La expresión “Técnicas de Auditoría Computarizadas, (TAC)” se utiliza para referirse a todas las técnicas que utilizan computadoras, software y datos de computación para obtener evidencia de auditoría.
Al desarrollar un plan de auditoría, el auditor informático se debe plantear cuestiones tales como:
¿Existen oportunidades para usar técnicas computarizadas?
¿Cuál es la evidencia de auditoría específica que puede ser obtenida a través del uso de
técnicas computarizadas?
¿Qué tipo de técnica computarizada debería utilizarse?
Las decisiones de planificación que se tomen respecto a las respuestas, deberán ser documentadas, especialmente en la relación entre las técnicas a ser utilizadas y la evidencia de auditoría que se desea alcanzar.
Las técnicas que se utilizan generalmente son las siguientes:
Técnicas que utilizan programas de recuperación y análisis de información, conocidas
como programas de recuperación y análisis.
Técnicas que utilizan microcomputadoras.
Técnicas que utilizan transacciones de prueba.
La elección entre estas técnicas depende primordialmente de la evidencia que se desea obtener. Normalmente, los programas de recuperación y análisis ayudan al auditor informático a obtener evidencia sustantiva, donde lo que se busca es seleccionar datos, calcular montos y obtener totales de archivos. Las técnicas que utilizan microcomputadoras también suelen usarse para obtener evidencia sustantiva, utilizando datos transferidos del sistema central de la empresa a un microcomputador, técnica también conocida como downloading. Las técnicas de transacciones de prueba, generalmente, se utilizan para obtener evidencia de que los controles de aplicación operan en forma efectiva.
El uso de cualquiera de estas técnicas para la obtención de evidencia sustantiva deberá considerar la efectividad de las técnicas disponibles y alternas, en relación con su costo beneficio. En este contexto, deben considerarse las siguientes observaciones, que pueden afectar las decisiones, tales como:
Software disponible en la empresa u organización.
La disponibilidad del personal del departamento de TI de la entidad y su capacidad
técnica.
La experiencia y disponibilidad del personal.
Los controles sobre los sistemas informáticos de la organización.
La eventualidad de reutilizar los mismos programas en auditorías futuras y otras áreas
similares
Si la organización dispone de programas que requieran modificaciones menores para
adaptarse a las necesidades de auditoría.
Con respecto a la relación costo/beneficio de las técnicas disponibles, se deberán seleccionar los procedimientos más efectivos y eficientes para cada organización. Las siguientes recomendaciones podrían ser útiles para una elección apropiada:
Considerar si es conveniente que el personal de la entidad desarrolle programas
utilizando su propio software de recuperación y análisis
Considerar la relación costo/beneficio de que el personal desarrolle los programas de
recuperación y análisis utilizando el software de la entidad o bien paquetes de software de auditoría.
La decisión para escoger entre una u otra técnica estará influida por la necesidad de análisis posteriores de la información. Para propósitos de recuperación de información, informes y utilización de rutinas, el procesamiento a través del computador central puede ser más eficiente. La conveniencia de utilizar downloading puede estar influida por la
necesidad de elaborar información, realizar análisis "what if" [39] y procedimientos de
revisión analítica que son adecuados para efectuarse en un microcomputador.
La transferencia de los datos de la organización a un microcomputador y el desarrollo de su revisión mediante software, es generalmente la forma más eficiente de obtener evidencia de auditoría. Esta técnica tiene la ventaja de que, una vez que los datos han sido transferidos al microcomputador, se podrán realizar selecciones y cálculos adicionales con facilidad.
Si los datos no pueden ser transferidos, la alternativa más conveniente puede ser la de escribir un programa de recuperación y análisis.
Si la institución no cuenta en su instalación con una conexión micro- computadores/computador central, debe evaluarse cuidadosamente la conveniencia económica (relación costo/beneficio) de su incorporación. La implantación, sin una adecuada planificación previa, puede resultar costosa. Si el ambiente no es propicio, es difícil que se pueda implantar con éxito.
CAPÍTULO VI
APLICACIÓN DEL MODELO COBIT
El marco de trabajo COBIT define las mejores prácticas para la administración del área de Tecnología de la Información. COBIT fue desarrollado por ISACA (Information Systems Audit and Control Association) y el IT Governance Institute (ITGI) en 1992.
La misión [40] de COBIT es “investigar, desarrollar, publicar y promover
internacionalmente los objetivos aceptados del control de la tecnología de información para el uso cotidiano de los delegados del negocio y el área de TI”. El marco de trabajo de COBIT entrega la información necesaria a través de una metodología de medidas generalmente aceptadas, así como procesos y mejores prácticas para la aplicación más efectiva de controles en una organización.
COBIT está basado en los Objetivos de Control existentes de la Information Systems Audit and Control Foundation (ISACF), mejorados con los estándares internacionales existentes y emergentes técnicos, profesionales, regulatorios y específicos de la industria. Los Objetivos de Control resultantes, aplicables y aceptados en forma generalizada, han sido desarrollados para ser aplicados a los sistemas de información de toda la empresa. El término "generalmente aplicables y aceptados" es explícitamente utilizado en el mismo sentido que los Principios Contables Generalmente Aceptados (GAAP). Para los
propósitos del proyecto, "buenas prácticas" significan el consenso de los expertos. [41].
COBIT proporciona ventajas a los delegados, usuarios, y a los auditores. Los delegados se benefician de COBIT, porque provee un repositorio de información sobre el cual, las decisiones y las inversiones relacionadas puedan ser evaluadas. La toma de decisión se vuelve más eficaz porque COBIT, ayuda a la Gerencia en la definición de un plan estratégico, definiendo la arquitectura de la información, adquiriendo lo necesario en el área, relacionado el hardware y software, asegurando un servicio continuo y la supervisión del funcionamiento del los sistemas del negocio. Los usuarios se benefician de COBIT, debido al aseguramiento proporcionado en el área de T.I. ya que provee controles de seguridad, y el manejo de procesos definidos por el negocio. COBIT beneficia a los auditores porque además les ayuda a administrar y manejar los activos de la infraestructura. También les da el servicio de corroborar sus resultados de la intervención.