Software como Servicio (SaaS)

¿Qué es el Software como Servicio (SaaS)?

El Software como Servicio (Software as a Service, SaaS) es un modelo de distribución del software que proporciona a los clientes el acceso al mismo a través de la red - generalmente Internet, de manera que les libra del mantenimiento de las aplicaciones, de operaciones técnicas y del soporte. Las aplicaciones distribuidas en la modalidad SaaS pueden llegar a cualquier tipo de empresa sin  importar su tamaño o su ubicación geográfica.

Las aplicaciones SaaS a menudo se denominan software basado en Web, software On-Demand o software albergado. Independientemente de su nombre, las aplicaciones SaaS se ejecutan en los servidores del proveedor SaaS. El proveedor es el encargado de gestionar el acceso a la aplicación, incluyendo los aspectos relacionados con la seguridad, la disponibilidad y el rendimiento. Se trata de un modelo que une el producto (software) al servicio, para dotar a las empresas de una solución completa que permita optimizar sus costes y sus recursos.

Características

Arquitectura multiusuario

Una arquitectura multiusuario, en la que todos los usuarios y aplicaciones utilizan una única infraestructura común y una base de códigos que se mantiene a nivel central. Como los clientes del proveedor SaaS utilizan todos la misma infraestructura y base de códigos, los proveedores pueden innovar más rápidamente y ahorrar el precioso tiempo de desarrollo que antes se dedicaba a mantener las diferentes versiones de código desfasado.

Fácil personalización

La capacidad de cada usuario de personalizar fácilmente aplicaciones que se ajusten a sus procesos comerciales sin que ello afecte a la infraestructura común. Debido a la arquitectura del SaaS, estas personalizaciones son únicas para cada compañía o usuario, y siempre se conservan de una actualización a otra. Esto significa que los proveedores de SaaS pueden realizar actualizaciones más frecuentemente, con menos riesgos para sus clientes y un coste de adopción mucho menor.

Mejor acceso

Acceso mejorado a los datos desde cualquier dispositivo conectado a la red a la vez que se simplifica la gestión de privilegios, se supervisa el uso de los datos y se asegura que todos puedan visualizar la misma información a la misma vez.

Ventajas

• El cliente no necesariamente debe tener un área especializada para soportar el sistema, por lo que baja sus costos y su riesgo de inversión.
• La responsabilidad de la operación recae en la empresa IT. Esto significa que la garantía de disponibilidad de la aplicación y su correcta funcionalidad, es parte del servicio que da la compañía proveedora del software.
• La empresa IT no desatiende al cliente. El servicio y atención continua del proveedor al cliente es necesaria para que este último siga pagando el servicio.
• La empresa IT provee los medios seguros de acceso en los entornos de la aplicación. Si una empresa IT quiere dar opciones SaaS en su cartera de productos debe ofrecer accesos seguros para que no se infiltren datos privados en la red pública.
• No es necesaria la compra de una licencia para utilizar el software, sino el pago de un alquiler o renta por el uso del software.

Desventajas

• La persona usuaria no tiene acceso directo a sus contenidos, ya que están guardados en un lugar remoto, y en caso de no contar con mecanismos de cifrado y control disminuye el índice de privacidad, control y seguridad que ello supone, ya que la compañía TI podría consultarlos.
• El usuario no tiene acceso al programa, por lo cual no puede hacer modificaciones (dependiendo de la modalidad del contrato de servicios que tenga con la compañía TI).
• Al estar el servicio y el programa dependientes de la misma empresa no permite a la usuaria migrar a otro servicio utilizando el mismo programa (dependiendo de la modalidad del contrato de servicios con la compañía de TI).

Software como Servicio SAAS. ¿Para quién está indicado?

Si para medianas o grandes empresas puede resultar más interesante comprar e implantar software de gestión  paquetizado, en el caso de las MyPES lo más viable para su negocio es el uso del software como servicio SaaS  básicamente por el bajo coste que supone y por los nulos recursos que hay que destinar para su inmediata puesta en marcha y mantenimiento.

Si se analiza el rendimiento de la inversión a realizar y su rentabilidad, esta modalidad resulta muy beneficiosa para las MyPES y colectivos de autónomos. De hecho, los expertos del sector auguran que esta modalidad registrará un importante crecimiento en los próximos años.

Así pues, el software como servicio SaaS  permite a las MyPES y autónomos competir en igualdad de condiciones que las empresas grandes.

Si desea contar con este servicio o requiere mas información acerca de este tema, no dude en contactarsé con nosotros haciendo clic aqui.

