CAAT
Computer Assisted Audit Techniques Tcnicas de Auditora Asistidas por Computadora
Francy Massiel Castillo
�Contenido
1 5 6
(worksheets)
.
2
3 4
7 4
Informe/reporte de los CAAT Tipos de herramientas CAAT
� El software de auditora consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditora, para procesar datos de importancia de auditora del sistema de contabilidad de la entidad.
Las CAAT se pueden utilizar para procedimientos de auditora incluyendo:
realizar
varios
Prueba de los detalles de operaciones y saldos. Procedimientos de revisin analticos. Pruebas de cumplimiento de los controles generales de sistemas de informacin. Pruebas de cumplimiento de los controles de aplicacin.
�La norma SAP 1009 (Statement of Auditing Practice) plantea la importancia del uso de CAAT en la que el auditor usa las computadoras como parte de los procedimientos de auditora para procesar datos de significancia en un sistema de informacin. Pruebas de detalles de transacciones y balances (reclculos de intereses, extraccin de ventas por encima de cierto valor, etc.) Procedimientos analticos, por ejemplo identificacin de inconsistencias o fluctuaciones significativas. Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparacin de cdigos y versiones. Programas de muestreo para extraer datos. Pruebas de control en aplicaciones. Recalculos.
�Flujo de un CAAT
Puede consistir en programas de paquete, programas escritos para un propsito, programas de utilera o programas de administracin del sistema. Independientemente de la fuente de los programas, el auditor deber verificar
su validez para fines de auditora antes de su uso.
�Tcnicas para analizar programas
TRACEO
MAPEO
COMPARACIN DE CDIGO
Job Accounting Software. Informe de Contabilidad del Sistema
�TRACEO:
Indica por donde paso el programa cada vez que se ejecuta una instruccin. Imprime o muestra en la pantalla el valor de las variables, en una porcin o en todo el programa.
MAPEO: Caracterstica del programa tales como tamao en bytes, localizacin en memoria, fecha de ltima modificacin, etc.
COMPARACIN DE CDIGO. Involucra los cdigos fuentes y cdigos objetos.
TRACEO: Utilitario del sistema operativo que provee el medio para acumular y registrar la informacin necesaria para facturar a los usuarios y evaluar el uso del sistema.
�Planificacin de CAAT
Cuando se planifica la auditora, el auditor de sistemas de informacin debe considerar una combinacin apropiada de las tcnicas manuales y las tcnicas de auditora asistidas por computadora. Cuando se determina utilizar CAAT los factores a considerar son los siguientes: Conocimientos computacionales, pericia y experiencia del auditor de sistemas de informacin. Disponibilidad de los CAAT y de los sistemas de informacin. Eficiencia y efectividad de utilizar los CAAT en lugar de las tcnicas manuales. Restricciones de tiempo
�Los pasos ms importantes que el auditor de sistemas de informacin debe considerar cuando prepara la aplicacin de los CAAT seleccionados son los siguientes: Establecer los objetivos de auditora de los CAAT: Determinar accesibilidad y disponibilidad de los sistemas de informacin, los programas/sistemas y datos de la organizacin. Definir los procedimientos a seguir (por ejemplo: una muestra estadstica, reclculo, confirmacin, etc). Definir los requerimientos de output. Determinar los requerimientos de recursos. Documentar los costos y los beneficios esperados. Obtener acceso a las facilidades de los sistemas de informacin de la organizacin, sus programas/sistemas y sus datos. Documentar los CAAT a utilizar incluyendo los objetivos, flujogramas de alto nivel y las instrucciones a ejecutar. Acuerdo con el cliente (auditado): Los archivos de datos, tanto como los archivos de operacin detallados (transaccionales, por ejemplo), a menudo son guardados slo por un perodo corto, por lo tanto, el auditor de sistemas de informacin debe arreglar que estos archivos sean guardados por el marco de tiempo de la auditora. Organizar el acceso a los sistemas de informacin de la organizacin, programas/sistemas y datos con anticipacin para minimizar el efecto en el ambiente productivo de la organizacin
�Utilizar CAAT (realizacin de auditora)
El uso de los CAAT debe ser controlado por el auditor de sistemas de informacin para asegurar razonablemente que se cumple con los objetivos de la auditora y las especificaciones detalladas de los CAAT. El auditor debe: Realizar una conciliacin de los totales de control.
*Realizar una revisin independiente de la lgica de los CAAT.
*Realizar una revisin de los controles generales de los sistemas de informacin de la organizacin que puedan contribuir a la integridad de los CAAT (por ejemplo: controles de los cambios en los programas y el acceso a los archivos de sistema, programa y/o datos).
�Documentacin de CAAT (worksheets)
Una descripcin del trabajo realizado, seguimiento y las conclusiones acerca de los resultados de los CAAT deben estar registrados en los papeles de trabajo de la auditora. Especficamente los papeles de trabajo deben contener la documentacin suficiente para describir la aplicacin de los CAAT incluyendo los detalles que se mencionan en los prrafos siguientes: Planificacin Los objetivos de los CAAT Los CAAT a utilizar Los controles a implementar El personal involucrado, el tiempo que tomar y los costos.
�La documentacin debe incluir:
Los procedimientos de la preparacin y la prueba de los CAAT y los controles relacionados. Los detalles de las pruebas realizadas por los CAAT. Los detalles de los input (ejemplo: los datos utilizados, esquema de archivos), el procesamiento (ejemplo: los flujogramas de alto nivel de los CAAT, la lgica). Evidencia de auditora: el output producido (ejemplo: archivos log, reportes). Resultado de la auditora. Conclusiones de la auditora. Las recomendaciones de la auditora.
�Informe/reporte descripcin de los CAAT
La seccin del informe donde se tratan los objetivos, la extensin y metodologa debe incluir una clara descripcin de los CAAT utilizados. Esta descripcin no debe ser muy detallada, pero debe proporcionar una buena visin general al lector. La descripcin de los CAAT utilizados tambin debe ser incluida en el informe donde se menciona el hallazgo especfico relacionado con el uso de los CAAT.
�Tipos de herramientas CAAT
Retina
Retina le da la gestin de vulnerabilidad potente en todo el entorno. Para un mximo de 256 direcciones IP libres, Retina Comunidad identifica vulnerabilidades de red (incluyendo de da cero), problemas de configuracin, y los parches que faltan en todos los sistemas operativos, aplicaciones, dispositivos y entornos virtuales. Administrar la seguridad de su red con Retina Comunidad: Interfaz de usuario estilo Metro para la evaluacin de la vulnerabilidad aerodinmica, la gestin y contenidos relacionados con la base de datos, estaciones de trabajo, servidores y entornos virtualizados. Realizar evaluacin de la vulnerabilidad sin parches faltantes, cero das y configuraciones inseguras Simplifique la evaluacin de la seguridad con perfiles de usuario que se alinean con su funcin de trabajo Mejorar la gestin del riesgo y la priorizacin de amplia identificacin exploit de CORE IMPACT, Metasploit y Exploit-db.com Soporte completo para entornos VMware, incluyendo en lnea y fuera de lnea de imagen de exploracin virtual, anlisis de aplicaciones virtuales, y la integracin con vCenter
