Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria de Aplicaciones
Auditoria de Aplicaciones
Las aplicaciones o sistemas de informacin son uno de los productos finales que genera la infraestructura de las TI en las organizaciones y por ende son el aspecto de mayor visibilidad desde la perspectiva de negocio. La siguiente exposicin presentar una metodologa completa y estructurada para realizar auditoras de aplicaciones adems de las principales tcnicas de auditora para desarrollo de pruebas sustantivas en ambientes de tecnologa de informacin, tcnicas y herramientas de auditora. Aplicada a sistemas en funcionamiento en cuanto al grado de cumplimiento de los objetivos para los que fueron creados.
Si este planteamiento se consigue trasladar con tenacidad a una aplicacin informtica y los usuarios la manejan con habilidad y con profesionalidad, la organizacin a la que pertenecen contar con un importante factor de xito en el desarrollo de su actividad. Sin embargo, ni la tenacidad en la creacin de la aplicacin ni la profesionalidad en el uso de la misma pueden ser garantizados. La profesionalidad no libra el cansancio y el estrs, as que es de humanos cometer errores involuntariamente. Tampoco es imposible que en un momento determinado un empleado descontento cometa errores intencionalmente o que otro intente un fraude sin pruebas para ser descubierto.
Todas esas amenazas y cualquier otra que pueda ser identificada contra el correcto funcionamiento de la aplicacin y la consecucin de sus objetivos, han debido ser objeto de un anlisis minucioso ya desde la fase de concepcin. Para cada una de ellas se habrn debido estudiar las posibles medidas tendentes a eliminar los riesgos que entraan o reducen la probabilidad de su materializacin hasta niveles razonablemente asumibles, siempre teniendo en cuenta el costo de tales medidas. Dichas medidas son fundamentales medidas de control interno que consisten en los procedimientos para verificar, evaluar y tratar de garantizar que todo funciona como se espera: de acuerdo a las polticas, normas y procedimientos establecidos en los diferentes mbitos de responsabilidad.
2- Controles detectivos: descubren a posteriores errores que haya sido posible evitar. 3- Controles correctivos: aseguran q se subsanen todos los errores identificados mediante controles detectivos. Se utilizan en: Las transacciones de recogida o toma de datos Todos los procesos de informacin que la aplicacin realiza La generacin de informes y resultados de salida
Los controles considerados para cada situacin planteada en los diferentes pasos de funcionamiento de la aplicacin, se deben hacer en el diseo de la aplicacin con un estudio a conciencia para seleccionar los posibles riesgos que se trata de contrarrestar. Estudio que debe ser propuesto por los responsables del rea de informtica, revisado por personal de auditora interna, y aprobado en ltimo lugar por la direccin de la organizacin usuaria. La conveniencia de la participacin de Auditora interna es importante en la revisin de los controles diseados durante el desarrollo de la aplicacin. Sus recomendaciones deben ser consideradas aunque sera muy costoso tener que incluir cualquier control una vez finalizado el desarrollo, siendo una necesidad como resultado de una auditora posterior a la implementacin. La auditora interna en el desarrollo de un sistema informtico debe tener un alcance ms amplio que el referente al sistema, ya que debe contemplar no slo los riesgos relacionados con la aplicacin, sino todos los que puedan afectar al proceso completo al que la misma sirve de herramienta, haciendo que la aplicacin registre informacin especfica, para facilitar la futura auditabilidad del proceso respecto a tales riesgos. La problemtica de la auditora de una aplicacin se trata de una revisin de la eficacia del funcionamiento de los controles diseados para cada uno de los pasos de la misma frente a los riesgos que tratan de eliminar o minimizar, como medios para asegurar la fiabilidad, seguridad, disponibilidad y confidencialidad de la informacin gestionada por la aplicacin.
Debido a la gran evolucin de las tecnologas en los sistemas de informacin, se requiere ms esfuerzo para el personal de auditora interna y en particular a los especialistas en auditora informtica. Se deben impulsar respuestas integradas en un plan de formacin, que incluya las nuevas tendencias y preocupaciones.
Herramientas ms utilizadas:
Entrevistas
Tiene una amplia utilizacin en todas las etapas de la auditora, cumplen varios requisitos: Las personas entrevistadas deben ser aquellas que ms puedan aportar al propsito pretendido. Debe ser preparada con rigidez de cara a sacar el mximo partido de ella. Es indispensable escribir el guin de temas y apartados a tratar (no un cuestionario cerrado), para evitar que quede sin tratar algn asunto de inters; exige ser alcanzado el nivel de conocimientos sobre la aplicacin necesario en ese momento para conducir con soltura la entrevista.