Seguridad Informática en el Software Libre

1. Introducción

Habitualmente los usuarios finales no tienen en consideración la seguridad cuando hacen uso de un sistema, ya que, frecuentemente se ignoran los aspectos relacionados con la seguridad. De igual forma, estos aspectos a veces pueden considerarse una molestia, ya que la seguridad suele ir en el lado opuesto de la comodidad y facilidad de uso en la balanza del diseño de un sistema. Es por esto que los usuarios a veces puedan tener una imagen negativa de la seguridad, por considerarlo algo molesto y que interrumpe su capacidad de realización de un trabajo determinado.

2. Fallos de seguridad en la Utilización de Software

Se puede hacer un análisis agrupando los fallos de seguridad que se pueden dar en el software. Este análisis va a permitir enfocar, más adelante cómo distintos tipos de software ayudan a solventarlos. De una forma simplista, se pueden dividir en tres bloques:

-    Fallos debidos a errores desconocidos en el software, o conocidos sólo por terceras entidades hostiles.

-    Fallos debidos a errores conocidos pero no arreglados en la copia en uso del software.

-    Fallos debidos a una mala configuración del software, que introduce vulnerabilidades en el sistema

El primero de ellos se puede atribuir a la calidad del código, el segundo a la capacidad y celeridad de arreglo de los errores descubiertos en el código por parte del proveedor del mismo y a la capacidad del administrador de recibir e instalar nuevas copias de este software actualizado. El tercer tipo de vulnerabilidades puede atribuirse, sin embargo, a una falta de documentación del software o una falta de formación adecuada de los administradores para hacer una adaptación correcta del mismo a sus necesidades.

3. El Software Libre y la seguridad informática

3.1 ¿Qué es el Software Libre?

El Software libre es la denominación del software que respeta la libertad de los usuarios sobre su producto adquirido y, por tanto, una vez obtenido puede ser usado, copiado, estudiado, modificado y redistribuido libremente. Según la Free Software Foundation, el software libre se refiere a la libertad de los usuarios para ejecutar, copiar, distribuir, estudiar, cambiar y mejorar el software; de modo más preciso, se refiere a cuatro libertades de los usuarios del software: la libertad de usar el programa, con cualquier propósito; de estudiar el funcionamiento del programa, y adaptarlo a las necesidades; de distribuir copias, con lo cual se puede ayudar a otros, y de mejorar el programa y hacer públicas las mejoras, de modo que toda la comunidad se beneficie (para la segunda y última libertad mencionadas, el acceso al código fuente es un requisito previo).

Una descripción más completa de lo que podría considerarse software libre, es la dada por las Directrices de Software Libre de Debian (http://www.debian.org/social_contract#guidelines), que constituyen la base de la definición de Open Source (Open Source Definition, ww.opensource.org), aunque existen entre ellas ciertas diferencias. Entre las licencias más utilizadas para este tipo de software cabe destacar la licencia GNU GPL (http://www.gnu.org/copyleft/gpl.html) y la licencia BSD (http://www.debian.org/misc/bsd.license).

3.2 Ventajas del Software Libre en el mundo de la seguridad

Si se analiza la descripción realizada previamente de la definición de software libre se derivan una serie de ventajas principales de este tipo de software sobre el software propietario, algunas de las cuales son muy adecuadas para el mundo de la seguridad. A saber:

-    Al disponer del código fuente de los programas en su totalidad, éste puede ser analizado por terceras personas ajenas a sus autores en busca de fallos de diseño o de implementación. Es decir, cualquiera con los conocimientos necesarios puede realizar una auditoría del código del programa.

-    La posibilidad de realizar modificaciones libremente al código fuente y distribuirlas permite que cualquiera pueda ofrecer mejoras sobre éste. Estas mejoras podrán ser nuevas funcionalidades que se incorporen al mismo o parches que corrijan problemas detectados anteriormente.

-    Las características del software libre hacen que no sea lógico cargar costes sobre el software en sí (dado que se ha de distribuir sin cargo), lo que permite que este tipo de software pueda ser utilizado por organizaciones y personas con menos recursos económicos. Esto se presenta como una ventaja cuando se compara con los precios de lo que cuesta el software de seguridad propietario hoy en día (licencias de cortafuegos, VPNs, sistemas de detección de intrusos, etc.). El software libre pone en manos de cualquiera el tipo de tecnología que, hoy por hoy, sólo podían tener grandes corporaciones.

