2. Introducción
Es fundamental mencionar que para el auditor en informática, conoce
los productos de software que han sido creados para apoyar su función
aparte de los componentes de la propia computadora resulta esencial,
esto por razones económicas y para facilitar el manejo de la
información.
El auditor desempeña sus labores mediante la aplicación de una serie
de conocimientos especializados que vienen a formar el cuerpo técnico
de su actividad.
3. Técnicas Y Herramientas Auditoría Informática
Técnicas
Podemos definir las técnicas de auditoría como los
métodos prácticos de investigación y prueba que utiliza
el auditor para obtener la evidencia necesaria que
fundamente sus opiniones y conclusiones.
-Las técnicas y los procedimientos están estrechamente relacionados.
4. Para tener en cuenta:
Las técnicas se clasifican generalmente con base en la acción que se va
a efectuar. Estas acciones verificadoras pueden ser oculares, verbales,
por escrito, por revisión del contenido de documentos y por inspección
física.
Procedimientos
Son el conjunto de técnicas de investigación aplicables a una partida o
a un grupo de hechos y circunstancias.
Es la combinación de dos o más técnicas, mientras que la conjugación
de dos o más procedimientos de auditoria originan los programas de
auditoria, y al conjunto de programas de auditoria se le denomina plan
de auditoría.
5. Técnicas Auditoría Informática
• Evaluación
Consiste en analizar mediante pruebas la calidad y cumplimiento de
funciones, actividades y procedimientos que se realizan en una organización
o área.
• Inspección
La inspección permite evaluar la eficiencia y eficacia del sistema, en cuanto
a operación y procesamiento de datos para reducir los riesgos y unificar el
trabajo hasta finalizarlo.
6. • Comparación: es la comparación de los datos obtenidos en un área o
en toda la organización y cotejando esa información con los datos
similares o iguales de otra organización con características
semejantes.
• Revisión Documental: para recopilar información relacionada con la
actividad, operación o función que se realiza en el área informática,
así como también se puede observar anticipadamente su
cumplimiento
Técnicas Auditoría Informática
7. Técnicas Auditoría Informática
• Confirmación
El aspecto más importante en la auditoria es la confirmación de los
hechos y la certificación de los datos que se obtienen en la revisión,
ya que el resultado final de la auditoria
• Matriz DOFA
Aquí se evalúan los factores internos y externos, para que el auditor
puede evaluar el cumplimiento de la misión y objetivo general del
área de informática de la organización.
8. 0Recolección de información para auditoría informática y
de sistemas
0 Observación: Es una de las técnicas más utilizadas para examinar
los diferentes aspectos que intervienen en el funcionamiento del
área informática y los sistemas software.
Herramientas Auditoría Informática
9. 0Cuestionarios:
Son preguntas impresas en formatos o fichas en que el
auditado responde de acuerdo a su criterio, de esta
manera el auditor obtiene información que
posteriormente puede clasificar e interpretar por medio
de tabulación y análisis.
El trabajo de campo del auditor consiste en lograr toda la
información necesaria para la emisión de un juicio global
objetivo, siempre amparado en hechos demostrables
llamados evidencias.
Herramientas Auditoría Informática
10. Herramientas Auditoría Informática
0 Entrevistas:
De esta se obtiene información sobre lo que se esta auditando,
además de tips que permitirán conocer más sobre los puntos a
evaluar o analizar. Se hace de tres formas:
1. Mediante la petición de documentación concreta sobre
alguna materia de su responsabilidad.
2. Mediante “Entrevistas” en las que no se sigue un plan
predeterminado ni un método estricto de sometimiento a
un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un
método preestablecido de antemano y busca unas
finalidades concretas.
11. Herramientas Auditoría Informática
• Checklist:
• es un cuestionario ordenado y estructurado por materias auditadas.
• Ha de contener preguntas idénticas formuladas en términos
aparentemente distintos. El cruzamiento de las respuestas permite
aumentar el rigor del análisis.
• La motivación de su uso es clara. Para auditar cualquier aspecto de una
empresa
Hay opiniones que descalifican el uso de las Checklists, ya que consideran
que leerle una lista de preguntas recitadas de memoria o leidas en voz alta
descalifica al auditor informático.
12. Herramientas Auditoría Informática
Tipo de Checklist:
• Rango
Permiten mayor precisión si el criterio de la Auditoría es uniforme. Indicado
para revisiones pequeñas. Depende excesivamente de la buena formación y
competencia de cada persona que conforman la entidad.
• Binaria
Es la constituida por preguntas con respuesta única y excluyente: Si o No.
Aritméticamente equivalen a 1(uno) ó 0 (Cero)
NOTA:
No existen CheckList’s standard para cualquier instalación. Las listas deben retocarse
y adaptarse a cada organización.
