT:

1. Pruebas de detalles de transacciones y balances (reclculos de intereses,extraccin de ventas por encima de cierto valor, etc.)

2. Procedimientos analticos, por ejemplo identificacin de inconsistencias ofluctuaciones significativas.


2/24

3. Pruebas de controles generales, tales como configuraciones en sistemasoperativos, procedimientos de acceso al sistema, comparacin de cdigos yversiones.

4. Programas de muestreo para extraer datos.5. Pruebas de control en aplicaciones.6. Reclculos.

Segn SAP1009, en su prrafo 26 y como se muestra en la Figura 3.1, Flujo de unCAAT:

El software de auditora consiste en programas de computadora usados por el auditor,como parte de sus procedimientos de auditora, para procesar datos de importancia deauditora del sistema de contabilidad de la entidad. Puede consistir en programas de

paquete, programas escritos para un propsito, programas de utilera o programas deadministracin del sistema. Independientemente de la fuente de los programas, elauditor deber verificar su validez para fines de auditora antes de su uso.

Figura 3.1. Flujo de un CAAT

Tcnicas para analizar programas

Existen diferentes tcnicas para analizar programas la cuales ayudan al auditor en eltrabajo de campo y de las cuales las ms importantes se mencionan a continuacin:

Traceo

Indica por donde paso el programa cada vez que se ejecuta una instruccin.Imprime o muestra en la pantalla el valor de las variables, en una porcin o entodo el programa.

Mapeo

Caracterstica del programa tales como tamao en bytes, localizacin enmemoria, fecha de ltima modificacin, etc.

Comparacin de cdigo

Involucra los cdigos fuentes y cdigos objetos.

Job Accounting Software. Informe de Contabilidad del Sistema
http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-flujo-caathttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-flujo-caathttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-flujo-caathttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-flujo-caathttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-flujo-caathttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-flujo-caathttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-flujo-caathttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-flujo-caat


3/24

Utilitario del sistema operativo que provee el medio para acumular y registrar lainformacin necesaria para facturar a los usuarios y evaluar el uso del sistema.

Planificacin de CAAT

En este punto se mencionarn cuales son los factores que influyen en la adecuadaseleccin de una herramienta CAAT, as como los pasos que se deben tomar en cuenta

para la planificacin y seleccin de la misma.

Cuando se planifica la auditora, el auditor de sistemas de informacin debe consideraruna combinacin apropiada de las tcnicas manuales y las tcnicas de auditora asistidas

por computadora. Cuando se determina utilizar CAAT los factores a considerar son lossiguientes:

Conocimientos computacionales, pericia y experiencia del auditor de sistemasde informacin.

Disponibilidad de los CAAT y de los sistemas de informacin. Eficiencia y efectividad de utilizar los CAAT en lugar de las tcnicas manuales Restricciones de tiempo

Los pasos ms importantes que el auditor de sistemas de informacin debe considerarcuando prepara la aplicacin de los CAAT seleccionados son los siguientes:

Establecer los objetivos de auditora de los CAAT: Determinar accesibilidad ydisponibilidad de los sistemas de informacin, los programas/sistemas y datos dela organizacin.

Definir los procedimientos a seguir (por ejemplo: una muestra estadstica,reclculo, confirmacin, etc).

Definir los requerimientos de output. Determinar los requerimientos de recursos. Documentar los costos y los beneficios esperados. Obtener acceso a las facilidades de los sistemas de informacin de la

organizacin, sus programas/sistemas y sus datos. Documentar los CAAT a utilizar incluyendo los objetivos, flujogramas de alto

nivel y las instrucciones a ejecutar. Acuerdo con el cliente (auditado): Los archivos de datos, tanto como los

archivos de operacin detallados (transaccionales, por ejemplo), a menudo son

guardados slo por un perodo corto, por lo tanto, el auditor de sistemas deinformacin debe arreglar que estos archivos sean guardados por el marco detiempo de la auditora.

Organizar el acceso a los sistemas de informacin de la organizacin,programas/sistemas y datos con anticipacin para minimizar el efecto en elambiente productivo de la organizacin

El auditor de sistemas de informacin debe evaluar el efecto que los cambios a losprogramas/sistemas de produccin puedan tener en el uso de los CAAT. Cuando elauditor de sistemas de informacin lo hace, debe considerar el efecto de estos cambiosen la integridad y utilidad de los CAAT, tanto como la integridad de los

programas/sistemas y los datos utilizados por el auditor de sistemas de informacin.Probando los CAAT el auditor de sistemas de informacin debe obtener una garanta


4/24

razonable de la integridad, confiabilidad, utilidad y seguridad de los CAAT por mediode una planificacin, diseo, prueba, procesamiento y revisin adecuados de ladocumentacin. sto debe ser hecho antes de depender de los CAAT. La naturaleza, eltiempo y extensin de las pruebas depende de la disponibilidad y la estabilidad de losCAAT.

La seguridad de los datos y de los CAAT pueden ser utilizados para extraer informacinde programas/sistemas y datos de produccin confidenciales. El auditor de sistemas deinformacin debe guardar la informacin de los programas/sistemas y los datos de

produccin con un nivel apropiado de confidencialidad y seguridad. Al hacerlo elauditor debe considerar el nivel de confidencialidad y seguridad que exige laorganizacin a la cual pertenecen los datos. El auditor de sistemas de informacin debeutilizar y documentar los resultados de los procedimientos aplicados para asegurar laintegridad, confiabilidad, utilidad y seguridad permanentes de los CAAT. Por ejemplo,debe incluir una revisin del mantenimiento de los programas y controles de loscambios de programa de auditora para determinar que slo se hacen los cambios

autorizados al CAAT.

Cuando los CAAT estn en un ambiente que no est bajo el control del auditor desistemas de informacin, un nivel de control apropiado debe ser implementado paraidentificar los cambios a los CAAT Cuando se hacen cambios a los CAAT el auditor desistemas de informacin debe asegurarse de su integridad, confiabilidad, utilidad yseguridad por medio de una planificacin, diseo, prueba, procesamiento y revisinapropiados de la documentacin, antes de confiar en ellos.

Utilizar CAAT (realizacin de auditora)

Cuando se toma la decisin de hacer una auditora de sistemas con al ayuda de CAATes importante tomar en cuenta los pasos que a continuacin se describen.

El uso de los CAAT debe ser controlado por el auditor de sistemas de informacin paraasegurar razonablemente que se cumple con los objetivos de la auditora y lasespecificaciones detalladas de los CAAT. El auditor debe:

Realizar una conciliacin de los totales de control. Realizar una revisin independiente de la lgica de los CAAT Realizar una revisin de los controles generales de los sistemas de informacin

de la organizacin que puedan contribuir a la integridad de los CAAT (porejemplo: controles de los cambios en los programas y el acceso a los archivos desistema, programa y/o datos).

El software de auditora generalizado, tambin conocidos como paquetes de auditora son programas de computadora diseados para desempear funciones de procesamientode datos que incluyen leer archivos de computadora, seleccionar informacin, realizarclculos, crear archivos de datos e imprimir informes en un formato especificado por elauditor.

