Auditoria de Aplicaciones Introduccin

Las aplicaciones o sistemas de informacin son uno de los productos finales que genera la infraestructura de las TI en las organizaciones y por ende son el aspecto de mayor visibilidad desde la perspectiva de negocio. La siguiente exposicin presentar una metodologa completa y estructurada para realizar auditoras de aplicaciones adems de las principales tcnicas de auditora para desarrollo de pruebas sustantivas en ambientes de tecnologa de informacin, tcnicas y herramientas de auditora. Aplicada a sistemas en funcionamiento en cuanto al grado de cumplimiento de los objetivos para los que fueron creados.

Problemtica de la auditora de una aplicacin informtica

Una aplicacin informtica tiene como finalidad: Registrar exactamente la informacin considerada de inters en torno a las operaciones llevadas a cabo por una determinada organizacin: magnitudes fsicas o econmicas, fechas, descripciones, atributos o caractersticas, identificacin de las personas fsicas o jurdicas que intervienen o guardan relacin con cada operacin, nombres, direcciones. Permitir la realizacin de cuantos procesos de clculo y edicin sean necesarios a partir de la informacin registrada, almacenar automticamente ms informacin que la de partida. Facilitar, a quienes lo precisen, repuesta a consultas de todo tipo sobre la informacin almacenada, diseadas en contenido y forma para dar cobertura a las necesidades ms comunes constatadas. Generar informes que sirvan de ayuda para cualquier finalidad de inters en la organizacin, presentado la informacin adecuada: se aplican segn convenga, criterios de seleccin, ordenacin, recuento y totalizacin por agrupamientos, clculos de todo tipo, desde estadsticos comunes hasta los ms complicados algoritmos.

Si este planteamiento se consigue trasladar con tenacidad a una aplicacin informtica y los usuarios la manejan con habilidad y con profesionalidad, la organizacin a la que pertenecen contar con un importante factor de xito en el desarrollo de su actividad. Sin embargo, ni la tenacidad en la creacin de la aplicacin ni la profesionalidad en el uso de la misma pueden ser garantizados. La profesionalidad no libra el cansancio y el estrs, as que es de humanos cometer errores involuntariamente. Tampoco es imposible que en un momento determinado un empleado descontento cometa errores intencionalmente o que otro intente un fraude sin pruebas para ser descubierto.

Supuestas amenazas al normal cumplimiento de la finalidad de una aplicacin:

La posibilidad de fallo en cualquiera de los elementos que intervienen en el proceso informtico: software mltiple perteneciente a deferentes firmas, computador central y dispositivos perifricos transmisin de datos (servidores, mdems, lneas de comunicacin, etc.) constituye otra fuente de posibles riesgos. La conexin cada vez ms generalizada de las empresas a entornos abiertos como internet multiplica los riesgos que amenazan las confidencialidad e integridad de la informacin de los sistemas. Y en este caso el nmero de interesados en descubrir debilidades que le abran las puertas para enredar y manipular la informacin a la que sean capaces de acceder no tiene lmites.

Todas esas amenazas y cualquier otra que pueda ser identificada contra el correcto funcionamiento de la aplicacin y la consecucin de sus objetivos, han debido ser objeto de un anlisis minucioso ya desde la fase de concepcin. Para cada una de ellas se habrn debido estudiar las posibles medidas tendentes a eliminar los riesgos que entraan o reducen la probabilidad de su materializacin hasta niveles razonablemente asumibles, siempre teniendo en cuenta el costo de tales medidas. Dichas medidas son fundamentales medidas de control interno que consisten en los procedimientos para verificar, evaluar y tratar de garantizar que todo funciona como se espera: de acuerdo a las polticas, normas y procedimientos establecidos en los diferentes mbitos de responsabilidad.