13. Herramientas Auditoría Informática
•Trazas y/o Huellas:
Se utilizan para comprobar la ejecución de las
validaciones de datos previstas. Las mencionadas trazas
no deben modificar en absoluto el sistema.
Con frecuencia, el auditor debe verificar que los
programas, tanto de los sistema como de usuarios,
realizan exactamente las funciones previstas, y no otras.
Para ello se apoyan en productos software muy potentes
y modulares que, rastrean los caminos que siguen los
datos a través del programa.
14. Herramientas Auditoría Informática
• Análisis De Bitácoras:
Existen varios tipos de bitácoras que pueden ser analizadas por
el auditor, ya sea de forma manual o por medio de programas
especializados, tales como bitácoras de fallas del equipo,
bitácoras de accesos no autorizados, bitácoras de uso de
recursos.
• Software de Auditoria:
Software especiales para la auditoria informática se orientan
principalmente hacia lenguajes que permiten la interrogación
de ficheros y bases de datos de la empresa auditada. Estos
productos son utilizados solamente por los auditores externos.
15. DIAGRAMA ESPINA DEL PESCADO
• El Diagrama Causa-Efecto es llamado usualmente Diagrama de
“Ishikawa” porque fue creado por Kaoru Ishikawa
• También es llamado “Diagrama Espina de Pescado” por que su forma
es similar al esqueleto de un pez
• Está compuesto por un recuadro (cabeza)
• Una línea principal (columna vertebral)
• y 4 o más líneas que apuntan a la línea principal formando un ángulo
aproximado de 70º (espinas principales)
Estas últimas poseen a su vez dos o tres líneas inclinadas (espinas), y
así sucesivamente (espinas menores), según sea necesario.
16. PASOS PARA CONSTRUIR UN
DIAGRAMA CAUSA-EFECTO
1. IDENTIFICAR EL PROBLEMA
2. IDENTIFICAR LAS PRINCIPALES CATEGORÍAS DENTRO DE LAS
CUALES PUEDEN CLASIFICARSE LAS CAUSAS DEL PROBLEMA.
17. 3. IDENTIFICAR LAS CAUSAS
4. ANALIZAR Y DISCUTIR EL DIAGRAMA
Cuando el Diagrama ya esté finalizado, los estudiantes pueden discutirlo, analizarlo y, si
se requiere, realizarle modificaciones. La discusión debe estar dirigida a identificar la(s)
causa(s) más probable(s), y a generar, si es necesario, posibles planes de acción.
18. Diagrama del Trébol
Está compuesta en forma de un trébol:
• la primera hoja, llamada núcleo profesional está formada por los trabajadores
profesionales técnicos y administradores esenciales en la organización.
• La segunda hoja el margen contractual, estaría compuesta por aquellas
personas u organizaciones cuyo trabajo no constituye la esencia de las
operaciones de la empresa para aumentar la eficiencia y reducir rigideces,
tales operaciones se subcontratan o se ceden a unidades externas.
• La tercera hoja está integrada por la fuerza de trabajo flexible, es decir
aquellos trabajadores a tiempo parcial o temporal que se relaciona de
manera eventual.
Características principales
•Es la representación del máximo aplanamiento de
una organización. Los niveles jerárquicos
desaparecen y la organización se configura como un
trébol de cuatro hojas con un tallo.
•El objetivo es la búsqueda de la máxima flexibilidad
19. Quién? Emisor
Dice qué? Mensaje
En qué forma? Medio
A quién? Receptor
Con qué efecto? Información de retorno
Plan de Mejora
28. Herramientas para la auditoria
• Backup y copias espejos de discos duros y medios removibles. -
Software de búsqueda de archivos.
• - Google Desktop.
• - Software de Recuperación de archivos borrados.
• - Análisis de la memoria Ram.
• - Análisis de la red.
• - Actividad del equipo.
• - Borrado definitivo
• - Búsqueda de mails, historial de internet, chats.
• - Otros: Encase Forensic, CondorLinux, Maltego, impresiones.
29. Auditoria Con el Computador (CAAT)
(técnicas de auditoria asistidas por computadoras)
Las CAAT son un conjunto de técnicas y herramientas
utilizados en el desarrollo de las auditorias informáticas con
el fin de mejorar la eficiencia, alcance y confiabilidad de los
análisis efectuados por el auditor, a los sistemas y los datos
de la entidad auditada. Incluyen métodos y procedimientos
empleados por el auditor para efectuar su trabajo y que
pueden ser administrativos, analíticos, informáticos entre
otros; y los cuales son de suma importancia para el auditor
informático cuando este realizando una auditoria.
El uso de las CAAT le permite al auditor obtener suficiente
evidencia confiable sobre el cual, sustentar sus
observaciones y recomendaciones, lo que obliga al auditor a
desarrollar destrezas especiales en el uso de técnicas, como:
mayores conocimientos informáticos, etc.