Cuando el auditor de sistemas de informacin utiliza el software de auditora

generalizado para acceder a los datos de produccin, se deben tomar las medidasapropiadas para proteger la integridad de los datos de la organizacin. Adems, el


5/24

auditor de sistemas de informacin tendr que conocer en el diseo del sistema y lastcnicas que se utilizaron para el desarrollo y mantenimiento de los programas/sistemasde aplicacin de la organizacin.

El software utilitario es usado para desempear funciones comunes de procesamiento de

datos, como clasificacin, creacin e impresin de archivos. Estos programasgeneralmente no estn diseados para propsitos de auditora y, por lo tanto, pueden nocontener caractersticas tales como conteo automtico de registros o totales de control.

Cuando el auditor de sistemas de informacin utiliza el software utilitario debeconfirmar que no tuvieron lugar ninguna intervencin no planificada durante el

procesamiento y que ste software ha sido obtenido desde la biblioteca de sistemaapropiado, mediante una revisin del log de la consola del sistema o de la informacinde contabilidad del sistema. El auditor de sistemas de informacin tambin debe tomarlas medidas apropiadas para proteger la integridad del sistema y programas de laorganizacin, puesto que estos utilitarios podran fcilmente daar el sistema y sus

archivos.

Los datos de prueba consisten en tomar una muestra del universo de datos del sistemaque se encuentra en produccin para analizarlos.

Cuando el auditor de sistemas de informacin utiliza los datos de prueba debe estarconsiente de que pueden existir ciertos puntos potenciales de errores en el

procesamiento; dado que esta tcnica no evala los datos de produccin en su ambientereal. El auditor de sistemas de informacin tambin debe estar consiente de que elanlisis de los datos de prueba pueden resultar muy complejos y extensos, dependiendode el nmero de operaciones procesadas, el nmero de programas sujetos a pruebas y lacomplejidad de los programas/sistemas.

Cuando el auditor de sistemas de informacin utiliza el software de aplicacin para suspruebas CAAT, debe confirmar que el programa fuente que est evaluando es lo mismoque se utiliza actualmente en produccin. El auditor de sistemas de informacin debeestar consiente de que el software de aplicacin slo indica el potencial de un procesoerrneo, no evala los datos de produccin en su ambiente real. Cuando el auditor desistemas de informacin utiliza los sistemas de auditora especializados debe conocer

profundamente las operaciones del sistema.

Documentacin de CAAT (worksheets)Una descripcin del trabajo realizado, seguimiento y las conclusiones acerca de losresultados de los CAAT deben estar registrados en los papeles de trabajo de la auditora.Las conclusiones acerca del funcionamiento del sistema de informacin y de laconfiabilidad de los datos tambin deben estar registrados en los papeles de trabajo de laauditora. El proceso paso a paso de los CAAT debe estar documentado adecuadamente

para permitir que el proceso se mantenga y se repita por otro auditor de sistemas deinformacin. Especficamente los papeles de trabajo deben contener la documentacinsuficiente para describir la aplicacin de los CAAT incluyendo los detalles que semencionan en los prrafos siguientes:

Planificacin


6/24

Los objetivos de los CAAT Los CAAT a utilizar Los controles a implementar El personal involucrado, el tiempo que tomar y los costos.

La documentacin debe incluir:

Los procedimientos de la preparacin y la prueba de los CAAT y los controlesrelacionados.

Los detalles de las pruebas realizadas por los CAAT. Los detalles de los input (ejemplo: los datos utilizados, esquema de archivos), el

procesamiento (ejemplo: los flujogramas de alto nivel de los CAAT, la lgica). Evidencia de auditora: el output producido (ejemplo: archivos log, reportes). Resultado de la auditora. Conclusiones de la auditora. Las recomendaciones de la auditora.

Informe/reporte descripcin de los CAAT

La seccin del informe donde se tratan los objetivos, la extensin y metodologa debeincluir una clara descripcin de los CAAT utilizados. Esta descripcin no debe ser muydetallada, pero debe proporcionar una buena visin general al lector. La descripcin delos CAAT utilizados tambin debe ser incluida en el informe donde se menciona elhallazgo especfico relacionado con el uso de los CAAT. Si se puede aplicar ladescripcin de los CAAT a varios hallazgos o si es demasiado detallado debe serdescrito brevemente en la seccin del informe donde se tratan los objetivos, extensin ymetodologa y una referencia anexa para el lector, con una descripcin ms detallada.

Tipos de herramientas CAAT

A continuacin se mencionan y se describe el funcionamiento de las principalesherramientas CAAT, cuales son sus beneficios y que es lo que ofrecen.

IDEA[41].

A travs de la herramienta IDEA, se puede disminuir costos de anlisis, realzar lacalidad del trabajo y adquirir nuevos roles. Con esta herramienta se puede leer,

visualizar, analizar y manipular datos; llevar a cabo muestreos y extraer archivos dedatos desde cualquier origen ordenadores centrales a PC, incluso reportes impresos.

IDEA es reconocido en todo el mundo, como un estndar en comparaciones con otrasherramientas de anlisis de datos, ofreciendo una combinacin nica en cuanto a poderde funcionalidad y facilidad de uso.

reas de uso de la herramienta

Auditora externa de estados financieros.

Precisin: comprobacin de clculos y totales. Revisin analtica: comparaciones, perfiles, estadsticas.
http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#ftn.id2756861http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#ftn.id2756861http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#ftn.id2756861http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#ftn.id2756861


7/24

Validez: duplicados, excepciones, muestreos estadsticos. Integridad: omisiones y coincidencias. Cortes: anlisis secuencial de fechas y nmeros. Valuacin:provisiones de inventario.

Auditora interna.

Conformidad de polticas. Valor del dinero. Pruebas de excepcin. Anlisis. Comparaciones y coincidencias.

Deteccin de fraudes.

Compras y pagos: validacin de proveedores, anlisis contables. Nmina: coincidencias cruzadas, clculos. Lavado de dinero: valores elevados, cifras redondeadas, movimientos

frecuentes.

Informes y anlisis de gestin.

Anlisis y clculos de porcentajes. Sumarizacin y categoras (por ejemplo: por cliente, producto o regin). Establecimiento de medidas de actuacin (por ejemplo: tiempos de respuesta en

un proceso de pedidos). Perfiles. Anlisis de Inventario. Anlisis de flujo de caja. Revisiones de Seguridad. Registros del sistema. Derechos de acceso. Registro de telfonos. Firewalls.

Transferencias de archivos.

Importacin de datos desde el sistema central y exportacin a un nuevo sistemaen un formato ms adecuado.

Bancos e instituciones financieras.

Verificacin de clculos de inters. Identificacin de cuentas inactivas. Anlisis de prstamos por ndices de riesgo. Corroboracin de provisiones para prdidas por prstamos. Anlisis de reclamos de seguros.

Industrias.


8/24

Verificacin de costos de inventarios. Anlisis de movimientos de inventario. Comprobacin de diferencias entre el mayor general y las cuentas de inventario. Anlisis y anticuacin del trabajo en curso.

Organizaciones de ventas al por menor.