En una aplicacin informtica el control interno se materializa en dos tipos:

1. Controles comunes: a realizar normalmente por parte de personal del rea usuaria, aseguran que las actuaciones del usuario se preparan y procesan todas las operaciones, se corrigen todos los errores adecuadamente, siendo coherentes con los resultados y las bases de datos que dan soporte a la aplicacin, mantienen medicin de su integridad y totalidad. 2. Controles automticos incorporados a los programas de la aplicacin que sirvan de ayuda para tratar de asegurar que la informacin se registre y mantenga completa y exacta, los procesos de todo tipo sobre la misma sean correctos y su utilizacin por parte de los usuarios respete los mbitos de confidencialidad establecidos y permita poner en prctica principios generales de control interno como el referente a la segregacin de funciones.

Controles segn su finalidad:

1- Controles preventivos: tratan de ayudar a evitar la produccin de errores a base de exigir el ajuste de los datos ingresados a patrones de formato y estructura (dato numrico, fecha vlida, etc.) perteneca a una lista de incorporaciones de dgitos de control en datos clave (cdigos de identificacin, referencias de documentos, nomenclaturas, etc.) y cualquier criterio que ayude a asegurar la correccin formal y verosimilitud de los datos. tiles para las comprobaciones de conjuntos de datos, buscando su compatibilidad, adecuacin y coherencia.

2- Controles detectivos: descubren a posteriores errores que haya sido posible evitar. 3- Controles correctivos: aseguran q se subsanen todos los errores identificados mediante controles detectivos. Se utilizan en: Las transacciones de recogida o toma de datos Todos los procesos de informacin que la aplicacin realiza La generacin de informes y resultados de salida

Los controles considerados para cada situacin planteada en los diferentes pasos de funcionamiento de la aplicacin, se deben hacer en el diseo de la aplicacin con un estudio a conciencia para seleccionar los posibles riesgos que se trata de contrarrestar. Estudio que debe ser propuesto por los responsables del rea de informtica, revisado por personal de auditora interna, y aprobado en ltimo lugar por la direccin de la organizacin usuaria. La conveniencia de la participacin de Auditora interna es importante en la revisin de los controles diseados durante el desarrollo de la aplicacin. Sus recomendaciones deben ser consideradas aunque sera muy costoso tener que incluir cualquier control una vez finalizado el desarrollo, siendo una necesidad como resultado de una auditora posterior a la implementacin. La auditora interna en el desarrollo de un sistema informtico debe tener un alcance ms amplio que el referente al sistema, ya que debe contemplar no slo los riesgos relacionados con la aplicacin, sino todos los que puedan afectar al proceso completo al que la misma sirve de herramienta, haciendo que la aplicacin registre informacin especfica, para facilitar la futura auditabilidad del proceso respecto a tales riesgos. La problemtica de la auditora de una aplicacin se trata de una revisin de la eficacia del funcionamiento de los controles diseados para cada uno de los pasos de la misma frente a los riesgos que tratan de eliminar o minimizar, como medios para asegurar la fiabilidad, seguridad, disponibilidad y confidencialidad de la informacin gestionada por la aplicacin.

Herramientas de uso ms comn en la auditora de una aplicacin

Debido a la gran evolucin de las tecnologas en los sistemas de informacin, se requiere ms esfuerzo para el personal de auditora interna y en particular a los especialistas en auditora informtica. Se deben impulsar respuestas integradas en un plan de formacin, que incluya las nuevas tendencias y preocupaciones.

Herramientas ms utilizadas:

Entrevistas
Tiene una amplia utilizacin en todas las etapas de la auditora, cumplen varios requisitos: Las personas entrevistadas deben ser aquellas que ms puedan aportar al propsito pretendido. Debe ser preparada con rigidez de cara a sacar el mximo partido de ella. Es indispensable escribir el guin de temas y apartados a tratar (no un cuestionario cerrado), para evitar que quede sin tratar algn asunto de inters; exige ser alcanzado el nivel de conocimientos sobre la aplicacin necesario en ese momento para conducir con soltura la entrevista.