Debe ser preparada con los interlocutores con anticipacin suficiente, informndoles del motivo y las materias a tratar en ella, duracin aproximada prevista y solicitando la preparacin de la preparacin de la documentacin o informacin que pueda ser necesario aporten durante la misma, tambin invitacin a colaborar con sugerencias estime convenientes, no solo por el objeto de la entrevista sino tambin con miras ms amplias en relacin con el proceso global desarrollado por la organizacin y la aplicacin informtica que apoya el proceso. Los jefes de las personas a entrevistar deben estar informadas de las actuaciones previstas; en general ser positivo que sea el propio jefe quien comunique al interesado la necesidad de participar en la auditora. Durante el desarrollo de la entrevista, el auditor tomar las anotaciones imprescindibles, lo ms prximo posible a la finalizacin de la entrevista el auditor debe repasar sus anotaciones, completando con detalles que pueda recordar aquellas que pudieran haber quedado esbozadas y reflexionando sobre las posibles implicaciones de las novedades o singularidades que el interlocutor haya podido aportar.
Encuestas
Pueden ser de utilidad para ayudar a determinar el alcance y objetivos de la auditora como para la materializacin de objetivos relacionados con el nivel de satisfaccin de los usuarios. Preparar un cuestionario que pueda ser contestado con la mayor rapidez a base de marcar las repuestas entre las posibles. Conviene que todas las preguntas vayan seguidas de un espacio destinado a observaciones no slo las que soliciten descripcin cuando la respuesta es otros, si no que pueda elegir entre varias alternativas. Al final del cuestionario hay que solicitar sugerencias u observaciones abiertas, mejor en pgina exclusiva para ello, que pueda ser fotocopiada por quienes necesiten ms espacio para sus comentarios. Aunque no puede ni debe exigirse la identificacin personal del encuestado, si debe hacerse de la organizacin a la que pertenece (cuidado con los recuentos de resultados de la encuesta por organizacin que pudieran quedar con una nica respuesta: no deben ser obtenidos, limitando, por tanto, la obtencin de tales recuentas a la condicin de contar con ms de una respuesta en el agrupamiento). Sin embargo, s puede invitarse a que se identifique quien no tenga ningn inconveniente en ello, lo que permitira contactos enriquecedores si la encueta contestada plantea asuntos de inters
Pruebas de conformidad
Es de uso general en todo el campo de la auditora, son actuaciones orientadas especficamente a comprobar que determinados procedimientos, normas o controles internos, particularmente los que merecen confianza de estar adecuadamente establecidos, se cumplen o funcionan de acuerdo con lo previsto y esperado, segn lo descrito en la documentacin oportuna. La comprobacin debe llevar a la evidencia a travs de la inspeccin de los resultados producidos: registros, documentos, conciliaciones, etc. Y observacin directa del funcionamiento de un control ante pruebas especficas de su comportamiento. La evidencia de incumplimiento puede ser puesta de manifiesto a travs de informes de excepcin. Los testimonios de incumplimiento no implican evidencia pero, si parten de varias personas, es probable que la organizacin asuma como vlidos dichos testimonios y las consecuencias que de los mismos pudieran derivarse de cara a posibles recomendaciones, ahorrando esfuerzos para tratar de conseguir su confirmacin documental.
Informes de excepcin producidos por la propia aplicacin para identificar situaciones que interesa sean objeto de revisin. Aparte de los de obtencin rutinaria prevista en
el sistema, debera disponerse de otros especficos para la realizacin de auditoras, planteados desde la etapa de diseo para poder ejecutar a demanda. - Otros recursos clsicos utilizados para la deteccin de errores son de ejecucin manual. Normalmente se aplican sobre muestras, estadsticas y no estadsticas. - Para las primeras evidentemente son de aplicacin las tcnicas de muestreo estadstico, que debern ser respetadas para el clculo del tamao de las muestras y su seleccin en funcin del nivel de significacin y error mximo con que interese trabajar en cada caso. - Las muestras no estadsticas, dirigidas, basarn la seleccin en la bsqueda de las operaciones con mayor probabilidad de error y consecuencias ms graves, previo anlisis de las condiciones de la informacin disponible que permitan componer un indicador de priorizacin, asignando puntuaciones al cumplimiento de determinadas condiciones. Ejemplos de estos recursos de ejecucin manual son: Arqueo, Inventario, Inspeccin, Comprobacin con los documentos soporte de la transaccin (factura, albarn, etc.) y confirmacin de saldos por parte de terceros (clientes y proveedores)