30. Utilización De Técnicas CAAT
• Generador de datos de prueba: para preparar un lote de prueba para
verificar la lógica de los programas de aplicación
• Sistemas expertos: aplicaciones desarrolladas a fin de contener una base
de conocimiento experto y lógica provista por expertos en determinado
campo.
UTILITARIOS ESTÁNDARES
• PAQUETES DE BIBLIOTECA DE SOFTWARE: para verificar la integridad y
corrección de cambios a programas
• INSTALACIONES DE PRUEBA INTEGRADAS: consiste en crear entidades en
un sistema de aplicación y procesar datos de prueba o producción sobre
la entidad a fin de verificar la exactitud de procesamiento.
31. Utilización De Técnicas CAAT
• Instantánea: consiste en tomar fotografías de una transacción a medida
que recorre el sistema computadorizado
• Archivo de revisión de auditoría de control del sistema: consiste en
integrar módulos de auditoría en un sistema de aplicación para realizar
un monitoreo continuo de las transacciones del sistema.
• Software especializado de auditoría: para que el auditor realice diversa
tareas tales como muestreo y comparaciones
32. Ventajas De Las Técnicas CAAT
•Reducen el nivel de riesgo de auditoría.
•Mayor independencia respecto del auditado.
•Cobertura más amplia y coherente de la auditoría.
•Mayor disponibilidad de información.
•Mejor identificación de excepciones.
•Mayor flexibilidad de tiempos de ejecución.
•Mayores oportunidades de cuantificar las debilidades
de control interno.
•Mejor muestreo.
•Ahorro de tiempo con el transcurso del tiempo.
33. El Auditor Debe Sopesar Los Costos y Beneficios de las Técnicas CAAT. Ha de
tener en cuenta:
• Facilidad de utilización
• Requisitos de capacitación
• Complejidad de codificación y mantenimiento
• Flexibilidad de uso
• Requisitos de instalación
• Eficiencia de procesamiento
• Esfuerzo que se requiere para llevar al información fuente al CAAT para su auditoría
Cuando se Desarrolla un CAAT Debe Conservarse la siguiente
documentación:
0 Listados de los programas
0 Flujo gramas, tanto detallados como generales
0 Informes de muestras
0 Diseños de registros y archivos
0 Definiciones de campos
0 Instrucciones de operación
0 Descripción de los documentos fuentes
34. Muestreo Estadístico
El muestreo es una técnica de auditoria muy útil que
el auditor puede usar para obtener evidencia que le
dé mayor satisfacción de auditoria.
Es aquel donde el auditor utiliza sustento
matemáticos para determinar, los puntos a auditar,
el tamaño de la muestra, grados de confianza y
márgenes de error administrativos. No aplica la no
utilización del criterio del auditor sino más bien que
constituye una herramienta para mejorarlo.
35. Métodos De Muestreo Utilizados por los
Auditores:
•Muestreo de atributos: también denominado
muestreo estimativo, es la técnica utilizada para
estimar el valor de ocurrencia de un control.
•Muestreo de variables: también denominado
estimación dólar o muestreo de estimación media, es
la técnica que se utiliza para estimar el valor del dólar u
alguna otra unidad de medida.
36. Términos de Muestreo Estadístico
• Coeficiente de Confianza: Se expresa como un porcentaje de la
probabilidad de que las características de la muestra sea una veraz
representación del universo.
• Nivel de Riesgo: Esta cifra es 1 menos el nivel de confiabilidad.
• Precisión: La fija el auditor y representa el rango de diferencia entre la
muestra y el universo real de la muestra.
• Tasa de error esperada: Se expresa como un porcentaje y es el valor
estimado de los errores que pueden presentarse.
• Media de la muestra: Es la suma de todos los valores de la muestra
dividido por el tamaño de la muestra.
• Desviación Estándar: Calcula la varianza de los valores de la muestra
respecto de la mediana de la muestra .c
37. Pasos Claves en la Selección de la Muestra
•Determinar los objetivos de la prueba.
•Definir la población a ser muestreada.
•Determinar el método de muestre, tales
como el muestreo de atributos o muestre de
variables.
•Calcular el tamaño de la muestra.
•Seleccionar la muestra.
•Evaluar la muestra desde una perspectiva de
auditoria.
38. Log
El log vendría a ser un historial que informa que fue cambiando y
cómo fue cambiando (información). Las bases de datos, por
ejemplo, utilizan el log para asegurar lo que se llaman las
transacciones. Las transacciones son unidades atómicas de
cambios dentro de una base de datos; toda esa serie de cambios se
encuadra dentro de una transacción, y todo lo que va haciendo la
Aplicación (grabar, modificar, borrar) dentro de esa transacción,
queda grabado en el log. Si en el medio de la transacción se cortó
por x razón, lo que se hace es volver atrás. El log te permite analizar
cronológicamente que es lo que sucedió con la información que está
en el Sistema o que existe dentro de la base de datos.