Ester Chicano Tejada - Auditoría de seguridad informática. IFCT0109

2. ¿Cree que hay herramientas de software informático para desarrollar las técnicas de muestreo? ¿Las considera útiles? Busque las funcionalidades principales de este tipo de herramientas.

Las herramientas tipo CAAT (Computer Assisted Audit Tools) están formadas por un conjunto de herramientas y técnicas cuya función es facilitar al auditor informático el desarrollo de sus tareas y actividades. Las más utilizadas son las aplicaciones de auditoría generalizadas, los datos de prueba y los sistemas expertos de auditorías.

Estas herramientas se utilizan en tareas de auditoría tales como:

1 Pruebas de controles en aplicaciones.

2 Selección y monitorización de transacciones.

3 Verificación de datos.

4 Análisis de los programas de las aplicaciones.

5 Auditoría de los centros de procesamiento de la información.

6 Auditoría del desarrollo de aplicaciones.

7 Técnicas de muestreo.

El auditor de sistemas de información debe tener un conocimiento profundo de estas herramientas y de sus posibles aplicaciones para saber utilizarlas correctamente e interpretar los resultados obtenidos de un modo pertinente y adecuado.

Importante

Las herramientas CAAT son muy útiles para desarrollar la auditoría. No obstante, es imprescindible que el auditor documente los resultados de las pruebas obtenidas para dotarlas de confiabilidad y exactitud.

Estas herramientas constan de una serie de aspectos fundamentales y, entre sus funcionalidades principales, destacan las siguientes:

1 Capacidad de muestreo.

2 Utilización de algoritmos de búsqueda de patrones de fraude.

3 Acceso a datos de varios formatos.

4 Filtrado de datos.

5 Recurrencia de pruebas.

6 Relación de información procedente de varios archivos distintos.

7 Generación de informes y reportes, tanto de texto como con gráficos.

La capacidad de las herramientas CAAT para tratar y analizar los datos es de lo más variada, facilitando información en varios formatos. La información que puede obtener de los datos entrantes se resume en la siguiente tabla.

Estas herramientas para auditoría son muy útiles para facilitar al auditor el desarrollo de sus tareas. Como ya se ha mencionado, sus funcionalidades son de lo más variadas y extensas, dependiendo de la complejidad de la herramienta el desarrollo de análisis más o menos técnicos y profundos.

No obstante, todas las herramientas CAAT facilitan una serie de ventajas comunes, destacando entre ellas las siguientes:

1 Se reduce el nivel de riesgo de la auditoría, al ser aplicaciones especializadas que minimizan la probabilidad de error.

2 Al ser técnicas mecanizadas, añaden independencia a las actividades desarrolladas por el auditor.

3 Proporcionan mayor coherencia a los resultados de la auditoría.

4 Facilitan una mayor disponibilidad de la información.

5 Facilitan y mejoran la identificación de las posibles excepciones.

6 Añaden posibilidades de detectar, analizar y cuantificar los puntos débiles de los controles internos de los sistemas auditados.

Como se ha comentado anteriormente, las herramientas CAAT son de especial interés para añadir confiabilidad y facilidad de obtención de los datos y resultados de la actividad de auditoría.

A pesar de ser herramientas precisas y confiables, los resultados obtenidos no servirán si el auditor no documenta las técnicas utilizadas convenientemente.

Algunos de los modos de documentación de las técnicas CAAT utilizadas para ayudar y complementar al auditor son:

1 Listado de los programas analizados y utilizados.

2 Flujogramas.

3 Informes que justifiquen las muestras obtenidas.

4 Diseño de los archivos y los registros.

5 Definición de los campos analizados.

6 Relación de las instrucciones de operación realizadas.

Definición

Flujogramas o diagramas de flujo

Representaciones gráficas que reflejan las fases y/o etapas de un proceso mediante símbolos y figuras distintas.

Todos estos documentos servirán al auditor como medio para fundamentar las tareas realizadas, los datos obtenidos, los análisis realizados y los resultados alcanzados.

Actividades

3. ¿Por qué las herramientas CAAT facilitan las actividades de los auditores? En el apartado anterior, se ha hablado de las ventajas de estas herramientas, pero ¿considera que pueda haber alguna desventaja? En caso afirmativo, mencione las posibles desventajas y justifíquelas. En caso negativo, justifique su respuesta.

4. Busque ejemplos de software generalizado de herramientas CAAT disponibles actualmente en el mercado y profundice en sus funcionalidades principales.

El término “hallazgo” tiene varios y numerosos significados y connotaciones. Dentro del ámbito de la auditoría, un hallazgo se refiere a un conjunto de información que recopila información específica sobre la actividad, tarea, proceso, condición, etc., analizados y evaluados, que sea considerada de interés para la organización.

En general, los hallazgos obtenidos se emplean a modo de crítica y muestran información sobre deficiencias o debilidades detectadas en el sistema auditado y presentadas en el informe de auditoría. No obstante, hay que tener en cuenta que, aunque son menos abundantes, también hay hallazgos positivos.

Nota

Los hallazgos no abarcan las conclusiones obtenidas por el auditor, sino simplemente hechos e informaciones obtenidas que ayudan al análisis de los resultados obtenidos en la elaboración del informe.

Los hallazgos de auditoría en concreto son hechos que el auditor ha detectado durante su examen y servirán como base para que el auditor pueda emitir sus conclusiones y recomendaciones para mejorar el funcionamiento del sistema auditado.

El hallazgo de auditoría es el resultado de comparar un criterio establecido y la situación real encontrada durante el examen del sistema auditado. Esta información permitirá al auditor identificar los hechos y debilidades importantes en la gestión de los recursos del sistema de información y en su correcto funcionamiento.

No obstante, los hallazgos de auditoría suelen informar sobre defectos y puntos negativos del sistema y, por ello, deben cumplir una serie de requisitos básicos que les den garantía y confiabilidad: