jueves, 6 de agosto de 2009

Software de Auditoria: ACL, Planning Advisor, Cobit Advisor, Audicontrol

1.0 Auditoria de Sistemas

2.0 Descripción de Técnicas de Auditoria con ayuda de Computadora (TAACS).

Las TAACs son programas y datos de computadora que el auditor usa como parte de los procedimientos de auditoría para procesar datos importantes para la auditoría de contenidos en los sistemas de información de una organización.

El auditor puede usar TAACs para revisar dichos archivos para obtener evidencia de la existencia y operación de dichos controles.

Las TAACs pueden consistir en programas de paquete, programas escritos para un propósito, programas de utilería o programas de administración del sistema. Independientemente del origen de los programas, el auditor ratifica que sean apropiados y su validez para fines de auditoría antes de usados:

3.0 Software de Auditoria

Son programas utilizados para procesar grandes cantidades de datos generados por la contabilidad de una organización, puede ser: programas en paquete, programas escritos para un propósito específico y programas de utilería.

El Software de Auditoria de Sistemas tiene como propósito y objetivo principal identificar las tendencias, señalar excepciones y áreas que requieren atención
localiza errores y posibles irregularidades, comparando y analizando los archivos según los criterios especificados por los usuarios. Además permiten extraer información para su revisión, comparación y así obtener resultados previos al análisis realizado; estos productos utilizados habitualmente por los auditores operativos o financieros, permiten extraer datos concretos o en base a muestras estadísticas.

Permiten al auditor obtener información de los sistemas automatizados como evidencias de las pruebas que se diseñen y planeen antes de ejecutar el software de auditoria.

4.0 Tipos de Software de Auditoria

1- Planificación de la auditoria

2- Ejecución- Supervisión

3- Análisis de Riesgo

4- Análisis y evaluación de base de datos

5- Herramientas Integradas

6- Programas para Propósitos Específicos.

4.1 Planificación de la Auditoria

Algunas características específicas de este tipo de software podrían ser las siguientes:

  • Capacidad para ingresar, modificar, eliminar criterios de evaluación de las diferentes modalidades de auditoria existentes (Financiera, operacional, especiales, integrales y de sistemas), y así poderlos utilizar en otras auditorias.
  • Mantenimiento de las auditorias y de los recursos y así mismo generar mínimamente los siguientes reportes: Utilización de recursos/Tiempo libre, Conflictos de asignación, Diagrama de Gantt, Calificaciones de recursos, programación de proyectos, programación de proyectos, lista de recursos.
  • Base de datos de mejores practicas de programas de auditoria, estándares de control y otras normas o estándares internacionales con posibilidad de poder agregar mediante librerías o base de datos otros estándares. Algunos ejemplos: COSO-MICIL, COBIT, ISO 27001, ISO 15408, ISO 9126, ITIL, ISO 20000, ISO 13335.

4.1.1 Ejemplo de Software de Auditoria “Planning Advisor”.



Fig. 1. Logo representativo del Software Planning Advisor

4.1.1.1 Planning Advisor. La Herramienta de Planeamiento de Auditoría Basada en Riesgos.

Este programa ayuda a automatizar el proceso de planeación de la auditoria. Utilizando este programa se puede identificar y clasificar las áreas de mayor exposición mediante criterios de evaluación basados en riesgos. Esta herramienta se puede utilizar en combinación con el Pro audit. Advisor como herramienta de ejecución de la planeación.

Diseñada para auditores, departamentos de auditoría y unidades de negocio que aplican un enfoque de riesgo a su actividad de auditoría, Planning Advisor V5 le permite demostrar que ha utilizado un enfoque transparente y riguroso en el planeamiento de auditoría.