Debe ser preparada con los interlocutores con anticipacin suficiente, informndoles del motivo y las materias a tratar en ella, duracin aproximada prevista y solicitando la preparacin de la preparacin de la documentacin o informacin que pueda ser necesario aporten durante la misma, tambin invitacin a colaborar con sugerencias estime convenientes, no solo por el objeto de la entrevista sino tambin con miras ms amplias en relacin con el proceso global desarrollado por la organizacin y la aplicacin informtica que apoya el proceso. Los jefes de las personas a entrevistar deben estar informadas de las actuaciones previstas; en general ser positivo que sea el propio jefe quien comunique al interesado la necesidad de participar en la auditora. Durante el desarrollo de la entrevista, el auditor tomar las anotaciones imprescindibles, lo ms prximo posible a la finalizacin de la entrevista el auditor debe repasar sus anotaciones, completando con detalles que pueda recordar aquellas que pudieran haber quedado esbozadas y reflexionando sobre las posibles implicaciones de las novedades o singularidades que el interlocutor haya podido aportar.

Encuestas
Pueden ser de utilidad para ayudar a determinar el alcance y objetivos de la auditora como para la materializacin de objetivos relacionados con el nivel de satisfaccin de los usuarios. Preparar un cuestionario que pueda ser contestado con la mayor rapidez a base de marcar las repuestas entre las posibles. Conviene que todas las preguntas vayan seguidas de un espacio destinado a observaciones no slo las que soliciten descripcin cuando la respuesta es otros, si no que pueda elegir entre varias alternativas. Al final del cuestionario hay que solicitar sugerencias u observaciones abiertas, mejor en pgina exclusiva para ello, que pueda ser fotocopiada por quienes necesiten ms espacio para sus comentarios. Aunque no puede ni debe exigirse la identificacin personal del encuestado, si debe hacerse de la organizacin a la que pertenece (cuidado con los recuentos de resultados de la encuesta por organizacin que pudieran quedar con una nica respuesta: no deben ser obtenidos, limitando, por tanto, la obtencin de tales recuentas a la condicin de contar con ms de una respuesta en el agrupamiento). Sin embargo, s puede invitarse a que se identifique quien no tenga ningn inconveniente en ello, lo que permitira contactos enriquecedores si la encueta contestada plantea asuntos de inters

Pruebas de conformidad
Es de uso general en todo el campo de la auditora, son actuaciones orientadas especficamente a comprobar que determinados procedimientos, normas o controles internos, particularmente los que merecen confianza de estar adecuadamente establecidos, se cumplen o funcionan de acuerdo con lo previsto y esperado, segn lo descrito en la documentacin oportuna. La comprobacin debe llevar a la evidencia a travs de la inspeccin de los resultados producidos: registros, documentos, conciliaciones, etc. Y observacin directa del funcionamiento de un control ante pruebas especficas de su comportamiento. La evidencia de incumplimiento puede ser puesta de manifiesto a travs de informes de excepcin. Los testimonios de incumplimiento no implican evidencia pero, si parten de varias personas, es probable que la organizacin asuma como vlidos dichos testimonios y las consecuencias que de los mismos pudieran derivarse de cara a posibles recomendaciones, ahorrando esfuerzos para tratar de conseguir su confirmacin documental.