Anlisis de utilidad bruta. Anlisis por regin, departamento o lnea de producto. Anlisis de precios.

Entes gubernamentales (prestadores de ayudas y beneficios).

Comprobacin de clculos. Anlisis y acumulacin de estadsticas de pago. Bsqueda de duplicados: coincidencias cruzadas de nombres, direcciones e

informacin bancaria.

Funciones

Importacin de datos. IDEA permite importar casi todo tipo de archivos desdecualquier tipo de origen, mediante la utilizacin del Asistente de importacin. IDEAofrece tambin el editor de Definiciones de Registro (RDE, Record Definition Editor),que lo ayudar en la importacin de archivos complejos, registros de longitud variable,y archivos con mltiples tipos de registros. Este producto tambin puede ser utilizado

para modificar definiciones de registros creadas y guardadas por el Asistente deImportacin.

Manejo de archivos y clientes. IDEA utiliza un Explotador de Archivos queproporciona un manejo sencillo y estandarizado de los mismos. Esta ventana puedecambiarse de posicin en la pantalla y puede modificarse su tamao. En ella sevisualiza, ya sea en forma jerrquica u ordenada, toda la informacin referente a losarchivos de IDEA que pertenecen a la carpeta de trabajo (cliente) activa. IDEA utiliza elconcepto de Carpetas de Cliente para facilitar el manejo de los archivos. Tanto elnombre del cliente o proyecto como el perodo de anlisis pueden ser asociados a unaCarpeta de Cliente. Esta informacin aparecer en todos los informes que se imprimandentro de esta carpeta. La Barra de Herramientas del Explorador de Archivos

proporciona un acceso sencillo a las funciones de manejo de archivos incluyendo laposibilidad de marcar un archivo.

Estadsticas de campo. Pueden generarse estadsticas para todos los campos numricosy de fecha pertenecientes a una base de datos. Se pueden calcular, para cada camponumrico, el valor neto, los valores mximos y mnimos, el valor medio, as comotambin la cantidad de registros positivos y negativos y la cantidad de registros de valorcero. Para los campos de fecha se proporcionan estadsticas tales como la fecha mstemprana y fecha ms tarda y el anlisis de transacciones diarias y mensuales.

Historial. Dentro de la Ventana de Base de Datos, la pestaa Historial muestra todas y

cada una de las operaciones realizadas en la Base de Datos presentadas en una lista quepuede expandirse fcilmente. Cada prueba o funcin realizada genera, en forma


9/24

automtica, un cdigo IDEAScript que puede ser copiado en el Editor de IDEAScript.IDEAScript es un lenguaje de programacin compatible con Visual Basic.

Extracciones. La Extraccin o prueba de excepcin, es la funcin ms comnmenteutilizada en IDEA para identificar elementos que satisfacen una determinada condicin

como por ejemplo pagos mayores a $10,000 o transacciones efectuadas con anterioridada una fecha dada. Los criterios de extraccin son ingresados utilizando el Editor deEcuaciones y todos los registros que satisfagan el criterio ingresado son extrados a unanueva base de datos. Se puede realizar una sola extraccin de registros a una base dedatos o hasta 50 extracciones diferentes a travs de un solo paso por la base de datos.

Extraccin indexada. La Extraccin Indexada permite limitar el mbito de los datos aser buscados por IDEA en la base de datos. Una extraccin indexada ahorra tiempo altrabajar con bases de datos extensas.

Extraccin por valor clave. La Extraccin por Valor Clave brinda la posibilidad de

generar una serie de bases de datos secundarias en forma rpida mediante valorescomunes encontrados en la base de datos primaria. La extraccin por valor clave norequiere de la creacin de ecuaciones para ejecutar la extraccin. Una clave es un ndicecreado en una base de datos y un valor clave es uno de los posibles valores que puedetomar esa clave.

@Funciones. Las @Funciones son utilizadas para realizar clculos complejos y pruebasde excepcin. IDEA proporciona ms de 80 funciones las cuales pueden utilizarse parallevar a cabo aritmtica de fechas, manipulaciones de texto, as como clculosestadsticos, numricos, financieros y de conversin. En IDEA las funciones comienzan,ortogrficamente, con el smbolo @, y son muy similares a las funciones

proporcionadas por el programa Microsoft Excel.

Conector Visual. El conector Visual le permite generar una nica base de datos a travsde otras bases de datos que comparten un campo clave en comn. Para crear unaconexin visual entre diferentes bases de datos, se debe seleccionar una base de datos

primaria y luego conectar bases de datos que posean registros coincidentes. La relacincreada por el Conector Visual entre las bases de datos es uno a muchos, es decir que la

base de datos primaria puede contener diversos registros coincidentes en las bases dedatos conectadas. Todos los registros de las bases de datos conectadas que coincidancon los registros de la base de datos primaria son incluidos en la base de datos

resultante.Uniones. IDEA, a travs de la opcin Unir Bases de Datos, permite combinar doscampos de bases de datos distintas dentro de una nica base de datos, comprobando laexistencia o no de datos coincidentes en ambos archivos. Las uniones entre bases dedatos pueden realizarse si las mismas contienen un campo en comn denominadocampo clave.

Agregar. La funcin Agregar Bases de Datos se utilizar para concatenar dos o msarchivos dentro de una nica base de datos. Por ejemplo se pueden agregar todos losarchivos mensuales de nminas para obtener una base de datos con todas las nminas

del ao. Luego esta base de datos podra ser sumarizada por empleado obteniendo el


10/24

bruto, el neto anual y las deducciones anuales. Pueden concatenarse hasta 32,768archivos en una nica base de datos.

Comparar. La opcin Comparar Bases de Datos identifica las diferencias que existenen un campo numrico dentro de dos archivos para una clave en comn. Estos archivos

pueden ser comparados en diferentes momentos, por ejemplo, en el caso de la nmina alprincipio y al final del mes para identificar cambios en los salarios de cada empleado.Se puede comparar tambin un campo numrico en sistemas distintos, por ejemplo, lacantidad de inventario existente para un tem tanto en el archivo maestro de inventariocomo en el archivo inventarios.

Duplicados. IDEA puede identificar elementos duplicados dentro de una base de datosdonde existen hasta 8 campos con la misma informacin. Por ejemplo, nmeros decuenta duplicados, direcciones, plizas de seguros, etc.

Omisiones. IDEA le permite buscar omisiones o huecos en secuencias numricas y de

fechas dentro de un archivo, as como tambin dentro de secuencias alfanumricas atravs de una mscara previamente definida. Para omisiones de fecha, se pueden elegirlas opciones fines de semana e ignorar vacaciones. Como ocurre con muchas de lasfunciones de IDEA, se pueden establecer criterios antes de realizar la bsqueda, talescomo importes superiores a $1,000, e incluso se puede modificar el incremento si sedesea buscar, por ejemplo, omisiones mltiplos de 10.

Omisiones. La opcin Ordenar se utilizar para crear una base de datos fsicamenteordenada de acuerdo a un orden previamente especificado. El ordenar bases de datos

puede mejorar significativamente el desempeo de determinadas funciones.