Planning Advisor le brinda un proceso de planeamiento de auditoría riguroso y transparente, brindándole seguridad a la dirección superior y al comité de auditoría de que se están revisando en forma regular el riesgo más alto. Con una interfaz completa con Microsoft® Word y Excel para emisión de reportes y análisis, y la habilidad de vincular cualquier documento, Planning Advisor le brinda la información que necesita en el formato que lo desee.

4.1.1.2 Características del Software.

  • Automatiza el enfoque de su plan de auditoría para ahorrar tiempo y mejorar la precisión de las evaluaciones.
  • Define y pondera los criterios de riesgo para reflejar los aspectos significativos de las funciones de auditoría y del negocio.
  • Provee mayor seguridad a la alta gerencia/comité de auditoría de que las áreas de alto riesgo se están revisando en forma regular.
  • Actualiza en forma continua su plan de auditoría para reflejar las nuevas circunstancias.
  • Efectúa el ranking de riesgos y asigna los recursos claves a las áreas de más alto riesgo.

4.1.1.3 Importancia de su aplicación en algunas empresas y/o firmas de auditoria.

Planning Advisor está diseñado para los departamentos de auditoría o unidades del negocio que aplican un enfoque de riesgo a sus procesos. No está limitada su utilización a auditoría interna, sino que también puede ser usado para facilitar cualquier proceso de ranking de riesgo de acuerdo con las necesidades del negocio. Por tal razón esta aplicación representa un gran valor en las empresas que requieran llevar un buen control de su información.

Otros factores que son de importancia para la empresa y/o firmas de auditoria.

  • Al aplicar un enfoque basado en riesgos en las evaluaciones y una matriz para definir el universo de auditoría, Planning Advisor V5 le permite planificar los recursos de auditoría a las áreas de mayor exposición potencial.
  • Planning Advisor V5 le provee una aplicación consistente de criterios de riesgo permitiéndole definir los criterios de riesgo para evaluar las áreas de auditoría. Proporciona información adecuada en diferentes formatos.

4.1.1.4 Pantallas de Software Planning Advisor



Fig. 2. Planning Advisor ha sido diseñado para que los Gerentes de Auditoría puedan iniciar el planeamiento de sus auditorías con un entrenamiento mínimo en el software. Se dispone de ayuda sensible al contexto en todo Planning Advisor y se cuenta con una documentación detallada de usuario desarrollada en HTML.

Fig. 3. Definir la Estructura. Utilizando un enfoque de Matriz, Planning Advisor le permite definir el universo completo de auditoría.

4.1.1.5 Requerimientos Técnicos de Hardware y Software.

4.1.1.5.1 Hardware para la operación del Modulo de Auditoria

Toda empresa que emplee este software de auditoria, debe disponer de hardware con las características siguientes:

HARDWARE

CANTIDAD

Un Pentium 4

1 por maquina como mínimo, se recomienda

un Procesador mas reciente.

512 MB o más de RAM disponible

1 por maquina como mínimo, se recomienda Incrementar su capacidad.

100 MB o más de espacio libre en disco

1 por maquina como mínimo, se recomienda Incrementar su capacidad.

1024 x 768 píxeles de resolución mínima de pantalla

1 por maquina, monitor SVG.

Tabla 1: Hardware para la operación de Planning Advisor

4.1.1.5.2 Software para la operación

Para el funcionamiento del modulo de auditoria se requiere el siguiente software

SOFTWARE

DISPONIBILIDAD

Windows ® 2000/XP/Vista

Licencia adquirido por Microsoft Corporation

Microsoft ® Word 2000/XP/2003/2007, Microsoft ® Excel 2000/XP/2003/2007

Licencia adquirido por Microsoft Corporation

Adobe ® Reader ® 5 [o posterior]

Licencia adquirido por Microsoft Corporation

Tabla 2: Software para la operación de Planning Advisor

4.2 Ejecución – Supervisión

Algunas características específicas de este tipo de software podrían ser las siguientes:

  • Sistemas de referencia que incluya: Referencias automáticas de hallazgos, papeles de trabajo y otra documentación de Word o Excel que sea parte del programa de trabajo, como por ejemplo los recálculos, Un referenciador de papeles de trabajo que guarda un orden sistemático en toda la base de datos, Referencias a posibles archivos de imágenes que formen parte del programa de trabajo, Marcas de auditoria integradas y personalizables.
  • Ingreso de notas de revisión, en los papeles de trabajo.
  • Repositorio de información histórica de las auditorias realizadas en años anteriores, a su vez de poder consultar los papeles de trabajo e informes emitidos.
  • Generación de consultas y reportes de recomendaciones realizadas para dar seguimiento por área, rango de fechas, tipo de auditoria y de recomendaciones (emitidas, proceso, cumplidas) según los tipos de auditorias ingresadas al sistema.

4.2.1 Ejemplo de SoftwareCobit Advisor”



Fig. 4. Logo representativo del Software Cobit Advisor

4.2.1.1 Cobit Advisor. Información del producto del Software

Es un programa que automatiza el marco de referencia Cobit. Permite la definición del personal de trabajo en una auditoria, así como elegir el dominio en el cual se trabajara es decir planificación y organización, adquisición y mantenimiento, desarrollo y soporte y monitoreo, así como los subdominios o procesos por cada dominio. También se pueden definir los criterios y recursos de información que se evaluarán. Por cada proceso evaluado se tienen los objetivos de control y las guías de auditoria, así como su respectiva evaluación. Tiene la opción para adjuntar archivos como papeles de trabajo, muestra las evaluaciones en formato grafico y permite generar reportes exportables a Word.

4.2.1.2 Características del Software

  • Determinar el nivel apropiados de seguridad de información y control para las necesidades particulares de su organización. “Conducir las pruebas de auditoría y las revisiones basadas sobre programas desarrollados específicamente para el modelo de evaluación de COBIT.
  • El Monitor de rendimiento clave son indicadores para dar seguimiento a los valores históricos y tendencias sobre la base de sus criterios valores se pueden cargar manualmente o automáticamente directamente de sus sistemas.
  • Identificar los procesos y aplicaciones específicos que requieren una focalización adicional de controles.

4.2.1.3 Importancia de su aplicación en algunas empresas y/o firmas de auditoria.

Entre uno de los aspectos importantes para realizar este análisis de datos, es a través de los siguientes aspectos: La Asignación de los recursos, después de la identificación de las auditorias de alta prioridad, es necesario asegurarse de que ha asignado la gente con la suficiente experiencia y los conocimientos adecuados.

Se Coordinan la planificación y ejecución - junto con Pro Auditoria, Asesor de Planificación le permite proporcionar información continua de su progreso y los resultados de auditoria en su plan, y hacer los ajustes necesarios, por tales acciones, este software es de suma importancia a la hora de implementar una auditoria dentro de una organización.

4.2.1.4 Pantallas del Software CobiT advisor


Fig. 5. Pantalla principal del Software CobiT Advisor

Fig. 6 Muestra unos gráficos y los puntos de referencia aceptables.

4.2.1.5 Requerimientos Técnicos de Hardware y Software.

4.2.1.5.1 Hardware para la operación del Modulo de Auditoria

Toda empresa que emplee este software de auditoria, debe disponer de hardware con las características siguientes:

HARDWARE

CANTIDAD

Un Pentium 4

1 por maquina como mínimo, se recomienda un Procesador mas reciente.

64MB de RAM disponible.

1 por maquina como mínimo, se recomienda incrementar su capacidad.

20 MB de espacio libre en disco.

1 por maquina como mínimo, se recomienda incrementar su capacidad.

1024 x 768 píxeles de resolución mínima de pantalla

1 por maquina, monitor SVG.

Tabla 3: Hardware para la operación de CobiT advisor

4.2.1.5.2 Software para la operación

Para el funcionamiento el modulo de auditoria se requiere el siguiente software

SOFTWARE

DISPONIBILIDAD

Microsoft Windows 95 / Microsoft Windows NT 4.0 o sistemas operativos posteriores.