-    De igual forma, la posibilidad de modificar libremente el software permite a las organizaciones que lo adapten a sus propias necesidades, pudiendo eliminar funcionalidades que no le sean de interés.

3.3 Desventajas del software propietario

En primer lugar, es necesario aclarar que en este documento se entenderá como software propietario aquél que se distribuye en forma de binarios, sin código fuente, por parte de una compañía que licencia dicho software para un uso concreto, con un coste determinado. Con respecto a la seguridad, las mismas garantías que ofrece el software libre en el mundo de la seguridad son problemas que se le pueden atribuir al software propietario. Se puede hablar de las siguientes desventajas del software propietario:

-    Posibilidad de que existan funcionalidades no deseadas en dicho software. Dependiendo de la programación realizada, algunas funcionalidades podrán ser activadas o desactivadas por el usuario, pero pueden existir también funcionalidades que no se puedan desactivar o que, incluso, no se encuentren documentadas. Llevándolo al extremo se podría hablar de “puertas traseras” abiertas por el fabricante del software que, después de todo, es un agente comercial y, por tanto, tiene sus propios intereses que pueden ser contrarios a los de la compañía que instala un software de seguridad específico.

-    Desconocimiento del código por parte del usuario. Esto puede llevar a que el fabricante pueda llegar a tener una falsa sensación de seguridad por oscuridad, es decir, las vulnerabilidades de su producto no tienen por qué ser conocidas porque nadie tiene acceso al código.

-    Necesidad de confiar totalmente en el fabricante. Esto es así por cuanto éste ha implementado los algoritmos de seguridad y el usuario no puede garantizar por sí mismo que su implementación ha sido correcta y que, por ejemplo, las propiedades matemáticas necesarias para que estos algoritmos funcionen correctamente se cumplan en todas las condiciones.

-    Dependencia de una tercera entidad, ya que es el fabricante del producto el único que puede ofrecer nuevas versiones de éste en caso de fallo o incluir nuevas funcionalidades que puedan ser necesarias. Esto es una desventaja debido a que el usuario no puede transferir esta dependencia a otra entidad, en caso de que el fabricante original haya traicionado su confianza (demasiados errores en la implementación, demasiado tiempo en la generación de parches para arreglar problemas graves, etc.)

3.4 Desventajas del software libre

Sin embargo, el uso de software libre no está exento de desventajas. Así se podrían enumerar las siguientes:

-    La posibilidad de una generación más fácil de troyanos, dado que el código fuente también puede ser modificado con intenciones maliciosas. Si el troyano logra confundirse con la versión original puede haber problemas graves.

-    Al no tener un respaldo directo, la evolución futura de los componentes software no está asegurada o se hace demasiado despacio.

-    Únicamente los proyectos importantes y de trayectoria tienen buen soporte, tanto de los desarrolladores como de los usuarios. Sin embargo existen muchos proyectos más pequeños y recientes que carecen del compromiso necesario por parte de sus usuarios o desarrolladores para que sean implementados de manera confiable. Estos proyectos importantes que tienen un excelente soporte cubren más del 90% de las necesidades.

En mayor o menor medida, algunas de estas desventajas están comenzando a solucionarse. El caso la difusión de troyanos se limita mediante el uso de técnicas de firma digital para garantizar la inviolabilidad del código o binarios transmitidos. Es frecuente que algunos autores de software libre al distribuir el código indique también información (sumas MD5 firmadas) que permitan garantizar la integridad del código descargado.

De igual forma, los problemas de evolución futura empiezan a quedar resueltos con un cambio de paradigma por parte de las compañías de software. Se trata del cambio de un modelo de negocio en el software que pasa a enfocar el negocio orientado al cobro de la realización de servicios en lugar del cobro a la utilización de productos. Ya se observan, en el mundo de software libre, compañías que contratan a personal cualificado para hacer mejoras sobre proyectos libres para cubrir sus propios intereses y ofrecen soporte de productos de software libre. Estas compañías, a diferencia de la orientación propietaria previamente presentada, siguen haciendo públicas las modificaciones realizadas al código fuente.

4. Conclusiones

En vista a lo explicado ¿Es mejor utilizar software libre para los productos de seguridad? La respuesta es… depende. Aunque pueda parecer una respuesta ambigua, está en realidad suficientemente fundamentada. Se ha presentado, en este documento, las distintas capacidades, ventajas y desventajas del software libre frente al software propietario. Sin embargo, se puede ver que, en determinadas áreas, hoy por hoy, no es viable basar una solución de seguridad en software libre y va a ser necesario acudir a soluciones propietarias por estar el primero en una etapa aún inmadura de desarrollo.