Grficos. La opcin Graficar Datos puede utilizarse para graficar archivos de datos oresultados de pruebas realizadas, ya sea en grficos de barras, barras agrupadas, reas,lneas o sectores. El Asistente de Grficos lo guiar paso a paso en la creacin delgrfico proporcionndole opciones para incluir ttulos, efectos 3D, leyendas, colores,formas y estilos de rejillas. Los grficos pueden ser impresos, guardados como archivosde mapa de bits o pueden ser copiados en otra aplicacin de Windows.

Ley de Benford. Mediante la aplicacin del anlisis de la ley de Benford podridentificar posibles errores, fraudes potenciales y otras irregularidades. Esta leydetermina que los dgitos y las secuencias de dgitos persiguen un patrn predecible. El

anlisis cuenta las apariciones de valores en los dgitos en una serie de datos y comparalos totales con un resultado predeterminado de acuerdo a la ley de Benford. Los dgitosdistintos de cero son contados de izquierda a derecha.

Estratificacin. La Estratificacin Numrica, la Estratificacin de Carcter y laEstratificacin de Fecha son una poderosa herramienta para totalizar la cantidad y elvalor de los registros dentro bandas especficas. Permiten analizar, por ejemplo,elementos por cdigo postal o por cdigo alfanumrico de producto o activos por fechade adquisicin.

Sumarizacin. La Sumarizacin de Campo Rpida se utiliza para totalizar valores de

campos numricos por cada clave nica, sumarizando un nico campo clave. LaSumarizacin por Campo Clave se utiliza cuando la clave esta formada por uno o ms


11/24

campos. Los resultados de las sumarizaciones pueden ser graficados y puede accederseen detalle a los registros asociados a cada clave.

Antigedad. La funcin antigedad realiza una anticuacin del archivo desde una fechaespecfica en hasta seis intervalos definidos. Por ejemplo, al final del ao pueden

anticuarse los crditos a cobrar para determinar si se deben realizar provisiones. Lafuncin antigedad produce un Informe de Antigedad y dos bases de datos opcionales:la base de datos de antigedad detallada y la base de datos totalizada por clave.

Tabla pivot. La Tabla Pvot le permite crear anlisis variables y multi-dimensionales enarchivos de datos extensos. Al momento de disear una tabla pvot en IDEA, podrseleccionar la ubicacin de los distintos campos en la tabla para visualizar lainformacin en el modo en que usted desea. La posicin de los campos en la tabladefinir como estarn organizados y cmo sern sumarizados los datos.

Agrupador de procesos. Cuando se ejecuta una serie de tareas sobre una base de datos

de IDEA, cada tarea requiere de un paso a travs de la base de datos. El Agrupador deProcesos analiza las tareas a efectuar y ejecuta las diferentes tareas realizando un solo

paso por la base de datos, siempre y cuando esto sea posible. El Agrupador de Procesosejecuta cada tarea en forma independiente y crea una salida para cada procesorealizando un solo paso por la base de datos.

Muestreo. IDEA proporciona cuatro mtodos de muestreo junto con la posibilidad decalcular tamaos de muestras basadas en parmetros ingresados, y evaluar los resultadosde las muestras efectuadas. Los mtodos de muestreo disponibles son: sistemtico (ej.cada 1000 registros); aleatorio (nmero de elementos elegidos al azar); aleatorioestratificado (un nmero especfico de elementos seleccionados de acuerdo al azar deacuerdo a intervalos); y unidad monetaria (ej. De cada 1,000 dlares u otra unidadmonetaria).IDEA proporciona tambin una opcin de Planificacin y Evaluacin deAtributos, la cual puede ser utilizada para calcular tamaos de muestras, niveles deconfianza, lmites de errores o desvos y cantidad de errores de la muestra. Estosclculos son utilizados para planificar y luego evaluar los resultados de las muestras.

Agregar campos. Los datos importados a IDEA son protegidos y no pueden sermodificados. Sin embargo, pueden agregarse campos adicionales editables ya sea paradetallar comentarios, para tildar elementos o para corregir datos. Por otro lado, se

pueden agregar campos virtuales (calculados) para probar clculos en una base de datos,

para realizar nuevos clculos, para obtener porcentajes a travs de otros campos de labase de datos, o para convertir datos de un tipo a otro. Los campos editables puedenestar vacos para ingresar comentarios o datos, o pueden basarse en una expresin

como ocurre en el caso de los campos virtuales. Los campos booleanos y triestadopermiten etiquetar o marcar los campos de acuerdo a 2 o 3 estados respectivamente.

IDEAScript. IDEAScript es un lenguaje de programacin orientada a objetos,compatible con Microsot Visual Basic para Aplicaciones TM y LotusScript TM. LosIDEAScripts, tambin denominados macros, pueden ser creados ya sea grabando unaserie de pasos, copindose desde otros scripts, copindose desde el Historial, siendoingresados en la Ventana de Macro o mediante una combinacin de cualquiera de todas

estas posibilidades. Los Scripts pueden incorporarse al men Herramientas o a la Barrade Herramientas de Macro, o ejecutarse simplemente desde el men Herramientas. Los


12/24

IDEAScript poseen una serie de herramientas complementarias tales como el Editor deDilogos, el Explorador de Lenguaje y las herramientas de Depuracin para asistirlo enla creacin de los scripts.

Requerimientos del sistema

Windows NT4/98/ME/2000/XP 128 MB para NT4/2000/XP y 64 MB para Windows 98/ME 80 MB de Disco Duro

ACL[42]

ACL es una herramienta CAAT enfocada al acceso de datos, anlisis y reportes paraauditores y profesionales financieros.

Una de las ventajas de esta herramienta es que no es necesario ser un especialista en el

uso de CAAT ya que su uso es muy amigable, esta herramienta reduce el riesgo yasegura el retorno de la inversin, tambin posee una poderosa combinacin de accesosa datos, anlisis y reportes integrados, ACL lee y compara los datos permitiendo a lafuente de datos permanecer intacta para una completa integridad y calidad de losmismos. ACL permite tener una vista inmediata de la transaccin de datos crticos en laorganizacin.

ACL permite:

Anlisis de datos para un completo aseguramiento. Localiza errores y fraudes potenciales. Identifica errores y los controla. Limpia y normaliza los datos para incrementar la consistencia de los resultados. Realiza un test analtico automtico y manda una notificacin va e-mail con el

resultado.

ACL brinda una vista de la informacin de la organizacin y habilita directamente elacceso a bsquedas de cualquier transaccin, de cualquier fuente a travs de cualquiersistema.

Ahorra tiempo y reduce la necesidad de requerimiento de informacin a departamentosde TI muy ocupados, incrementa el nivel de datos hospedados en mltiples ERP oaplicaciones especializadas. Permite examinar el 100 por ciento de las transacciones dedatos, cada campo, cada registro.

Accesa a diversos tipo de de datos con facilidad incluyendo bases de datos ODBC. Estaherramienta proporciona una completa integridad de datos, ACL solo tiene acceso delectura a los datos de los sistemas que se estn monitoreando, esto significa que lafuente de datos nunca ser cambiando, alterada o borrada.

