SOFTWARE ESPECIAL DE AUDITORIA

La tecnología está abarcando todas las áreas del saber humano, y el campo de la auditoría no es la excepción, a la vez que la información objeto de auditoria se torna mucho más compleja, también se han desarrollado herramientas informáticas que faciliten el trabajo del auditor. Y en esta ocasión, analizaremos dos ejemplos de actualidad:

      -  IDEA

      - ACL

IDEA: En síntesis se trata de una robusta “herramienta para análisis, extracción y auditoria de datos, fácil de utilizar y provista de numerosas de funcionalidades para verificar la calidad e integridad de la información de bases de datos y archivos de computador, analizar y clasificar los datos aplicando criterios de acuerdo con las reglas del negocio, automatizar técnicas de auditoria asistidas con el computador (CAATs), generación de reporte y exportar archivos y enviar correos electrónicos desde el software IDEA”.

Se dice “robusta” dada su capacidad de acoplarse a distintos tipos de información, organizadas mediante bases de datos, y resulta “flexible” ya que permite establecer criterios alineados a las políticas de la empresa.

Permite gestionar bases de datos, con ilimitado número de registros, en distintos formatos, por ejemplo:

-          Texto

-          ODBC

-          Excel

-          PDF

-          Reportes AS400

-          SAP

Entre otras de sus características, se encuentran:

-          Generar estadísticas de campos numéricos, fecha y hora.

-          Realizar operaciones aritméticas.

-          Comprobar cálculos.

-          Utilizar funciones pre-construídas de análisis financieros y manejo de campos.

-          Extraer y agrupar registros según criterios especificados por el auditor.

-          Identificar registros repetidos y omisiones de secuencia de comandos.

-          Comparar, unir y agregar archivos.

-          Utilizar cinco tipos de muestreo estadístico.

-          Identificar operaciones sospechosas de fraude y lavado de activos.

-          Permite generar código de software reutilizable para próximas auditorias.

Sus funciones principales son:

1.       Importar a IDEA archivos de datos diferentes tipos.

2.       Extracción, análisis y auditoría de datos.

3.       Muestreo estadístico para pruebas de auditoria.

4.       Procesamiento de datos de varios archivos.

5.       Búsqueda e identificación de coincidencias en campos de uno o múltiples archivos.

6.       Métodos estadísticos avanzados.

7.       Desarrollo de Software de Auditoría, traduce las instrucciones dada en un lenguaje natural a programas (IdeaScript) que pueden ser ejecutados periódicamente, sobre diferentes archivos.

ACL: Conocido en la comunidad global de auditores como “la solución de software preferida para la extracción y análisis de datos, detección de fraudes y monitoreo continuo”.

Características:

-          Análisis interactivo obteniendo resultados inmediatos.

-          Fácil acceso de datos de distintos ambientes y sistemas, logrando el auditor independencia de las funciones de procesamiento de datos y reducción del tiempo en que tiene disponible la información.

-          Rapidez y facilidad de uso, lo que permite el análisis de grandes volúmenes de información, cubriendo el 100% de los datos.

-          Funciones propias de auditoría, listas para su uso.

-          Automatización de tareas repetitivas.

-          Resultados gráficos y en reportes.

-          Protección de los datos originales.

-          Procesos de autodocumentación.

Aplicaciones:

-          Análisis de riesgo.

-          Análisis y detección de fraudes.

-          Identificación de excepciones y anomalías.

-          Identificación de problemas de control.

-          Evaluación de procesos y cumplimiento de estándares.

-          Señalar excepciones y destacar áreas que requieren atención.

-          Localizar errores y posibles irregularidades.

-          Recuperar gastos o ingresos perdidos, detectando pagos duplicados.

Con información de: http://www.audisis.com/idea.html, http://www.eniac.com/

HERRAMIENTAS DEL AUDITOR DE SISTEMAS

Dentro de las herramientas utilizadas para llevar a cabo una auditoria de sistemas, podemos mencionar las siguientes:

      Cuestionarios: Son instrumentos empleados con el objeto de recopilar información sobre la empresa auditada, los cuáles son enviados a personas específicas, mismos que no pueden ser, simplemente, repetidos, sino específicos para cada área y situación.

      Checklist: Las listas de validación o “Checklist” son cuestionarios más precisos, y deben ser respondidos claramente, debido a que contiene opciones de respuesta, en este sentido la respuesta no puede ser ambigua o imprecisa. Existen tres tipos: a) De rango; b) Binario y c) Estandar.

      Entrevistas: Esta herramienta es algo más personalizada, pues le permite al auditor una flexibilidad y precisión mayor que un cuestionario o “Checklist”, en consecuencia el auditor puede matizar mejor la información en que basará su opinión.