Sin embargo, la situación ha ido cambiando a medida que las distintas soluciones de software libre desarrolladas se han demostrado competitivas y han ido siendo aceptadas por el público general. Esta aceptación ha dado lugar a un desarrollo exponencial en el que se pueda esperar que, en aquellas áreas en las que el software libre aún no alcanza al software propietario, la situación llegue a igualarse e incluso invertirse.

Por otro lado, independientemente del ritmo de crecimiento del software, del lado de la seguridad, las ventajas ofrecidas por el software libre son evidentes frente a las alternativas propietarias.

Por tanto, si bien el software libre en la actualidad tiene una cobertura desigual de las distintas necesidades de seguridad de una empresa o corporación, éste es, definitivamente, una apuesta de futuro provechosa en aquellas áreas aún no desarrolladas y una oportunidad real e inmediata en las demás áreas para utilizar soluciones equivalentes a las propietarias con:

-    Menor costo.

-    Mayores garantías de seguridad, debido a la posibilidad de auditar el código en uso

-    Mayor flexibilidad en la adaptación e integración, gracias a la posibilidad de modificar dicho código

-    Posibilidad del mantenimiento asegurado de una solución de seguridad con independencia del origen del producto en sí.

Si desea contar con este servicio o requiere mas información acerca de este tema, no dude en contactarsé con nosotros haciendo clic aqui.

Técnicas de Auditoría Asistidas por Computadora

Los objetivos y alcance global de una auditoría no cambian cuando se conduce una auditoría en un ambiente de sistemas de información de cómputo (CIS). Sin embargo, la aplicación de procedimientos de auditoría puede requerir que el auditor considere técnicas conocidas como Técnicas de auditoría con ayuda de computadora (TAACs) que usan la computadora como una herramienta de auditoría.

Las TAACs pueden mejorar la efectividad y eficiencia de los procedimientos de auditoría. Pueden también proporcionar pruebas de control efectivas y procedimientos sustantivos cuando no haya documentos de entrada o un rastro visible de auditoría, o cuando la población y tamaños de muestra sean muy grandes.

El propósito de esta declaración es proporcionar lineamientos sobre el uso de TAACs. Se aplica a todos los usos de TAACs que requieran el uso de una computadora de cualquier tipo o tamaño. Las consideraciones especiales que se refieren a ambientes de CIS en entidades pequeñas se describen más adelante.

Descripción de técnicas de auditoría con ayuda de computadora (TAACs — CAATs Computer assisted audit techniques)

Esta declaración describe las técnicas de auditoría con ayuda de computadora incluyendo herramientas de auditoría, conocidas en forma colectiva como TAACs. Las TAACs pueden usarse para desarrollar diversos procedimientos de auditoría, incluyendo los siguientes:

• Pruebas de detalles de transacciones y saldos, por ejemplo, el uso de software de auditoría para recalcular los intereses o la extracción de facturas por encima de un cierto valor de los registros de computadora;
• Procedimientos analíticos, por ejemplo, identificar inconsistencias o fluctuaciones importantes;
• Pruebas de controles generales, por ejemplo, pruebas de la instalación o configuración del sistema operativo o procedimientos de acceso a las bibliotecas de programas o el uso de software de comparación de códigos para verificar que la versión del programa en uso es la versión aprobada por la administración;
• Muestreo de programas para extraer datos para pruebas de auditoría;
• Pruebas de controles de aplicación, por ejemplo, pruebas del funcionamiento de un control programado; y
• Rehacer cálculos realizados por los sistemas de contabilidad de la entidad.

Las TAACs son programas y datos de computadora que el auditor usa como parte de los procedimientos de auditoría para procesar datos importantes para la auditoría contenidos en los sistemas de información de una entidad. Los datos pueden ser datos de transacciones, sobre los que el auditor desea realizar pruebas de controles o procedimientos sustantivos, o pueden ser otros tipos de datos. Por ejemplo, los detalles de la aplicación de algunos controles generales pueden mantenerse en forma de archivos de texto u otros archivos por aplicaciones que no sean parte del sistema contable. El auditor puede usar TAACs para revisar dichos archivos para obtener evidencia de la existencia y operación de dichos controles. Las TAACs pueden consistir en programas de paquete, programas escritos para un propósito, programas de utilería o programas de administración del sistema. Independientemente del origen de los programas, el auditor ratifica que sean apropiados y su validez para fines de auditoría antes de usarlos:

• Los programas en paquete son programas generalizados de computadora diseñados para desempeñar funciones de procesamiento de datos, tales como leer datos, seleccionar y analizar información, hacer cálculos, crear archivos de datos así como dar informes en un formato especificado por el auditor.
• Los programas escritos para un propósito desempeñan tareas de auditoría en circunstancias específicas. Estos programas pueden desarrollarse por el auditor, por la entidad que está siendo auditada o por un programador externo contratado por el auditor. En algunos casos el auditor puede usar los programas existentes de una entidad en su estado original o modificados porque así puede ser más eficiente que desarrollar programas independientes.
• Los programas de utilerías se usan por una entidad para desempeñar funciones comunes de procesamiento de datos, tales como clasificación, creación e impresión de archivos. Estos programas generalmente no están diseñados para propósitos de auditoría y, por lo tanto, pueden no contener características tales como conteos automáticos de registros o totales de control.
• Los programas de administración del sistema son herramientas de productividad mejorada que típicamente son parte de un ambiente sofisticado de sistemas operativos, por ejemplo, software de recuperación de datos o software de comparación de códigos. Como los programas de utilerías, estas herramientas no están diseñadas específicamente para usarlos en auditoría y su uso requiere un cuidado adicional.
• Las rutinas de auditoría incorporadas a veces están integradas en un sistema de computadoras de una entidad para proporcionar datos de uso posterior por el auditor. Incluyen: Fotos instantáneas: Esta técnica implica tomar una foto de una transacción mientras fluye por los sistemas de computadora. Las rutinas del software de auditoría están incorporadas en diferentes puntos de la lógica del procesamiento para capturar imágenes de la transacción mientras avanza por las diversas etapas del procesamiento. Esta técnica permite al auditor rastrear los datos y evaluar los procesos de computadora aplicados a los datos; archivo de revisión de auditoría del control del sistema. Este implica incorporar módulos de software de auditoría dentro de un sistema de aplicaciones para proporcionar monitoreo continuo de las transacciones del sistema. La información es reunida en un archivo especial de computadora que el auditor puede examinar.
• Las técnicas de datos de prueba a veces se usan durante una auditoría, alimentando datos (por ejemplo, una muestra de transacciones) en el sistema de computadora de una entidad y comparando los resultados obtenidos con resultados predeterminados. Un auditor podría usar datos de prueba para: poner a prueba controles específicos en programas de computadora, tales como controles en línea de contraseñas y acceso a datos; poner a prueba transacciones seleccionadas de transacciones previamente procesadas o creadas por el auditor para poner a prueba características específicas de procesamiento de los sistemas de información de una entidad. Dichas transacciones generalmente son procesadas por separado del procesamiento normal de la entidad; y poner a prueba transacciones usadas en un mecanismo integrado de pruebas donde se establece una unidad modelo (por ejemplo, un departamento o empleado ficticio), a la cual se le registran las transacciones durante el ciclo de procesamiento normal.

Cuando se procesan los datos de prueba con el procesamiento normal de la entidad, el auditor se asegura de que las transacciones de prueba sean eliminadas posteriormente de los registros contables de la entidad.

El creciente poder y sofisticación de las microcomputadoras, particularmente laptops, ha dado como resultado otras herramientas para uso del auditor. En algunos casos, las laptops serán enlazadas a los sistemas de computadora central del auditor. Ejemplos de estas técnicas incluyen:

• Sistemas expertos, por ejemplo en el diseño de programas de auditoría y en la planeación de auditoría y evaluación de riesgos;
• Herramientas para evaluar los procedimientos de un cliente para la administración de riesgos;
• Papeles de trabajo electrónicos, planeados para la extracción directa de datos de los registros de la computadora del cliente, por ejemplo: descargar el libro mayor para pruebas de auditoría; y
• Programas de modelaje corporativo y financiero para usar como pruebas predecibles de auditoría.

Estas técnicas son más comúnmente conocidas como “automatización de la auditoría.”

Consideraciones en el uso de TAACs

Al planear una auditoría, el auditor puede considerar una combinación apropiada de técnicas de auditoría manuales y con ayuda de computadora. Al evaluar el uso de TAACs, los factores a considerar incluyen:

1. El conocimiento, pericia y experiencia del equipo de auditoría del ambiente de CIS;
2. La disponibilidad de TAACs e instalaciones y datos adecuados de computación;
3. La imposibilidad de pruebas manuales;
4. Efectividad y eficiencia; y
5. Oportunidad.