Una de las ventajas de esta herramienta es que tiene un tamao ilimitado en elmonitoreo de datos y puede procesar rpidamente millones de transacciones de datos ya

que permite leer mas de 10,000 y hasta 100,000 registros por segundo


13/24

ACL destaca por ser de fcil uso: selecciona, identifica y da formato a los datosfcilmente gracias al Data Definition Wizard con esta librera permite importar yexportar datos directamente a Excel, Access y XML, otra mas de las ventajas es que noes necesario tener conocimientos de programacin para el uso de ACL.

La herramienta tiene comandos pre-programados para anlisis de datos, pero tambinpuede analizar datos adaptndose a una metodologa y excepciones de investigacin encualquier momento, se pueden implementar continuos monitoreos haciendo anlisisautomticos a travs de scripts y habilitando la notificacin en tiempo real. Explora losdatos rpida y completamente, como se muestra enFigura 3.2, Comandos pre-cargados

Figura 3.2. Comandos pre-cargados

Otra ventaja es los resultados se pueden ver fcilmente y entenderlos en formatostabulares, posee graficas precargadas, tambin posee un log de actividad de los registrossto permite analizar y comprar registros pasados con los nuevos, posee vistas dereportes precargadas de Crystal Reports, como se muestra enFigura 3.3, Visor deCristal Reports

Figura 3.3. Visor de Cristal Reports

Especif

icacionestcnicas:

PC con procesador Pentium osuperior.

Windows 98/ME o Windows NT(SP6), 2000 (SP2), XP.

32MB de RAM (Mnimo).
http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-comandos-precargadoshttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-comandos-precargadoshttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-comandos-precargadoshttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-comandos-precargadoshttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-comandos-precargadoshttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-comandos-precargadoshttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-cristal-reportshttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-cristal-reportshttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-cristal-reportshttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-cristal-reportshttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-cristal-reportshttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-cristal-reportshttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-cristal-reportshttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-cristal-reportshttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-comandos-precargadoshttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-comandos-precargados


14/24

26MB de espacio en disco duro para ACL (Mnimo) y 44 MD extras si se deseainstalar la librera de Crystal Reports.

Otros componentes requeridos:

Internet Explorer 5.5 o mayor. Windows Installer MDAC 2.6 MsJet 4.0 SP3 o mayor. MSXML 4.0 o mayor.

Auto Audit

Auto Audit es un sistema completo para la automatizacin de la funcin de Auditora,soportando todo el proceso y flujo de trabajo, desde la fase de planificacin, pasando

por el trabajo de campo, hasta la preparacin del informe final.

Adems del manejo de documentos y papeles de trabajo en forma electrnica, AutoAudit permite seguir la metodologa de evaluacin de riesgos a nivel de entidad o de

proceso, la planificacin de auditoras y recursos, seguimiento de hallazgos, reportes degastos y de tiempo, control de calidad, y cuenta con la flexibilidad de un mdulo dereportes ad hoc. Todos estos mdulos estn completamente integrados y los datos

fluyen de uno a otro automticamente. Su pantalla principal se muestra en laFigura 3.4,Ventana principal.

Figura 3.4. Ventana principal

Beneficios

Eficiencia en el trabajo

Aumenta la eficiencia en la conduccin de la evaluacin de riesgos yplanificacin anual. El incremento est entre 20% y 45%.

Base de conocimiento
http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-autoaudit-principalhttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-autoaudit-principalhttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-autoaudit-principalhttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-autoaudit-principalhttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-autoaudit-principalhttp://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organo-legislativo/ch03s04.html#fig-autoaudit-principal


15/24

Acceso inmediato a toda la documentacin de auditoras pasadas, en ejecucin oplaneadas.

Flexibilidad

Permite que los auditores puedan trabajar en lugares distantes con sus rplicaslocales de la auditora en curso y su posterior sincronizacin a la base de datoscentralizada.

Estandarizacin y control

Garantiza el seguimiento de metodologas de trabajo de acuerdo a las mejoresprcticas de la organizacin con el uso de una biblioteca de documentosestndares (memoranda, programas, papeles de trabajo, cuestionarios,evaluaciones, informe final y otros).

Adaptabilidad

Provee una herramienta de reportes ad hoc para la generacin de informes,tablas y grficos con los formatos requeridos para el Comit de Auditora oAuditor General.

Comunicacin

Mejora la comunicacin con los auditados en el seguimiento de los hallazgos yplanes de accin.

Reduccin de costos y aprovechamiento del recurso ms valioso (el auditor):

Se reducen los costos y el tiempo de documentacin y revisin de papeles,logrando invertir ms tiempo en la auditora, aadiendo as valor a la labor deauditora.

Seguridad y confidencialidad

Permite la creacin de usuarios definiendo perfiles segn su rol dentro de laauditora para controlar el acceso de documentos e integridad de la informacin.

Con sus algoritmos de cifrado (encriptacin) Auto Audit garantiza laconfidencialidad de informacin.

Facilidad de uso

Auto Audit se aprende e implementa en menos de una semana.

Integracin con ACL

Es posible integrar los procesos de anlisis de datos que se efectan con ACL enlos papeles de trabajo de Auto Audit.

Funcionalidad de Auto Audit for Windows


16/24

Planificacin de Auditoras en funcin de la Evaluacin de Riesgos, siguiendo lametodologa de evaluacin vertical y/o por proceso.

Programacin de auditoras y asignacin de auditores para el trabajo de campo. Flexibilidad mxima para la numeracin e ndice de los programas y papeles de

trabajo, enlaces y referencias cruzadas de documentos.

Mantenimiento de una Biblioteca de Estndares de programas de auditora,papeles de trabajo, memos, listas de chequeo, hallazgos, informes y otros. Establecimiento de usuarios con perfiles definidos para crear, modificar,

eliminar, revisar o aprobar documentos especficos, de acuerdo a su rol dentrodel flujo de trabajo en el proceso de auditora (Gerente, Encargado, Staff).

Creacin automtica del Informe Final de Auditora extrayendo informacinclave de los hallazgos registrados durante el trabajo de campo.

Monitoreo de hallazgos para todas las auditoras visualizado por status, fecha deseguimiento, auditora, nivel de riesgo y otros.

Registro de tiempos y gastos para la generacin de reportes. Elaboracin de encuestas post-auditora as como tambin evaluaciones de los

auditores. Disponibilidad de reportes estndares ya listos para su uso y posibilidad de crear

reportes ad hoc segn las necesidades. Mantiene un registro histrico de todas las actualizaciones, revisiones y

aprobaciones de documentos. Permite personalizar reas de la aplicacin para reflejar el ambiente de trabajo

nico de cada organizacin tales como: reas de negocio, factores de riesgo,calificaciones de hallazgos, entre otros y se adapta a cualquier estructura deauditora (COSO, COCO, CSA).

Tiene un algoritmo propio que encripta los datos asegurando la confidencialidadde la informacin y su acceso nicamente a travs de la aplicacin.

