TÉCNICAS DE AUDITORÍA INFORMÁTICA. PARTE II OBJETIVO ESPECÍFICO

[pic 1]

[pic 2]

ÍNDICE

TÉCNICAS DE AUDITORÍA INFORMÁTICA. PARTE II        4

OBJETIVO ESPECÍFICO        4

INTRODUCCIÓN        4

1.  TÉCNICAS DE VERIFICACIÓN        5

1.1.  ENTREVISTA Y OBSERVACIÓN DEL PERSONAL DURANTE LA EJECUCIÓN DE SUS FUNCIONES        5

1.2.  MUESTREO        6

1.3.  USO DE LOS SERVICIOS DE OTROS AUDITORES Y EXPERTOS        7

1.4.  TÉCNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADORA        9

1.4.1.  ÁREAS DE APLICACIÓN DE LAS CAAT        12

1.4.2.  CAAT COMO MÉTODO DE AUDITORÍA CONTINUA EN LÍNEA        12

COMENTARIO FINAL        13

REFERENCIAS        14

TÉCNICAS DE AUDITORÍA INFORMÁTICA. PARTE II

OBJETIVO ESPECÍFICO

                 Analizar las características y uso de las técnicas de verificación empleadas en la auditoría.

INTRODUCCIÓN

La práctica de la auditoría informática ha ido generando en el tiempo una cantidad de técnicas que le permiten al auditor comprobar el funcionamiento de los sistemas de aplicación; de esta manera, el auditor informático puede ejecutar procesos en el computador que le permitan evaluar la exactitud con que se manipulan los datos y el grado de confianza que se puede depositar en los controles que tienen los sistemas de aplicación en uso en la empresa.

De acuerdo a lo indicado por Delgado (1998), las técnicas de auditoría informática tienen finalidades distintas, y mientras algunas de ellas intentan realizar pruebas a los sistemas y su funcionamiento, otras se dedican a la comprobación del contenido de los archivos de datos. El auditor informático debe ejecutar pruebas que le permitan verificar el adecuado funcionamiento de los sistemas de información, confirmando que cada una de las actividades que estos deberían ejecutar efectivamente sean realizadas conforme a los requerimientos de la empresa, revisando la exactitud de los procesos de cálculo y manipulación de datos y asegurándose de que la aplicación cuenta con controles suficientes para detectar los datos erróneos, en lo razonable para impedir el registro de datos fuera de lo aceptable.

1. TÉCNICAS DE VERIFICACIÓN

De acuerdo con Isaca (2014), las técnicas para la verificación en auditoría informática son: entrevista y observación del personal durante la ejecución de sus funciones, muestreo, uso de los servicios de otros auditores y expertos, y las técnicas de auditoría asistidas por computadora. A continuación se detalla cada una de ellas:

1. ENTREVISTA Y OBSERVACIÓN DEL PERSONAL DURANTE LA EJECUCIÓN DE SUS FUNCIONES

La observación al personal en el desempeño de sus funciones ayuda a un auditor informático a identificar (Isaca, óp. cit.):

• FUNCIONES REALES. La observación puede ser una prueba adecuada para asegurar que la persona asignada y autorizada para realizar una función en particular es la que está realmente haciendo el trabajo. Esto permite al auditor informático contar con una oportunidad de presenciar cómo se entienden y ponen en práctica las políticas y los procedimientos. Dependiendo de la situación específica, los resultados de este tipo de prueba deben ser comparados con los respectivos derechos de acceso lógico.

• CONCIENTIZACIÓN SOBRE SEGURIDAD. Se debe observar el grado de concientización sobre seguridad que una persona tiene para verificar la comprensión y la práctica de buenas medidas de seguridad preventivas y de detección para salvaguardar los activos y datos de la compañía. Este tipo de información podría ser complementada con un examen de capacitación de seguridad previo y planificado.

• LÍNEAS DE REPORTE. Las líneas de reporte deben observarse para asegurar que se practiquen las responsabilidades asignadas y una segregación de funciones adecuada. A menudo, los resultados de este tipo de prueba deben ser comparados con los respectivos derechos de acceso lógico.

• INCONVENIENTES DE LA OBSERVACIÓN. El observador puede interferir en el entorno observado. El personal, al darse cuenta de que es observado, puede cambiar su comportamiento habitual.

Las entrevistas al personal y a la gerencia de procesamiento de información deberían proveer una certeza adecuada de que el personal tiene las destrezas técnicas requeridas para realizar su trabajo. Este es un factor importante que contribuye a que la operación sea efectiva y eficiente.

1. MUESTREO

El muestreo es usado cuando las consideraciones de tiempo y de costo impiden una verificación total de todas las transacciones o eventos en una población definida previamente. La población está constituida por la totalidad de los elementos que es necesario examinar. Una muestra es un subconjunto de miembros de una población utilizada para realizar pruebas. El muestreo se usa para inferir características de una población, con base en las características de una muestra.