Conocimiento, pericia y experiencia del equipo de auditoría del ambiente de CIS

La NIA 401, “Auditoría en un Ambiente de Sistemas de Información por Computadora” trata del nivel de habilidades y competencia que necesita el equipo de auditoría para conducir una auditoría en un ambiente de CIS. Proporciona lineamientos para cuando un auditor delega trabajo a ayudantes con habilidades de CIS o cuando se usa el trabajo de otros auditores o expertos con dichas habilidades. Específicamente, el equipo de auditoría deberá tener suficiente conocimiento para planear, ejecutar y usar los resultados de la TAAC particular que se adopte. El nivel de conocimiento requerido depende de la complejidad y naturaleza de la TAAC y del sistema de información de la entidad.

Disponibilidad de TAACs e instalaciones adecuadas de computación

El auditor deberá considerar la disponibilidad de las TAACs, instalaciones adecuadas de computación y los sistemas de información y datos necesarios basados en computadoras. El auditor puede planear el uso de otras instalaciones de computación cuando el uso de TAACs en una computadora de la entidad no es económico o no es factible, por ejemplo, a causa de una incompatibilidad entre el programa del paquete del auditor y la computadora de la entidad. Además, el auditor puede elegir usar sus propias instalaciones, como microcomputadoras o laptops.

Puede requerirse la cooperación del personal de la entidad para proporcionar las instalaciones de procesamiento en un horario cómodo, para ayudar con actividades como la carga y ejecución de las TAACs en el sistema de la entidad, y proporcionar copias de archivos de datos en el formato requerido por el auditor.

Imposibilidad de pruebas manuales

Quizá no sea posible desempeñar manualmente algunos procedimientos de auditoría porque dependen de un procesamiento complejo (por ejemplo, análisis estadístico avanzado) o implica cantidades de datos que sobrepasarían cualquier procedimiento manual. Además, muchos sistemas de información por computadora desempeñan tareas para las que no hay evidencia de copias impresas disponibles y, por lo tanto, puede no ser factible para el auditor desempeñar las pruebas manualmente. La falta de evidencia en copias impresas puede ocurrir en diferentes etapas del ciclo de negocios.

• La fuente de información puede ser iniciada electrónicamente por la activación de voz, imágenes electrónicas de datos o transferencias electrónicas de fondos en el punto de venta. Además, algunas transacciones como descuentos y cálculo de intereses, pueden generarse directamente por programas de computadora sin autorización específica de las transacciones individuales.
• Un sistema puede no producir un rastro visible de auditoría que proporcione certeza sobre la totalidad y exactitud de las transacciones procesadas. Por ejemplo, un programa de computadora podría cotejar las notas de entrega con las facturas de proveedores. Además, los procedimientos de control programados como verificación de límites de crédito de clientes, pueden proporcionar evidencia de copia impresa sólo con base en excepciones.
• Un sistema puede no producir informes en copia impresa. Además, un informe impreso puede contener sólo totales resumidos mientras que los archivos de computadora retienen los detalles de soporte.

Efectividad y eficiencia

La efectividad y eficiencia de los procedimientos de auditoría pueden mejorarse usando las TAACs para obtener y evaluar la evidencia de auditoría. Las TAACs son a menudo un medio eficiente de poner a prueba un gran número de transacciones o controles sobre grandes volúmenes por medio de:

• Analizar y seleccionar muestras de un gran volumen de transacciones;
• Aplicar procedimientos analíticos; y
• Desarrollar procedimientos sustantivos.

Los asuntos relacionados con la eficiencia que pueden ser considerados por el auditor incluyen:

• El tiempo para planear, diseñar, ejecutar y evaluar la TAAC;
• Revisión técnica y horas de asistencia;
• Diseño e impresión de formas (por ejemplo, confirmaciones); y
• Disponibilidad de recursos de computación.

Al evaluar la efectividad y eficiencia de una TAAC, el auditor puede considerar el uso continuo de la aplicación de la TAAC. La planeación inicial, diseño y desarrollo de una TAAC generalmente beneficiará a las auditorías de períodos posteriores.

Oportunidad

Ciertos datos, como detalles de transacciones, a menudo se conservan por sólo un corto tiempo, y pueden no estar disponibles en forma legible por la máquina para cuando el auditor lo requiere. Así, el auditor necesitará hacer arreglos para la retención de los datos requeridos, o puede necesitar alterar la programación del trabajo que requiera de estos datos.