Audicontrol APL (AUDISIS)[43]

La metodologaAudicontrol APL versin 2005y el software en el que sta se apoya,proveen ayudas para asistir a los diseadores de controles, analistas de seguridad yanalistas de riesgos, en el desarrollo de todas las etapas de proyectos de Gestin deRiesgos y Diseo de Controles Internos o de Rediseo, Reingeniera del Sistema deControl Interno existente para procesos de negocio, sistemas de informacin(Aplicaciones de Computador) y la Infraestructura de Tecnologa de Informacin de laorganizacin.

Audicontrol APL es una herramienta para asistir en la construccin de sistemas degestin de riesgos y controles internos en los procesos de la cadena de valor y lossistemas de informacin de las empresas. Para este fin, utiliza la tcnica de

Autoevaluacin del Control (CSA: Control Self Assessment), tambin conocida con elnombre deAutoaseguramiento del Control (CSA: Control Self Assurance). Esta es unaextensin de los mecanismos de control interno que tiene por objeto el asegurar a losclientes, accionistas y organismos gubernamentales de control y vigilancia, que loscontroles necesarios estn establecidos y son efectivos para mitigar los riesgosimportantes.

Desde la perspectiva administrativa, CSA asiste en la determinacin de si laorganizacin est satisfaciendo sus objetivos. Las ventajas claves de implementar un


17/24

CSA incluyen la deteccin temprana de riesgos y el desarrollo de planes de accinconcretos que salvaguarden los programas organizacionales contra riesgos del negociosignificativos. Los objetivos del CSA son:

Reducir o eliminar los controles costosos e inefectivos. Define con precisin las reas de riesgo, mientras se desarrollan adecuadasmedidas de control. Evala los estndares de control utilizados. Enfatiza las responsabilidades de la administracin por el desarrollo y monitoreo

efectivo de los sistemas de control interno. Comunicar los resultados a otros.

CSA es una tcnica que implica la conduccin de talleres (workshops) con todos losmiembros del staff que intervienen en un proceso o sistema de informacin, en el cualse discuten los riesgos y problemas de control y se aconsejan planes de accin parasolucionar esos problemas. Este proceso ofrece un medio de identificar los problemas

de control y las recomendaciones de mejoramiento. Los facilitadores ayudan al grupo aponerse de acuerdo.

Audicontrol-APL automatiza las metodologas de diseo y documentacin de controlesen operaciones de negocios y procesos de TI, utilizando tres alternativas de escenariosde riesgo:

Subprocesos o componentes de los procesos de la Cadena de Valor de lasEmpresas (misionales o de apoyo administrativo), definidos de acuerdo con lascondiciones de funcionamiento reales de cada Organizacin.

Diez escenarios de riesgos claves para la Infraestructura de TI. La metodologaes aplicable para desarrollar el enfoque de diseo de gestin de riesgos para

procesos de los cuatro dominios del Modelo COBIT (Control Objectives forInformation and Related Technology, tercera edicin en el ao 2000).

Quince escenarios de Riesgo agrupados de manera natural, que representan elciclo de vida del control de los datos en las aplicaciones de computador.

Audicontrol-APL provee una herramienta de software orientada al usuario final, paraapoyar el desarrollo de todas las fases y etapas de la metodologa de Diseo deControles y Gestin de Riesgos Operacionales. Las 2 fases y 10 etapas de lametodologa son las siguientes:

Fase I: fase esttica o estructural del control interno.

1. Identificar la Seguridad Requerida.2. Evaluar Riesgos Potenciales e identificar Riesgos Crticos.3. Elaborar Mapa de Riesgos.4. Seleccionar Controles Necesarios y evaluar la proteccin que ofrecen.5. Definir Especificaciones para Implantar los Controles (Documentar los

Controles).

Fase II: dinmica u operativa del control interno.


18/24

1. Sensibilizar y Concientizar a los propietarios del proceso para el mejorar culturade Control de la Organizacin.

2. Elaborar e Implantar Guas de Autocontrol.3. Elaborar e Implantar de Guas de Monitoreo de la Proteccin Existente y del

Riesgo Residual.

4. Generar el Manual de Controles y Administracin de Riesgos Operacionales.5. Mantenimiento y Actualizacin del Manual de Controles.Audicontrol-APL es un software para Windows, que opera en ambientes monousuario oen Red local.

La metodologa AUDICONTROL APL fue creada para apoyar el trabajo de:

Analistas y Desarrolladores de Sistemas. Departamentos de Organizacin y Mtodos. Auditores de Sistemas. Departamentos de Control Interno. Administradores de Seguridad en Procesamiento electrnico de datos. Administradores de Riesgos.

Funciones.

Para cada proceso o sistema objeto de estudio, Audicontrol-APL ayuda apersonalizar las bases de datos de conocimientos de las organizaciones, conconceptos y elementos modernos de control aportados por los modelos COBIT (Control Objectives for Information and Related Technology ISACA, 2000 ) yCOSO y las normas ISO 9000, ISO 9126, ISO 12207, ISO 14000, ISO 18000 eISO 17799.

En las actividades de diseo, rediseo, documentacin e implantacin de loscontroles, Audicontrol-APL apoya a los diseadores con guas, cuestionariosestndar y bases de conocimientos sobre procesos de tecnologa de informacin,riesgos, causas del riesgo, controles y objetivos de control.

Identificar y categorizar los riesgos inherentes a los negocios o servicios de lasempresas, como lo recomienda el modelo COSO.

Ayuda a elaborar el Mapa de Riesgos con la ubicacin fsica, lgica y funcionalde los riesgos en las dependencias y procesos que intervienen en los negocios oservicios de las empresas.

Seleccionar los controles necesarios para mitigar el impacto o reducir laprobabilidad de ocurrencia de las amenazas que podran originar cada uno de losriesgos potenciales crticos.

Mide (califica) el grado de proteccin que aportan los controles seleccionados,por cada amenaza (causa del riesgo), punto de control, dependencia y objetivode control de cada proceso de negocio y servicio soportado en tecnologa deinformacin.

Elaborar Guas de Autocontrol que asignan responsabilidades por la ejecuciny/o supervisin de cada control clave en las dependencias que intervienen en los

procesos de negocios automatizados. Elaborar Guas de Autoevaluacin del Control o Autoaseguramiento del

Control, para medir (determinar) peridicamente los niveles del riesgo residualen las dependencias de la empresa.


19/24

Disear e implantar el Plan de Mitigacin de Riesgos no protegidosapropiadamente por los controles establecidos en la organizacin.

Elaborar los Manuales de Control Interno y Gestin de Riesgos para losprocesos, las aplicaciones y la infraestructura de TI y permite su actualizacinpermanente.

Para los procesos y sistemas en proceso de desarrollo, Audicontrol-APL ayuda adisear e implantar la estructura de control requerida, desde su inicio hasta suimplantacin definitiva.

Ofrece la posibilidad de personalizar y reutilizar las bases de datos generadascon circunstancias propias de la empresa, como base para el diseo de controlesen otras reas o procesos automatizados.

Provee ayudas y herramientas para valorar y medir el riesgo potencial (RP), laproteccin ofrecida (PO) por los controles establecidos y el riesgo residual (RR)que estn asumiendo las organizaciones en cada proceso o sistema deinformacin.