Pruebas Sustantivas o de Validacin

Detectan la presencia o ausencia de errores o irregularidades en procesos, actividades, transacciones o controles internos integrados en ellos. Tambin pertenecen al dominio general de la auditora. Especialmente indicadas en situaciones en las que no hay evidencia de que existan controles internos relevantes, suficientes como para garantizar el correcto funcionamiento del proceso o elemento considerado. Todo tipo de error o incidencia imaginable puede ser objeto de investigacin en esta clase de pruebas. En el mbito de la auditora de una aplicacin informtica, irregularidades de diversa ndole que pueden afectar a las transacciones: - Transacciones omitidas, no registradas en el sistema. - Duplicadas, registradas ms de una vez. - Inexistentes indebidamente incluidas. - Registradas sin contar con las autorizaciones establecidas. - Incorrectamente clasificadas o contabilizadas en cuentas diferentes a las procedentes. - Transacciones con informacin errnea, desde su origen o por alteracin porterior, que no refleja la realidad, con posibles consecuencias en: - El montante o fechas de devengo incorrectas de derechos y obligaciones de la empresa respecto a terceros. - la exactitud de las valoraciones contables o la falta de conciliacin con ellas de la contenida en la aplicacin. - la exactitud de las mediciones fsicas, con posible desajuste respecto a inventarios. - Infinidad de recursos pueden ser utilizados para detectar indicios, en primera instancia, de posibles errores; indicios cuya presencia deber llevar a profundizar en la investigacin para constatar la existencia real de anomalas. Muchas de ellos se apoyan en la utilizacin del computador: Anlisis de ratios, as como fluctuaciones y tendencias en magnitudes que miden aspectos relacionados con la actividad desarrollada en los procesos. Conciliaciones con partidas que a efectos de control puedan llevarse en la propia aplicacin o de otros sistemas, como el econmico-financiero.

Informes de excepcin producidos por la propia aplicacin para identificar situaciones que interesa sean objeto de revisin. Aparte de los de obtencin rutinaria prevista en

el sistema, debera disponerse de otros especficos para la realizacin de auditoras, planteados desde la etapa de diseo para poder ejecutar a demanda. - Otros recursos clsicos utilizados para la deteccin de errores son de ejecucin manual. Normalmente se aplican sobre muestras, estadsticas y no estadsticas. - Para las primeras evidentemente son de aplicacin las tcnicas de muestreo estadstico, que debern ser respetadas para el clculo del tamao de las muestras y su seleccin en funcin del nivel de significacin y error mximo con que interese trabajar en cada caso. - Las muestras no estadsticas, dirigidas, basarn la seleccin en la bsqueda de las operaciones con mayor probabilidad de error y consecuencias ms graves, previo anlisis de las condiciones de la informacin disponible que permitan componer un indicador de priorizacin, asignando puntuaciones al cumplimiento de determinadas condiciones. Ejemplos de estos recursos de ejecucin manual son: Arqueo, Inventario, Inspeccin, Comprobacin con los documentos soporte de la transaccin (factura, albarn, etc.) y confirmacin de saldos por parte de terceros (clientes y proveedores)

Uso del computador

Una de las herramientas valiosas en la realizacin de la auditora de una aplicacin informtica. - Computadores personales - Computadores donde se explota la aplicacin, que es el objeto de auditora Existen en el mercado infinidad de productos de software concebidos para facilitar la tarea del auditor: herramientas que permiten el acceso generalizado a la informacin contenida en archivos y bases de datos de forma trasparente para el usuario y con independencia de las caractersticas de organizacin y modo de almacenamiento. Muchos presentan como herramientas de auditora, ya que incorporan facilidades tpicas de esta funcin como pueden ser la generacin de muestras estadsticas, edicin de circularizaciones, etc. Lenguaje SQL, se puede acceder a la informacin y seleccionar la que interese; su proceso posterior a travs de un gestor de bases de datos. Informes de excepcin, diseados para propsitos de auditora. Utilizar la aplicacin, aplicando ensayos o transacciones ficticias preparadas por los auditores, para verificar la eficacia de los controles implantados. No siempre es recomendable, sobre todo si no ha sido prevista tal contingencia durante la etapa del diseo de la aplicacin.

Etapas de la Auditora de una Aplicacin Informtica

1- Recogida de la informacin y documentacin sobre la aplicacin. Se realiza un estudio preliminar en el que recogemos toda aquella informacin que nos pueda ser til para determinar los puntos dbiles existentes y aquellas funciones de la aplicacin que puedan entraar riegos.