Cuando el tiempo disponible para desempeñar una auditoría sea limitado, el auditor puede planear el uso de una TAAC, porque cumplirá con su requerimiento de tiempo mejor que otros procedimientos posibles.

Utilización de TAACs

Los pasos principales que debe tomar el auditor en la aplicación de una TAAC son:

(a) Establecer el objetivo de aplicación de la TAAC;

(b) Determinar el contenido y accesibilidad de los archivos de la entidad;

(c) Identificar los archivos específicos o bases de datos que deben examinarse;

(d) Entender la relación entre las tablas de datos cuando deba examinarse una base de datos;

(e) Definir las pruebas o procedimientos específicos y transacciones relacionadas y saldos afectados;

(f) Definir los requerimientos de datos de salida;

(g) Convenir con el usuario y departamentos de CIS, si es apropiado, en las copias de los archivos relevantes o tablas de bases de datos que deben hacerse en la fecha y momento apropiado del corte;

(h) Identificar al personal que puede participar en el diseño y aplicación de la TAAC;

(i) Refinar las estimaciones de costos y beneficios;

(j) Asegurarse que el uso de la TAAC está controlado y documentado en forma apropiada;

(k) Organizar las actividades administrativas, incluyendo las habilidades necesarias e instalaciones de computación;

(l) Conciliar los datos que deban usarse para la TAAC con los registros contables;

(m) Ejecutar la aplicación de la TAAC; y

(n) Evaluar los resultados.

Control de la aplicación de la TAAC

Los procedimientos específicos necesarios para controlar el uso de una TAAC dependen de la aplicación particular. Al establecer el control, el auditor considera la necesidad de:

(a) Aprobar especificaciones y conducir una revisión del trabajo que deba desarrollar la TAAC;

(b) Revisar los controles generales de la entidad que puedan contribuir a la integridad de la TAAC, por ejemplo, controles sobre cambios a programas y acceso a archivos de computadora. Cuando dichos controles no son confiables para asegurar la integridad de la TAAC, el auditor puede considerar el proceso de la aplicación de la TAAC en otra instalación de computación adecuada; y

(c) Asegurar la integración apropiada de los datos de salida dentro del proceso de auditoría por parte del auditor.

Los procedimientos llevados a cabo por el auditor para controlar las aplicaciones de la TAAC pueden incluir:

(a) Participar en el diseño y pruebas de la TAAC;

(b) Verificar, si es aplicable, la codificación del programa para asegurar que esté de acuerdo con las especificaciones detalladas del programa;

(c) Solicitar al personal de computación de la entidad revisar las instrucciones del sistema operativo para asegurar que el software correrá en la instalación de computación de la entidad;

(d) Ejecutar el software de auditoría en pequeños archivos de prueba antes de ejecutarlo en los archivos principales de datos;

(e) Verificar si se usaron los archivos correctos, por ejemplo, verificando la evidencia externa, como totales de controles mantenidos por el usuario, y que dichos archivos estén completos.

(f) Obtener evidencia de que el software de auditoría funcionó según lo planeado, por ejemplo, revisando los datos de salida y la información de control; y

(g) Establecer medidas apropiadas de seguridad para salvaguardar la integridad y confidencialidad de los datos.

Cuando el auditor tiene la intención de desarrollar procedimientos de auditoría en forma concurrente con procesamiento en línea, el auditor revisa dichos procedimientos con el personal apropiado del cliente y obtiene aprobación antes de conducir las pruebas para ayudar a evitar la alteración inadvertida de los registros del cliente.

Para asegurar procedimientos de control apropiados, no se requiere necesariamente la presencia del auditor en la instalación de computación durante la ejecución de una TAAC. Sin embargo, esto puede proporcionar ventajas prácticas, como controlar la distribución de los datos de salida y asegurar la corrección oportuna de errores, por ejemplo, si se fuera a usar un archivo de entrada equivocado.

Los procedimientos de auditoría para controlar las aplicaciones de datos de prueba pueden incluir:

• Controlar la secuencia de presentación de datos de prueba cuando se extienda a varios ciclos de procesamiento;
• Realizar corridas de prueba que contengan pequeñas cantidades de datos de prueba antes de presentar los datos de prueba principales de la auditoría;
• Predecir los resultados de los datos de prueba y compararlos con la salida real de datos de pruebas, para las transacciones individuales y, en total;
• Confirmar que se usó la versión actual de los programas para procesar los datos de prueba; y
• Poner a prueba si los programas usados para procesar los datos de prueba fueron utilizados por la entidad durante el periodo aplicable de auditoría.