Licencia adquirido por Microsoft Corporation

Microsoft ® Word 2000/XP/2003/2007, Microsoft ® Excel 2000/XP/2003/2007

Licencia adquirido por Microsoft Corporation

Microsoft Excel 97 [o posterior]. Para la producción de reportes con resultados en formato gráfico.

Licencia adquirido por Microsoft Corporation

Un Explorador Web. Para ver y enviar formularios y reportes HTML por Internet/su Intranet

Gratis

Tabla 4: Software para la operación de CobiT advisor

4.3 Análisis de riesgos

Algunas características específicas de este tipo de software podrían ser las siguientes:

  • Automatizar todos los aspectos de riesgos dentro de una herramienta dinámica.
  • Base de datos de metodologías/técnicas de análisis de riesgos. Algunos ejemplos: Delphi; Analisis por tablas; MAGERIT; NIST Risk Managment Guide; AS/NZS 4360:2004 Risk Managment.
  • Opciones de realizar análisis de riesgo cualitativo, cuantitativo y mixto.
  • Definición de parámetros para el análisis cuantitativo del riesgo.
  • Monitorear y dar seguimiento a la información de las auditorias y al cumplimiento de las recomendaciones.
  • Rastrear el rendimiento de los indicadores claves de riesgo.
  • Generar reportes los cuales estén completamente integrados con Microsoft Office.

4.3.1 Ejemplo de Software “Audicontrol”


Fig. 7 Logo representativo del Software AudiControl

4.3.1.1 Audicontrol. Software Gestión de Riesgos y Diseño de Controles para Procesos de Negocio.

Es la metodología asistida por computador, desarrollada por AUDISIS para evaluar riesgos, diseñar y documentar controles en ambientes automatizados. AUDICONTROL consta de 6 módulos para el desarrollo de actividades relacionadas con la administración de riesgos:

a) Módulo de Implementación del Sistema de Gestión de Riesgos por procesos (identificar, medir, controlar y monitorear los riesgos de cada proceso o sistema).

b) Módulo de Consolidación del Perfil de Riesgo de la Entidad (por tipos de procesos).

c) Módulo de Registro de Eventos de Riesgo Operativo Ocurridos.

d) Módulo de Monitoreo del Plan de Continuidad del Negocio.

e) Módulo de Auditoría a la gestión de riesgos de cada proceso.

f) Módulo de Seguridad y Administración de usuarios.

4.3.1.2 Importancia de su aplicación en algunas empresas y/o firmas de auditoria.

Entre los aspectos importantes podemos mencionar.

  • Evaluación de los riesgos potenciales que podrían presentarse en los nuevos servicios y negocios automatizados.
  • Mapas de Riesgos para los sistemas en desarrollo o adquisición y la función de servicios de información.
  • Evaluaciones del grado de protección que ofrecen los controles con respecto a las causas de los riesgos potenciales críticos.

Estos aspectos hacen de este software (Audicontrol), ser una buena alternativa para el manejo y análisis de la información de toda organización.

4.3.1.3 Módulos de AUDICONTROL

Fig. 8 Módulos de AUDICONTROL

Por cada Módulo, el usuario de AUDICONTROL recibe los siguientes productos:

Fig. 9 Productos pertenecientes a cada modulo.

4.3.1.4 ¿Qué Produce el Software de AUDICONTROL?

  • Bases de Datos de conocimientos con los resultados de estudios realizados, personalizadas con circunstancias particulares de las empresas (Bases de Trabajo).
  • Guías de Autocontrol y de Autoevaluación del Control, para dependencias usuarias de los nuevos sistemas y el Departamento de Sistemas.
  • Manuales de Control Interno para el Departamento de Sistemas y las nuevas aplicaciones desarrolladas o adquiridas.