Audicontrol-APL cuenta con el soporte y asesora permanente de AUDISIS, quees una firma de Consultores Gerenciales especializados en control y auditora desistemas, estable y de reconocido prestigio profesional en Colombia y elexterior.

En sntesis, Audicontrol-APL p roporciona un esquema de trabajo seguro y eficientepara:

Identificar y evaluar los riesgos potenciales y residuales asociados con lasoperaciones de negocio y de soporte administrativo de las empresas.

Definir e implantar controles manuales y automatizados que sean efectivos parareducir a niveles aceptables la exposicin al riesgo en los sistemasautomatizados de las empresas, con su respectiva documentacin.

Facilitar la implantacin de un Sistema de Gestin de Riesgos Operacionales. Implantar tcnicas y procedimientos de Autocontrol y de Prevencin del Riesgo

en las empresas.

AuditMaster[44]

AuditMaster de Pervasive, es una solucin de supervisin de transacciones a nivel debase de datos. Este sistema controla e informa de toda la actividad que tiene lugar enuna base de datos Pervasive.SQL.

La tecnologa de AuditMaster consiste en capturar las operaciones que se realizan en labase de datos y escribirlas en un archivo de registro. AuditMaster se divide en trescomponentes:

Gestor de eventos (Log event handler)

Es un plugin que se instala fcilmente en la base de datos. Acta como unaespecie de caja negra que captura y escribe en un registro de seguimiento

todas las actividades que se llevan a cabo en la base de datos. Se instala en elnivel de la base de datos, de forma que siempre que sta funciona, tambin lo

hace el gestor de eventos, manteniendo al da el registro de seguimiento. El


20/24

gestor de eventos se instala en el sistema con el motor para servidoresPervasive.SQL.

Base de datos de registro (Log database)

Es un conjunto de archivos de Pervasive.SQL residente en el directorio de datosde AuditMaster. El archivo principal de registro contiene toda la informacin deseguimiento, por ejemplo, la identificacin de usuario, la identificacin de laestacin de red, el tiempo y la fecha de la operacin, el nombre de aplicacin, elnombre de la tabla de la base de datos y el tipo de operacin. Adems, el archivocrea imgenes, antes y despus de la transaccin, a efectos de actualizacin delos registros. Cada vez que un usuario modifica algn dato, AuditMaster escribeen el registro tanto el valor antiguo como el nuevo.

Visor de registros (Log viewer)

Permite hacer consultas a la base de datos de registro, lo que permite que unadministrador de seguridad compruebe las actividades realizadas y analice

patrones y tendencias. Las consultas se realizan con rapidez gracias a unasencilla interfaz grfica. Los informes de AuditMaster tambin puedenevidenciar si se utilizan las prcticas requeridas o buenas prcticas generales.Asimismo, el visor de registros tambin se emplea para mantener y configurar elsistema AuditMaster, lo que incluye la creacin de alertas que ejercen unavigilancia dinmica de las actividades realizadas con datos futuros. Una vezdefinidas las alertas en AuditMaster, esperan a que se lleve a cabo algunaoperacin de inters perteneciente al espectro de acciones de los usuarios, talescomo la creacin, la actualizacin, la eliminacin o simplemente la lectura dedatos. Cuando se produce algn evento de inters, el gestor de eventos activainmediatamente una alerta, bien a travs de un correo electrnico enviado a unoo ms destinatarios, bien a travs de una llamada a otra aplicacin o mediante elinicio de una nueva aplicacin. El visor de registros puede instalarse encualquier mquina con acceso al servidor Pervasive.SQL y a los archivos de la

base de datos de registro.

Ventajas

AuditMaster no exige modificar el cdigo de la aplicacin actual o de la base de datosPervasive.SQL, ya que es independiente de la aplicacin y se instala en la propia basede datos, muy por debajo del nivel de las aplicaciones clientes. AuditMaster puedesupervisar varias aplicaciones e incluso identificar la fuente original de cada evento enel registro de seguimiento, permitiendo de esta manera llevar a cabo un anlisis internodel sistema y un control detallado de la aplicacin.

Adems de presentar informes y activar alertas, el registro de seguimiento detalladoofrece otras ventajas. Al almacenar imgenes de todos los cambios antes y despus de latransaccin, es posible recuperar registros individuales de la base de datos deshaciendolos cambios capturados en el registro de seguimiento. Adems, como el registro estalmacenado en tablas de Pervasive.SQL, las aplicaciones pueden acceder directamente a

los datos de registro, lo que permite integrar AuditMaster en otras aplicaciones.


21/24

Trabaja con todos los datos de Pervasive.SQL, tanto transaccionales como relacionales,tambin puede mantener automticamente en los registros de datos mltiples archivosde metadatos que faciliten actualizaciones a nuevas versiones de la aplicacin cliente,incluso aunque cambien los archivos de definicin de datos (DDF). Los metadatos deAuditMaster pueden ser auditados aunque falten los archivos DDF o estn incompletos.

Adems, si el sistema utiliza registros variantes, AuditMaster sigue realizando lasmismas funciones de captura, informe y alerta.

Especificaciones.

Plataformas soportadas.

Windows NT 4.0 (SP3 o superior) Windows 2000 Windows 2003 Windows XP

Bases de datos soportadas.

Pervasive.SQL V8 Pervasive.SQL V8 SP1 Pervasive.SQL V8.5 Pervasive.SQL V9

Delos [45]

Delos es un sistema experto que posee conocimientos especficos en materia de

auditora, seguridad y control en tecnologa de informacin.

Este conocimiento se encuentra estructurado y almacenado en una base de conocimientoy puede ser incrementado y/o personalizado de acuerdo con las caractersticas decualquier organizacin y ser utilizado como una gua automatizada para el desarrollo deactividades especficas.

Para la utilizacin del sistema hemos identificado cuatro roles o que tienen relacin conel control en una organizacin:

El responsable de disear e implementar el control en la organizacin, quienpuede ser un analista de sistemas, un oficial de seguridad, un diseador de

procesos de trabajo o alguien quien realice trabajos de reingeniera. El responsable de evaluar el correcto funcionamiento del control de la

organizacin, quien normalmente es un auditor, un representante deaseguramiento de calidad o cualquier persona que se le asigne en forma temporalo definitiva la funcin de evaluacin

El usuario del control, quien realiza sus actividades cotidianas con la seguridadde que cuenta con los elementos suficientes para desarrollar sus funciones deforma eficiente, efectiva, segura y consistente y

Los beneficiarios del control, quienes reciben los beneficios de que unaorganizacin opere con adecuados procedimientos de control. Los beneficiariospueden ser tanto internos como externos a la organizacin, los primeros


22/24

representados por la administracin y los accionistas y los segundosrepresentados normalmente por clientes, proveedores, gobierno, inversionistas,etc.

Delos es una herramienta que fue diseada pensando en empresas, organizaciones y

profesionistas que deseen incrementar los beneficios derivados de la tecnologa deinformacin a travs de actividades relacionadas con auditora, seguridad y control enTI.

Ventajas

Delos presenta una serie de caractersticas que lo distinguen de otras herramientas.