Se lleva a cabo por medio de entrevistas con el equipo responsable de la aplicacin, tanto de la organizacin usuaria como la del sistema de informacin, se inicia el proceso de recopilacin de informacin y documentacin para profundizar en los conocimientos hasta los niveles de exigencia necesaria para realizar el trabajo. Resulta til confeccionar unas guas q permitan seguir una pauta en las primeras entrevistas y contengan la relacin de documentos a solicitar q ayuden a: y Adquirir una visin global del sistema: descripcin general de la aplicacin, plan de sistemas de la empresa donde figuren objetivos, planes y presupuestos. El manual de usuario es de gran trascendencia. Conocer la organizacin y procedimientos de los servicios que utiliza la aplicacin. Lista de los servicios, organigrama y dependencias funcionales entre ellos, poltica de formacin y sensibilizacin de los usuarios, etc. Describir el entorno en el que se desarrolla la aplicacin: conocer recursos de computador central asignados, numero de computadores asignados total o parcialmente a la aplicacin, cantidad de recursos perifricos asignados, configuracin de la red y de las lneas de comunicaciones usadas, etc. Entender el entorno de software bsico de la aplicacin, identificando las seguridades que ofrece y los riesgos inducidos. Asimilar la arquitectura y caractersticas lgicas de la aplicacin. Es necesario conocer los principales tratamientos y cmo estn estructurados los datos: programas clave, lenguaje y mtodo de programacin, archivos maestros, bases de datos, informes generados, periosidad de tratamientos. Conocer las condiciones de explotacin de la aplicacin y los riesgos q se puedan dar. Si la aplicacin explota directamente los usuarios o depende de los servicios informativos, volumen de capturas, volumen de informacin almacenada, planificacin y organizacin general de la explotacin, caractersticas generales, tiempos de respuestas, frecuencia y naturaleza de las incidencias. Conocer condiciones de seguridad de que dispone la aplicacin: controles que incorpora, definicin de perfiles de acceso a los recursos y a la aplicacin, existencia de pistas de auditora, grado de automatizacin, documentacin. Disponer de informacin relativa a: Estadsticas de tiempos de explotacin para cada proceso, tiempo de respuesta de transaccin online, tiempo de reproceso por fallos, tiempo dedicados al mantenimiento, informes de gestin de los accesos, informe de seguimiento de las salidas, proteccin de recursos asignados, perfiles de acceso a dichos recursos.

Es conveniente que el auditor solicite los documentos formalmente, facilitando su relacin, y que stos le sean suministrados en soporte informtica en la medida de lo posible. 2- Determinacin de los Objetivos y alcance la Auditora Las observaciones e identificacin de puntos dbiles a los datos recopilados permiten al auditor establecer su propuesta de objetivos de la auditora de la aplicacin y un plan detallado del trabajo a realizar. En la preparacin del plan de trabajo se incluye: - Planificacin de los trabajos y el tiempo a emplear, orden en que se examinarn los diferentes aspectos, centro de trabajo en que se van a desarrollar las pruebas, cargas de tiempos y asignacin de los trabajos entre los diferentes colaboradores del equipo. Herramientas y mtodos, entrevistas con los usuarios y los informticos. Servicios que se van a auditar, documentos que hay q obtener, etc. El programa de trabajo detallado, adaptado a las peculiaridades de cada aplicacin, pero tratando se seguir un esquema: - Identificacin y clasificacin de los objetivos principales de la auditoria. - Determinacin de sus objetivos para cada uno de los objetivos generales. - Asociacin, a cada subobjetivo de un conjunto de preguntas y trabajos a realizar teniendo en cuenta las particularidades del entorno y de la aplicacin a auditar. Desarrollo de temas como: 1- Modos de captura y validacin 2- Soportes de datos a capturar 3- Controles sobre los datos de entrada 4- Tratamiento de errores

5- Controles sobre los tratamientos: secuencia de programas, valores caractersticos, controles de versin, exactitud de los clculos, etc. Controles de salida: clasificacin y verificacin de las salidas; presentacin, distribucin diseo y forma de los listados. 6- Pistas para el control y auditoria

7- Salvaguardias.