El aumento de la regulación en las organizaciones ha conducido a una concentración en la capacidad de los auditores informáticos para verificar la adecuación de los controles internos a través del uso de técnicas de muestreo. Esto se ha vuelto necesario ya que muchos controles son transaccionales por naturaleza, lo cual puede hacer difícil probar toda la población.  

De acuerdo a Isaca (óp. cit.), los dos enfoques generales para muestreo de auditoría son el estadístico y el no estadístico:

• MUESTREO ESTADÍSTICO: es un enfoque objetivo para determinar el tamaño y los criterios de selección de la muestra. El muestreo estadístico usa las leyes matemáticas de la probabilidad para calcular el tamaño de la muestra, seleccionar los objetos de la muestra y evaluar los resultados de la muestra y hacer la inferencia. Con el muestreo estadístico, el auditor informático decide cuantitativamente el grado de aproximación con que la muestra debería representar a la población (determinando la precisión de la muestra) y el número de veces en 100 que la muestra debería representar a la población (confiabilidad o nivel de confianza). Esta estimación se representa como un porcentaje. Los resultados de una muestra estadística válida son cuantificables matemáticamente.

• MUESTREO NO ESTADÍSTICO (al que a menudo se hace referencia como muestreo de criterio): el método de muestreo, el número de elementos que serán examinados de una población (tamaño de la muestra) y cuáles elementos seleccionar (selección de la muestra) son determinados en base al juicio del auditor. Estas decisiones están basadas en el criterio subjetivo respecto a cuáles ítems/transacciones tienen mayor importancia y mayor riesgo.

Al utilizar métodos de muestreo estadístico o no estadístico, el auditor informático debe diseñar y seleccionar una muestra de auditoría, ejecutar procedimientos de auditoría y evaluar los resultados de la muestra para obtener evidencia de auditoría suficiente, confiable, relevante y útil. Estos métodos de muestreo requieren que el auditor utilice su criterio cuando defina las características de la población y, por lo tanto, están sujetos al riesgo de que el auditor obtenga una conclusión equivocada de la muestra (riesgo de muestreo). Sin embargo, el muestreo estadístico permite que el auditor informático cuantifique la probabilidad de error (nivel de confianza). Para que una muestra sea estadística, cada elemento en la población debe tener la misma oportunidad o probabilidad de ser seleccionado.  

De acuerdo a Isaca (óp. cit.), los pasos claves en la construcción y selección de una muestra para una prueba de auditoría incluyen:

• Determinar los objetivos de la prueba.
• Definir la población de la que se obtendrá la muestra.
• Determinar el método de muestreo.
• Calcular el tamaño de la muestra.
• Seleccionar la muestra. 
• Evaluar la muestra desde una perspectiva de auditoría.

De acuerdo a lo indicado por Chico (2007), dependiendo de las características del universo será conveniente la utilización de un procedimiento de muestreo u otro:

• MUESTREO ALEATORIO SIMPLE: este procedimiento consiste en la selección de la muestra mediante tablas de números aleatorios o bien mediante generación de estos mediante un programa informático específico (hoja de cálculo o aplicación concreta).

• MUESTREO ALEATORIO ESTRATIFICADO: la estratificación consiste en dividir el universo, agrupando por características más o menos homogéneas. La agrupación se puede realizar en función de importes, fechas u otra característica definitoria. Cada estrato puede ser considerado como un subuniverso.

• MUESTREO SISTEMÁTICO: la base de este procedimiento es la determinación de un intervalo de muestreo y un punto de partida aleatorio. El intervalo se calcula dividiendo el importe total del universo (si la selección se realiza por importes) o el número de ítems (si la selección se hace, por ejemplo, por número de expedientes) entre la amplitud de la muestra a seleccionar.

• MUESTREO DE UNIDAD MONETARIA (MUM): este procedimiento emplea la teoría del muestreo por atributos para expresar la conclusión en una cantidad monetaria. Las unidades de selección son, por tanto, monetarias.

1. USO DE LOS SERVICIOS DE OTROS AUDITORES Y EXPERTOS

Debido a la necesidad de especialistas en seguridad de las tecnologías de la información y de otros expertos en el asunto objeto para llevar a cabo auditorías de áreas altamente especializadas, el departamento de auditoría o los auditores a los que se confió el proveer aseguramiento pueden requerir los servicios de otros auditores o expertos. La externalización (outsourcing) de servicios de aseguramiento y seguridad de sistemas de información se está convirtiendo en una práctica cada vez más común. Los expertos externos podrían incluir expertos en tecnologías específicas, tales como redes, cajeros automáticos (ATM), integración de sistemas y conocimientos digitales forenses, o expertos en la materia tales como especialistas en una industria o área de especialización en particular, tales como banca, comercio de títulos-valores, seguros, expertos legales, etc.

...