      Trazas y/o huellas: Consiste en verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas. Existen algunos “software” de rastreo, como lo son: NMAP, FSCAN, CGISCAN y Whisker.

Existen algunos programas en el mercado, que pueden complementar o servir de como alguna de las herramientas anteriores:

      IDEA

      Workin Papers

      Today

      Time

      Lotus Notes

      Auto Audit

      Excel

      Acces

Además, existen algunos programas especiales para auditoria de sistemas, los mismos realizan funciones para: a) monitoreo de bases de datos, b) Detección de intrusos y c) Evaluación de Logs.

       Monitoreo de bases de datos

       Surveillance

       Quest Software

       SQL Power Tools

       Evaluación de Logs:

       IDEA

       ACL

      Detección de Intrusos:

      DRAGON

       Intrudert Alert

      NetProwler

      ISS RealSecure

      Cisco NetRanger

      Cyber Cop

Otros

INFORME DE AUDITORIA DE SISTEMAS

El procedimiento establecido según la práctica general, en el campo de la auditoria de sistemas computacionales se enuncia a continuación:

   Aplicar instrumentos de recopilación: Estos instrumentos han sido definidos en la etapa de planeación para la evaluación correspondiente.

     Registrar en el formato de situaciones encontradas las desviaciones halladas durante la revisión: Seguidamente el auditor toma nota de aquellas situaciones que llamen su atención durante la evaluación, utilizando para ello un formato específico, llamado “Formato de situaciones encontradas”, elaborado cuidadosamente. Las columnas sugeridas para este Formato son: situaciones, causas, soluciones, responsables de solución y fechas de solución.

     Comentar las situaciones encontradas con los auditados: Este paso se refiere al diálogo posterior entre el auditor y el auditado, ya que este último puede defenderse en relación al hallazgo aclarando las causas que dieron origen a la situación detectada. En este caso el auditor debe ser atento y receptivo, a fin de recopilar la información que necesite para ratificar su punto de vista o corregirlo si fuese el caso.

     Encontrar, conjuntamente con los auditados, las causas de desviaciones y sus posibles soluciones: Este paso es complementario del anterior, y surge cuando derivado del diálogo señalado anteriormente, surge un acuerdo entre el auditor y el auditado, en relación a las causas que dieron origen a la desviación.

    Analizar, depurar y corregir las desviaciones encontradas: Esta parte del procedimiento va más orientada al análisis, depuración corrección de la forma de presentación de las desviaciones en el informe final. Mismas que habiendo sido documentadas, retroalimentadas y, en su caso, corregidas, deberán ser sometidas a un análisis exhaustivo dentro de la firma o responsables de la auditoría, a fin de darle una excelente presentación a las desviaciones en el informe.

    Jerarquizar las desviaciones encontradas y concentrar las más importantes en el formato de situaciones relevantes: Esta parte la lleva a cabo un responsable de la auditoría, y su propósito es definir aquello que resulta de una materialidad significativa para la empresa auditada, asimismo se busca presentar de una forma jerarquizada las situaciones encontradas.

      Comentar situaciones relevantes con los directivos del área de sistemas y confirmar las causas y soluciones: En esta etapa, se pretende informar a los directivos de la entidad, con mayor énfasis en el directivo principal, aquellas situaciones que a criterio de la auditoria son de alta materialidad. De modo que se puedan discutir algunos aspectos previos a la definición del Informe Final.

     Concentrar, depurar y elaborar el informe final de auditoria, así como el dictamen del auditor: En este paso se concentran los hallazgos, y se consideran solo aquellos que resulten de importancia relativa para la entidad, en otras palabras, se condensa, resume o sintetiza el trabajo de la auditoria, a fin de que lo más importante sea plenamente atendido.

    Presentar el informe y dictamen final a los directivos de la empresa: Este es el paso final, en el cuál se renuncia a cualquier modificación del informe, pues este tiene carácter de definitivo, y se entrega a los directivos de la entidad, pudiendo realizarse a través de un envío formal del documento, o en una reunión donde solo tienen participación los directivos de la entidad y los directivos de la auditoria.

Además, existen algunas características fundamentales en el Informe que el auditor debe cuidar al momento de elaborar el mismo. En cuanto a elementos básicos de contenido, el auditor debe ser preciso en cuanto a aquellas técnicas, metodologías y herramientas empleadas durante la auditoria. Pero además, hay dos características muy importantes para que este documento sea eminentemente técnico, el auditor deberá cuidar la “forma” y “fondo” del documento, en donde la forma se refiere a la redacción, distribución y orden de contenido, tipo y tamaño de hojas y letra, ortografía, sintaxis y gramática; y por su parte el fondo se refiere a que el Informe debe expresar adecuadamente los hallazgos de la auditoria.