Test de confirmacin, tests sobre los datos y los resultados. Aquellos que consideramos necesarios para asegurar que los controles funcionan como se ha descrito y previsto, y que los controles internos son aplicados.

3- Planificacin de la Auditora Debe ser Objeto de una Planificacin cuidadosa. Es importante acertar con el momento ms adecuado para su realizacin: No conviene q coincida con el perodo de su implantacin especialmente crtico, en que los usuarios no dominan todava la aplicacin y estn ms agobiados con la tarea diaria. El retraso excesivo en el comienzo de la auditora puede alargar el perodo de exposicin a riesgos superiores que pueden y deben ser aminorados como resultado de ella. Hay que establecer el mbito de actuacin: si son organizaciones con un amplio territorio, se deber delimitar el campo de las pruebas a realizar para un menor nmero de centros de trabajos. Pero se ampliar la representacin ms extensa de usuarios y centros, donde se considere factible, sin incurrir en un coste desproporcionado (encuestas, procesamiento de informacin, contactos telefnicos). La seleccin de los centros de actuacin donde se llevar a cabo el trabajo, es conveniente que la organizacin usuaria los proponga con base a razones donde se estime mayor valor al trabajo, por ejemplo: proyectos de innovacin y mejoras relacionados con el proceso, haber experimentado cambios recientes organizativos o personal directivo, existencia de indicadores de actividad que desven significativamente de la media general, etc. Solicitar cuanto antes con la primera toma del contacto, las autorizaciones necesarias para que el personal de auditora, que participa en el trabajo, pueda acceder a la aplicacin y a las herramientas de usuario. Solicitar un perfil de auditor o consultas: permitirn dedicar a su conocimiento, ya a preparar pruebas que puedan precisar su uso, como los tiempos de parada que suelen producirse en el desarrollo de otros trabajo que vayan a ejecutarse durante los meses anteriores al inicio del trabajo de campo de la auditora.

4- Trabajo de Campos, informe e implantacin de mejoras y La etapa de realizacin del trabajo de campo consiste en la ejecucin del programa de trabajo establecido. Evidentemente, los resultados que se van obteniendo pueden llevar a ajustar el programa en funcin de dichos resultados, que pueden aconsejar ampliar la profundidad de alguna prueba, acometer otras no previstas y concluir alguna antes de su final.  Recomendacin: plantear la mnima utilizacin de papeles de trabajo, en el sentido literal, fsico, potenciando la utilizacin de PCs porttiles como soporte de la informacin de las muestras con las que se vaya a trabajar y para la recogida de informacin y resultado de las diferentes prueba: no es slo cuestin de imagen, sino productividad.

Redaccin del informe de la auditora, recoger las caractersticas del trabajo realizado y sus conocimientos y recomendaciones o propuestas de mejora. La implementacin de las mejoras identificadas en la auditora: la situacin ptima a alcanzar es conseguir que la organizacin auditada asuma las propuestas de actuacin para implantar las recomendaciones como objetivos de la organizacin, sta es la mejor seal de valoracin positiva por parte de una organizacin a un trabajo de auditora.

Conclusiones La importancia de los sistemas de informacin como ayuda en el desarrollo de los procesos de un negocio, aportan adems de informacin conocimiento demandado, apoyan una correcta toma de decisiones de misma importancia a la auditora de las aplicaciones informticas, cumpliendo las funciones recomendadas, si la base de esta toma de decisiones no es segura, fiable y confidencial los resultados son muy contrarios a los que se esperan. El avance tecnolgico y nuevos sistemas, exigen esfuerzos de formacin a los auditores informticos, que deben ser cuidadosamente planificado, para seguir ofreciendo las garantas mencionadas en un entorno cada vez ms amenazado por nuevos riesgo. Tale amenazas pueden llegar al extremo de poner en peligro la supervivencia de aquellas empresa que fracasen en el desempeo de tener bajo control el conjunto de la funcin informtica que da soporte a sus sistema informticos.