4.3.1.5 Beneficios

  • Mayor confianza en los resultados de los Sistemas de Información Automatizados.
  • Incremento de productividad y eficiencia
  • Reducción de costos de corrección de errores
  • Mejorar niveles de servicio a los clientes

4.3.1.6 Requerimientos Técnicos de Hardware y Software.

4.3.1.6.1 Hardware para la operación del Modulo de Auditoria

Cada módulo del software AUDICONTROL funciona en microcomputadores en ambiente red o monousuario con las siguientes características:

HARDWARE

CANTIDAD

Procesador Pentium III, IV

1 por maquina como mínimo, se recomienda un Procesador mas reciente.

16 MB de RAM disponible.

1 por maquina como mínimo, se recomienda incrementar su capacidad.

20 MB de espacio libre en disco

1 por maquina como mínimo, se recomienda incrementar su capacidad.

1024 x 768 píxeles de resolución mínima de pantalla

1 por maquina, monitor SVG.

Tabla 5: Hardware para la operación de Audicontrol

4.3.1.6.2 Software para la operación

Para el funcionamiento el modulo de auditoria se requiere el siguiente software.

SOFTWARE

DISPONIBILIDAD

Microsoft Windows 95 / Microsoft Windows NT 4.0 o sistemas operativos posteriores, Ambiente Novell.

Licencia adquirido por Microsoft Corporation

Tabla 6: Software para la operación de Audicontrol

4.4 ANALISIS Y EVALUACION DE BASE DE DATOS

Algunas características específicas de este tipo de software podrían ser las siguientes:

  • Herramienta orientada a la auditoria.
  • Facilidad de uso mediante interfaz amigable que le permitan al auditor enfocarse en aplicar su experiencia, en vez de estar aprendiendo a como utilizar el software.
  • Extracción de datos desde bases de datos relacionales (Oracle, SQL Server 2000, Informix).
  • Manejo de grandes volúmenes de datos no importando su complejidad o configuración sin afectar el rendimiento de la base de datos.
  • Capacidad de elaborar diferentes tipos de análisis estadísticos.
  • Posibilidad de desarrollar aplicaciones personalizadas que se puedan ejecutar automáticamente (Macros, scripts, etc.), creando así una metodología de auditoria continua.
  • Capacidad para trabajar simultáneamente con varios archivos.
  • Compatibilidad de exportación con aplicaciones ofimáticas, por ejemplo Microsoft Office.

4.4.1 Ejemplo de Software “ACL (Audit Command/Control Language)”.

Fig. 10 Logo representativo del Software ACL (Audit Command/Control Language)

4.4.1.1 ACL (Lenguaje de Comandos de auditoria)

Es un software para análisis y extracción de datos mas usado en la actualidad.

Con ACL los auditores y profesionales de los negocios pueden transformar grandes cantidades de datos electrónicos en un conocimiento comercial de valor. Es un software, poderoso y fácil de usar, le permite convertir datos en información significativa, lo cual le ayuda a alcanzar sus objetivos de negocios y agregar valor a su organización.

Con ACL se podrá realizar la revisión de datos con una cobertura del 100% de los datos, esto significa que se pueden hacer auditorias para toda una población entera, y no para pequeñas muestras.

El impacto de ACL se ve en los siguientes aspectos: los ciclos de auditoria más cortos; las investigaciones más detalladas; una confianza completa en sus resultados; un ahorro significativo en sus recursos; un rol mayor de la auditoria en el negocio.