Cuando el auditor utilice una TAAC, puede requerir la cooperación de personal de la entidad con amplio conocimiento de la instalación de computación. En estas circunstancias, el auditor puede considerar si el personal influyó en forma inapropiada en los resultados de la TAAC.

Los procedimientos de auditoría para controlar el uso de un software de ayuda para la auditoría pueden incluir:

• Verificar la totalidad, exactitud y disponibilidad de los datos relevantes, por ejemplo, pueden requerirse datos históricos para elaborar un modelo financiero;
• Revisar la razonabilidad de los supuestos usados en la aplicación del conjunto de herramientas, particularmente cuando se usa software de modelaje;
• Verificar la disponibilidad de recursos con habilidad en el uso y control de las herramientas seleccionadas; y
• Confirmar lo adecuado del conjunto de herramientas para el objetivo de auditoría, por ejemplo, puede ser necesario el uso de sistemas específicos para la industria en el diseño de programas de auditoría para negocios con ciclos únicos.

Documentación

El estándar de papeles de trabajo y de procedimientos de retención para una TAAC es consistente con el de la auditoría como un todo (ver NIA 230, “Documentación”).

Los papeles de trabajo necesitan contener suficiente documentación para describir la aplicación de la TAAC, tal como:

a) Planeación

• Objetivos de la TAAC;
• Consideración de la TAAC especifica que se va a usar
• Controles que se van a ejercer; y
• Personal, tiempo, y costo.

b) Ejecución

• Preparación de la TAAC y procedimientos de prueba y controles;
• Detalles de las pruebas realizadas por la TAAC;
• Detalles de datos de entrada, procesamiento y datos de salida; e
• Información técnica relevante sobre el sistema de contabilidad de la entidad, tal como la organización de archivos.

c) Evidencia de auditoría

• Datos de salida proporcionados;
• Descripción del trabajo de auditoría desarrollado en los datos de salida; y
• Conclusiones de auditoría.

d) Otros

• Recomendaciones a la administración de la entidad,
• Además, puede ser útil documentar las sugerencias para usar la TAAC en años futuros.

Utilización de TAACs en ambientes de CIS en entidades pequeñas

Aunque los principios generales explicados en esta declaración se aplican a ambientes de CIS en entidades pequeñas, los siguientes puntos necesitan consideración especial:

(a) El nivel de controles generales puede ser tal que el auditor deposite menos confiabilidad en el sistema de control interno. Esto dará como resultado un mayor énfasis sobre pruebas de detalles de transacciones y saldos y procedimientos analíticos de revisión, lo que puede incrementar la efectividad de ciertas TAACs, particularmente software de auditoría.

(b) Cuando se procesan volúmenes menores de datos, los métodos manuales pueden ser de costo más efectivo.

(c) Una entidad pequeña quizá no pueda proporcionar al auditor ayuda técnica adecuada, haciendo poco factible el uso de TAACs.

Ciertos programas de auditoría en paquete pueden no operar en computadoras pequeñas, restringiendo así la opción del auditor en cuanto a TAACs. Sin embargo, los archivos de datos de la entidad pueden copiarse y procesarse en otra computadora adecuada.

Dentro de las herramientas o software para la realización de TAACs se encuentra IDEA, que puede ser solicitado en el siguiente enlace http://www.caseware.com/products/idea o cuya versión Demo se encuentra en el siguiente link http://www.safecg.com/ftp/outgoing/IDEA%20Demo/IDEAv73DEMOSPA.zip

Si desea contar con este servicio o requiere mas información acerca de este tema, no dude en contactarsé con nosotros haciendo clic aqui.

Nueva versión de Slackware

Ya esta disponible la versión 12.2 de Slackware, una de las distribuciones Linux más veteranas del panorama Internacional.

Acaba de publicarse una nueva versión de Slackware, la 12.2.

Dicha distribución incluye muchas mejoras, tanto a nivel de mejoras, como correción de bugs y de drivers.

Entre las múltiples novedades que incorpore destaca la inclusión del Kernel 2.6.27.7, Xorg 7.3.0+, Xfce 4.4.3, KDE 3.5.10, y slackpkg, el administrador de actualizaciones de Slackware.

En 6 CDs/1 DVD personalizable(s) se encuentra todo lo necesario para montar un servidor Linux. Aunque esta versión no es recomendable para principiantes, los usuarios veteranos encontraran mayor simplicidad en la realización de tareas de administración.

Slackware Linux se encuentra disponible en:

http://www.slackware.org