También conocidas por su sigla en ingles como CAATs (Computer Assisted Audit Techniques ).

 

Normas  

Normas Internacionales de Auditoria emitidas por IFAC (International Federation of Accountants) en la NIA (Norma Internacional de Auditoria o International Standards on Auditing, ISA) 15 y 16, donde se contempla la necesidad de utilizar otras técnicas además de las manuales.

Norma ISA 401, sobre Sistemas de Información por Computadora.
SAS No. 94 (The Effect of Information Technology on the Auditor's Consideration of Internal Control in a Financial Statement audit) dice que en una organización que usa Tecnologías de Información IT, se puede ver afectada en uno de los siguientes cinco componentes del control interno: El ambiente de control, evaluacion de riesgos, actividades de control, información, comunicación y monitoreo ademas de la forma en que se inicializan, registran, procesan y reporta las transacciones.
La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit Techniques (CAATs) o Técnicas de Auditoria Asistidas por Computador (TAACs), plantea la importancia del uso de TAACs en auditorías en un entorno de sistemas de información por computadora

 

  Técnicas Manuales  
Inspección. De documentos, procedimientos, activos, para verificar su existencia, mas que para determinar la forma en que se están utilizando.
Observación. De procesos o acciones
Investigación o indagación.
Confirmación. Ratificar datos.
Cálculo. Precisión matemática
Revisión Analítica. Investigación de fluctuaciones o partidas poco usuales.

 
Técnicas de Auditoría Asistidas por Computador (TAAC's)
 

Computer Assisted Audit Techniques. (CAAT).

SAP 1009 los define como programas de computador y datos que el auditor usa como parte de los procedimientos de auditoria para procesar datos de significancia en un sistema de información.
SAP 1009 describe los procedimientos de auditoria en que pueden ser usados las TAACs :

 
 
1. Pruebas de detalles de transacciones y balances (Recálculos de intereses, extracción de ventas por encima de cierto valor, etc.)
2. Procedimientos analíticos, por ejemplo identificación de inconsistencias o fluctuaciones significativas.
3. Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparación de códigos y versiones,
4. Programas de muestreo para extractar datos.
5. Pruebas de control en aplicaciones.
6. Recálculos.
 
Datos de Prueba
 

Se alimenta la aplicación con datos preparados por el auditor y de los cuales conoce los resultados luego de procesarlos. El objetivo es conocer que hace el programa y la acción de los controles implementados su ausencia.

Uso: - Evaluación de controles específicos.
- Verificación de validaciones
- Prueba de perfiles de acceso
- Prueba a transacciones seleccionadas

Anotaciones:
- Un elemento de gran importancia en esta técnica es el diseño de los datos de prueba, lo que en últimas determinara la efectividad de esta técnica. Es recomendable seleccionar datos normales, ilógicos, imposibles, con valores extremos, etc.
- Es necesario para el funcionamiento de la actividad normal, pues se corre el riesgo de mezclar la información.
- Es sencillo su uso, pero debe tenerse claro su objetivo.

IFAC, en su SAP 1009, plantea:
Las técnicas de datos de prueba se usan durante una auditoría alimentando datos (por ej., una muestra de transacciones) al sistema de computo de una entidad, y comparando los resultados obtenidos con resultados predeterminados.


 
ITF (Integrated Test Facility). Prueba Integrada de Facilidad
 

También conocida como prueba de mini compañía.
Su objetivo y uso es similar al caso anterior pero su gran diferencia principal radica en su implementación sin detener el funcionamiento normal de la instalación, mezclando los datos de prueba con los datos reales, en la misma aplicación.
 
Simulación Paralela
 

Programas independientes creados por la auditoría para procesar datos reales y simular proceso real.
 
Software de Auditoría
 

Según SAP1009, en su parágrafo 26:
"El software de auditoría consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditoría, para procesar datos de importancia de auditoria del sistema de contabilidad de la entidad. Puede consistir en programas de paquete, programas escritos para un propósito, programas de
utileria o programas de administración del sistema. Independientemente de la fuente de los programas, el auditor deberá verificar su validez para fines de auditoría antes de su uso".
  SOFTWARE GENERAL DE AUDITORIA  
 
  SOFTWARE DE AUDITORIA A LA MEDIDA  
 

Paquete de Auditoría. Son programas generalizados de computadora diseñados para desempeñar funciones de procesamiento de datos que incluyen leer archivos de computadora, seleccionar información, realizar cálculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor".
Son usados para control de secuencias, búsquedas de registros, selección de datos, revisión de operaciones lógicas y muestreo.

Software para un propósito específico o diseñado a la medida. "Son programas de computadora diseñados para desempeñar tareas de auditoría en circunstancias específicas. Estos programas pueden ser desarrollados por el auditor, por la entidad, o por un programador externo contratado por el auditor. En algunos casos el auditor puede usar programas existentes en la entidad en su estado original o modificado porque puede ser más eficiente que desarrollar programas independientes".
Si se desarrolla a la medida es posible aprovechar estos programas para aplicar otras técnicas.

Los programas de utilería. "Son usados por la entidad para desempeñar funciones comunes de procesamiento de datos, como clasificación, creación e impresión de archivos. Estos programas generalmente no están diseñados para propósitos de auditoría y, por lo tanto, pueden no contener características tales como conteo automático de registros o totales de control".