Orientacin al negocio. A diferencia de otros productos de auditora de software,Delos tiene una orientacin al negocio, es decir, parte de un marco de referenciaestratgico formado por los objetivos de negocio y factores crticos de xito de la

empresa y lo relaciona con elementos de control interno en tecnologa de informacin.Consecuentemente, su empleo promueve el cumplimiento de los objetivosinstitucionales de la empresa, permitiendo alinear sus elementos de tecnologa deinformacin con la estrategia de negocio. De manera indirecta, Delos ayuda aestructurar los objetivos, metas y factores crticos de xito de la empresa, as como losindicadores que permiten su medicin.

Base de conocimientos. Delos cuenta con una extensa base de conocimientos quecontiene tanto elementos de negocio (objetivos, metas y factores crticos de xito) comoelementos de control, seguridad y auditora en TI, utilizando relaciones puntuales entredichos elementos para ofrecer un nivel de inteligencia. Esta base de conocimientos,

no solo permite establecer un marco de referencia para las funciones de auditora, sinoque ofrece la posibilidad de ampliar su alcance y sus beneficios a otras reas de laempresa que tienen relacin con el concepto de control, tales como el rea de tecnologade informacin y, en caso de que exista, el rea de contralora (responsable del controlen la empresa).

Fundamento metodolgico. El funcionamiento de Delos se basa en una metodologaestructurada que ofrece al usuario una orientacin detallada sobre las actividades y lasecuencia necesaria para desarrollar auditoras o evaluaciones en ambientes de TI. Estacaracterstica diferencia y posiciona favorablemente a Delos con respecto a otros

productos, los cuales primordialmente ofrecen un conjunto de diagramadores,

tcnicas y/o reporteadores cuya utilizacin queda supeditada a la experiencia

individual de cada usuario o al empleo de una metodologa adicional que nonecesariamente corresponde a las caractersticas del software.

Personalizable a las caractersticas y requerimientos de cadaempresa. Adicionalmente a contar con una robusta base de conocimientos, Delos

permite incorporar nuevos elementos, modificar los existentes y definir nuevasrelaciones entre los objetos que integran dicha base. Esto permite complementar elcuerpo de conocimientos y adecuarlo a los requerimientos especficos de cada empresa.

Multicompaa y multiproyecto. La estructura de Delos permite crear modelos dediversas compaas definiendo proyectos con diferentes enfoques, objetivos y alcances.


23/24

Esta capacidad proporciona gran flexibilidad para la realizacin de auditoras enempresas o instituciones con requerimientos plurales, como pueden ser: corporativos,entidades de supervisin y vigilancia, organismos gubernamentales o firmas deauditora externas.

Incluye COBIT. Delos utiliza la estructura y los objetivos de control definidos porCOBIT para disear programas de auditora basados en dicha estructura y/o interpretarlos resultados de evaluaciones realizadas con el propio enfoque de Delos, con base en elestndar internacional sobre control en tecnologa de informacin emitido por la ISACA(Information Systems Audit and Control Association).

Beneficios

En forma concreta podemos decir que Delos genera los siguientes beneficios:

Ayuda al logro de objetivos de negocio al apoyar el alineamiento de los recursosde TI con la estrategia de la entidad y al incrementar el retorno sobre lainversin en tecnologa.

Apoya la planeacin estratgica de TI, al identificar elementos indispensablespara desarrollar la estrategia tecnolgica y alinearla a los interesesinstitucionales.

Promueve la eficiencia y efectividad de la auditora al hacer uso de mediosautomatizados para procesar informacin e incorporar a los programas de trabajoslo las actividades que cada auditora requiere en forma especfica.

Capitaliza el conocimiento de la organizacin y lo materializa en un patrimonioinstitucional, al conservar el conocimiento en un repositorio de software,minimizando en gran medida los efectos de rotacin de personal.

Permite capacitar a personal de nuevo ingreso, tanto de la compaa en generalcomo de las funciones relacionadas con auditora y control en TI.

Estandariza el trabajo de auditora al utilizar una metodologa automatizadaincorporada al sistema de software.

Caractersticas.

Adems de la descripcin antes mencionada Delos se divide en 5 mdulos mas, loscuales se describen a continuacin:

DelosCognos: es el mdulo responsable de la administracin del conocimientode Gobierno de Tecnologa de Informacin. Este conocimiento se almacena enuna completa base de conocimientos. Este mdulo permite personalizar,consultar y mantener actualizada la base de conocimientos del sistema y seintegra tanto por elementos de negocio como: estrategias, fortalezas,stakeholders, objetivos, metas y factores crticos de xito, como por elementosde tecnologa de informacin, tales cmo: Aplicaciones, procesos, recursos,colaboradores y elementos de auditora /aseguramiento, como: Objetivos decontrol, procedimientos de control y procedimientos de auditora entre otros. Enesta base de conocimientos tambin se encuentran los elementos de COBIT.Estos elementos se encuentran interrelacionados, lo cual permite establecer los

sistemas de control requeridos por la organizacin y su relacin con elementosde la estrategia institucional.


24/24

Delos Mentor: es el mdulo encargado de guiar las actividades de auditora, esdecir, funge como consejero o gua virtual que proporciona apoyo para larealizacin de tareas especficas de auditora con base en una metodologa detrabajo estructurada. Delos Mentor permite elaborar programas de revisin

personalizados de acuerdo con las caractersticas de la organizacin y al alcance

y objetivos especficos de cada auditora. Delos Tutor: Este mdulo tiene el propsito de ofrecer capacitacin a sus

usuarios, emulando, como su nombre lo indica, la labor de un tutor, que esproporcionar educacin y orientacin a sus alumnos en alguna materia enparticular. Delos Tutor tiene incorporados los conceptos tericos de auditora enTI, lo cual es utilizado para proporcionar instruccin autodidacta a sus usuarios.

Delos Control: Este mdulo esta enfocado a la otra perspectiva del control, esdecir, no a la de quien debe evaluar el control, sino del que es responsable dedisear e implantar controles en una empresa u organizacin. La misma base deconocimientos de control de Delos es utilizada para identificar los

procedimientos que una organizacin debera tener establecidos en un ambiente

de tecnologa de informacin, ya sea en sus procesos de trabajo relacionados conel desarrollo de soluciones informticas (como desarrollo de sistemas,implantacin de paquetes de software, planeacin estratgica de sistemas,adquisicin de tecnologa, etc), como en los procesos de administracin derecursos informticos.

DelosCentinel: Este mdulo permite administrar la seguridad de acceso a Delos.Esto incluye tanto la administracin de usuarios del sistema, como la asignacinde distintos niveles de seguridad para acceder a cada una de las organizacionesdadas de alta en Delos. Los niveles de seguridad permiten otorgar privilegios deacceso de manera especfica, inclusive para restringir los tipos de acciones quecada usuario puede ejercer sobre cada uno de los tipos de objetos en la base deconocimientos de la organizacin.

Requerimientos.

Windows 95, 98, 2000, NT y XP. 150 MB en disco duro. 32 MB en memoria RAM Procesador pentium a 100 megahertz.

Documents

Computer Assisted Audit Techniques CAAT.docx