4.4.1.2 Características del Software

  • Permite importar archivos de diferentes fuentes o formatos (archivos planos y de base de datos específicas).
  • Los datos importados no son modificados asegurando la integridad e incrementando el nivel de confianza de los datos trabajados.
  • Generación de pistas de auditoria (Quien, Como, Cuando, Donde)
  • Posibilidad de escribir Scripts/Macros que automaticen procedimientos de revisión rutinaria en auditorias recurrentes.
  • Incrementar la cobertura de revisión al 100% de datos a analizar.
  • Identificar tendencias, señalar excepciones y destacar áreas que requieren atención.
  • Localizar errores y fraudes potenciales, mediante la comparación y el análisis de archivos según los criterios especificados por el usuario.
  • Volver a calcular y verificar saldos.
  • Funciones especificas para la auditoria: desde comandos tales como faltantes, duplicados y estratificar hasta el importante log de comandos o el historial detallado. La funcionalidad incorporada de revisión de cuentas le permite a auditores y contadores, sin experiencia técnica o de programación, realizar rápidamente análisis e informes sobre datos financieros.
  • Procesa rápidamente millones de transacciones, asegurando una cobertura del 100% y una confianza absoluta en sus resultados.
  • ACL puede leer y analizar cualquier tipo de datos accediendo a cualquier entorno de su organización (tales como Oracle, SQL Server, Informix, AS400, IBM/390, SAP R/3, archivos de informe de longitud variable, archivos privados, archivos tradicionales, archivos de informe y muchos mas).
  • Relaciona y trabaja simultáneamente con varios archivos (Modelo Entidad/Relación), para hacer análisis e informes aun más completos.
  • Crea informes en HTML para su publicación en Internet o en la Intranet de su organización.
  • Automatiza y registra sus pasos y desarrolla aplicaciones especiales, haciendo más productivas las auditorias futuras.
  • Permite revisar o imprimir, en cualquier momento, un historial completo de sus archivos, pasos y resultados.

4.4.1.3 Importancia de su aplicación en algunas empresas y/o firmas de auditoria.

Auditorias financieras, de operaciones o de sistemas, análisis de ventas, control de calidad, revisiones de nóminas y otros. Análisis típicos son:

  • Análisis de Riesgos.
  • Análisis y detección de fraudes.
  • Identificación de excepciones y anomalías.
  • Identificación de problemas de control.
  • Evaluación de procesos y cumplimiento de estándares.
  • Señalar excepciones y destacar áreas que requieren atención.
  • Localizar errores y posibles irregularidades.
  • Recuperar gastos o ingresos perdidos, detectando pagos duplicados.

4.4.1.4 Pantallas del Software ACL

Fig. 11 Muestra la ventana principal del software ACL

4.4.1.5 Requerimientos Técnicos de Hardware y Software.

4.4.1.5.1 Hardware para la operación del Modulo de Auditoria

Cada módulo del software ACL funciona en microcomputadores en ambiente red o monousuario con las siguientes características:

HARDWARE

CANTIDAD

Pentium IV de 2000 MHz

1 por maquina como mínimo, se recomienda un Procesador mas reciente.

512 MB de Memoria RAM.

1 por maquina como mínimo, se recomienda incrementar su capacidad.

20 MB de espacio libre en disco

1 por maquina como mínimo, se recomienda incrementar su capacidad.

Tabla 7: Hardware para la operación de ACL

4.4.1.5.2 Software para la operación

Para el funcionamiento el modulo de auditoria se requiere el siguiente software

SOFTWARE

DISPONIBILIDAD

Microsoft Windows 95 / Microsoft Windows NT 4.0 o sistemas operativos posteriores, Ambiente Novell.

Licencia adquirido por Microsoft Corporation

Tabla 8: Software para la operación de ACL

2 comentarios:

Blogger Francisco ha dicho...

Excelente blog, es un nota muy completa, me gustaria que hablaran hacerca del software de auditoria que implementan algunos servidores como lo son los servidores de baston. gracias

18 de agosto de 2009, 14:46  
Blogger Nelson o.m.t ha dicho...

cuales son referencias???????

22 de octubre de 2013, 5:49  

Publicar un comentario en la entrada

Suscribirse a Enviar comentarios [Atom]

<< Página principal