Los programas de administración del sistema. "Son herramientas de productividad sofisticadas que son típicamente parte de los sistemas operativos sofisticados, por ejemplo software para recuperación de datos o software para comparación de códigos. Como en el caso anterior estas herramientas no son específicamente diseñadas para usos de auditoria y deben ser utilizadas con cuidado".

Rutinas de Auditoría embebidas en Programas de aplicación. Módulos especiales de recolección de información incluidos en la aplicación y diseñados con fines específicos. Según SAP 1009, se incluyen en estas
 

SnapShots. Es una fotografía interna al sistema, es decir a la memoria, lo que permite obtener resultados intermedios en diferentes momentos de un proceso o conseguir valores temporales de una variable. Se activa mediante ciertas condiciones preestablecidas. Permite al auditor rastrear los datos y evaluar los algoritmos aplicados a los datos.

Archivo de revisión de auditoría. Involucra módulos incrustados en una aplicación que monitorea continuamente el sistema de transacciones. Recolecta la información en archivos especiales que puede examinar el auditor.
  MODELOS EMBEBIDOS DE AUDITORIA  
 

System control audit Review file
En resumen los paquetes de auditoria son usados para control de secuencias, búsquedas de registros, selección de datos, revisión de operaciones lógicas y muestreo.

 
 
Registros extendidos
 

Se incluye en algún tipo de registro información significativa sobre las transacciones o el sistema, que luego pude ser consultada por el auditor.
 
Técnicas para analizar programas
 

Traceo.
Indica por donde paso el programa cada vez que se ejecuta una instrucción. Imprime o muestra en la pantalla el valor de las variables, en una porción o en todo el programa.

Mapeo.
Característica del programa tales como tamaño en bytes, localización en memoria, fecha de ultima modificación, etc.

Comparación de código.
Involucra los códigos fuentes y códigos objetos.

Job Accounting Software. Informe de Contabilidad del Sistema.
Utilitario del sistema operativo que provee el medio para acumular y registrar la información necesaria para facturar a los usuarios y evaluar el uso del sistema.

 
Consideraciones para el uso de TAAC's
 

- El auditor debe considerar una combinación apropiada de técnicas de auditoría manuales y asistidas por computador.
- Conocimiento del sistema sujeto a evaluacion.
- Conocimiento, pericia y experiencia del auditor en sistemas de informacion.
- Capacidad del auditor para usar la tecnica, tanto a nivel de planificación, ejecución y uso de los resultados obntenidos..
- Disponibilidad de TAACs e instalaciones adecuadas para su implementacion.
- Poco practico de las pruebas manuales, por imposibilidad de rastros fisicos de las entradas, procesamientos y salidas de las transacciones o port el alto volumen de información manejado.
- Efectividad y eficiencia. Su efectividad debido a la posibilidad de revisar un grueso volumen de transacciones (o tal vez todas), la facil implementacion de la revision analitica. La eficiencia de debe tener en cuenta en terminos de tiempo de preparación, de ejecución y analisis de resultados, gastos adicionales, etc.
- Oportunidad de evaluar datos e información en el momento en que esta disponible.

 
Pasos en la planificación para el uso de TAAC's
 

- Fijar el objetivo de la aplicación de la TAAC.
- Determinar la estructura (esquema), el contenido y la forma de acceso a los datos, archivos o bases de datos.
- Definir los tipos de situaciones a ser analizadas
- Definir los procedimientos que se van a seguir.
- Definir los requerimientos de salida o reportes.
- Identificar el personal de auditoría y de sistemas que participaran en el diseño y aplicación de la TAAC.
- Calcular los estimados de costos y beneficios.
- Participar en todas las fases realacionadas con el TAAC, para garantizar su control y documentación.
- Definir actividades y recursos y determinar su disponibilidad.
- Aplicación de la TAAC.
- Evaluar los resultados.

Es importante resaltar que las TAACs se apoyan en programas de computador, los cuales deben ser desarrollados usando las metodologías de ingeniería de software. Es responsabilidad del auditor garantizar el control sobre estos programas, mal haría en confiar la recolección de evidencia a una herramienta o técnica que funciona errónea o deficientemente. Por lo anterior es su deber participar en todas las fases del desarrollo (determinación de erequerimientos, diseño, construccion, prueba e implantación). Debe el auditor mantener bajo su vigilancia estas aplicaciones para evitar que sufran modificaciones no autorizadas.

 
Documentación de las TAAC's
 

La Norma Internacional especifica que el estándar de papeles de trabajo es consistente con el de la auditoría como un todo (incluido en NIA 9, Documentación). Puede ser conveniente mantener los papeles técnicos que se refieren al uso de la TAAC separados de los otros papeles de trabajo de la auditoría.
La documentación cubre todas las fases:

Planeación:
- Objetivos de la TAAC.
- TAAC a utilizar.
- Controles que se van a implementar.
- Personal involucrado, cronograma y costos.

Ejecución:
- Procedimiento de preparación y prueba de la TAAC.
- Detalles de las pruebas realizadas.
- Detalles de datos de entrada, procesamiento y datos de salida.

Evidencia de Auditoría:
- Datos de salida proporcionados.
- Descripción del trabajo de análisis sobre salidas.

Otros:
- Conclusiones de auditoria.
- Recomendaciones.

Si es el caso, se incluyen sugerencias para mejoras a TAAC utilizada.



Universidad Nacional de Colombia
Carrera 30 No 45-03 - Edificio 477
Bogotá D.C. - Colombia
PBX: 3165000
webmaster@unal.edu.co
Aviso Legal - Copyright
Gobierno en LíneaAgencia de Noticias UN