Se lleva a cabo por medio de entrevistas con el equipo responsable de la aplicacin, tanto de la organizacin usuaria como la del sistema de informacin, se inicia el proceso de recopilacin de informacin y documentacin para profundizar en los conocimientos hasta los niveles de exigencia necesaria para realizar el trabajo. Resulta til confeccionar unas guas q permitan seguir una pauta en las primeras entrevistas y contengan la relacin de documentos a solicitar q ayuden a: y Adquirir una visin global del sistema: descripcin general de la aplicacin, plan de sistemas de la empresa donde figuren objetivos, planes y presupuestos. El manual de usuario es de gran trascendencia. Conocer la organizacin y procedimientos de los servicios que utiliza la aplicacin. Lista de los servicios, organigrama y dependencias funcionales entre ellos, poltica de formacin y sensibilizacin de los usuarios, etc. Describir el entorno en el que se desarrolla la aplicacin: conocer recursos de computador central asignados, numero de computadores asignados total o parcialmente a la aplicacin, cantidad de recursos perifricos asignados, configuracin de la red y de las lneas de comunicaciones usadas, etc. Entender el entorno de software bsico de la aplicacin, identificando las seguridades que ofrece y los riesgos inducidos. Asimilar la arquitectura y caractersticas lgicas de la aplicacin. Es necesario conocer los principales tratamientos y cmo estn estructurados los datos: programas clave, lenguaje y mtodo de programacin, archivos maestros, bases de datos, informes generados, periosidad de tratamientos. Conocer las condiciones de explotacin de la aplicacin y los riesgos q se puedan dar. Si la aplicacin explota directamente los usuarios o depende de los servicios informativos, volumen de capturas, volumen de informacin almacenada, planificacin y organizacin general de la explotacin, caractersticas generales, tiempos de respuestas, frecuencia y naturaleza de las incidencias. Conocer condiciones de seguridad de que dispone la aplicacin: controles que incorpora, definicin de perfiles de acceso a los recursos y a la aplicacin, existencia de pistas de auditora, grado de automatizacin, documentacin. Disponer de informacin relativa a: Estadsticas de tiempos de explotacin para cada proceso, tiempo de respuesta de transaccin online, tiempo de reproceso por fallos, tiempo dedicados al mantenimiento, informes de gestin de los accesos, informe de seguimiento de las salidas, proteccin de recursos asignados, perfiles de acceso a dichos recursos.
Es conveniente que el auditor solicite los documentos formalmente, facilitando su relacin, y que stos le sean suministrados en soporte informtica en la medida de lo posible. 2- Determinacin de los Objetivos y alcance la Auditora Las observaciones e identificacin de puntos dbiles a los datos recopilados permiten al auditor establecer su propuesta de objetivos de la auditora de la aplicacin y un plan detallado del trabajo a realizar. En la preparacin del plan de trabajo se incluye: - Planificacin de los trabajos y el tiempo a emplear, orden en que se examinarn los diferentes aspectos, centro de trabajo en que se van a desarrollar las pruebas, cargas de tiempos y asignacin de los trabajos entre los diferentes colaboradores del equipo. Herramientas y mtodos, entrevistas con los usuarios y los informticos. Servicios que se van a auditar, documentos que hay q obtener, etc. El programa de trabajo detallado, adaptado a las peculiaridades de cada aplicacin, pero tratando se seguir un esquema: - Identificacin y clasificacin de los objetivos principales de la auditoria. - Determinacin de sus objetivos para cada uno de los objetivos generales. - Asociacin, a cada subobjetivo de un conjunto de preguntas y trabajos a realizar teniendo en cuenta las particularidades del entorno y de la aplicacin a auditar. Desarrollo de temas como: 1- Modos de captura y validacin 2- Soportes de datos a capturar 3- Controles sobre los datos de entrada 4- Tratamiento de errores
5- Controles sobre los tratamientos: secuencia de programas, valores caractersticos, controles de versin, exactitud de los clculos, etc. Controles de salida: clasificacin y verificacin de las salidas; presentacin, distribucin diseo y forma de los listados. 6- Pistas para el control y auditoria
7- Salvaguardias.
Test de confirmacin, tests sobre los datos y los resultados. Aquellos que consideramos necesarios para asegurar que los controles funcionan como se ha descrito y previsto, y que los controles internos son aplicados.
3- Planificacin de la Auditora Debe ser Objeto de una Planificacin cuidadosa. Es importante acertar con el momento ms adecuado para su realizacin: No conviene q coincida con el perodo de su implantacin especialmente crtico, en que los usuarios no dominan todava la aplicacin y estn ms agobiados con la tarea diaria. El retraso excesivo en el comienzo de la auditora puede alargar el perodo de exposicin a riesgos superiores que pueden y deben ser aminorados como resultado de ella. Hay que establecer el mbito de actuacin: si son organizaciones con un amplio territorio, se deber delimitar el campo de las pruebas a realizar para un menor nmero de centros de trabajos. Pero se ampliar la representacin ms extensa de usuarios y centros, donde se considere factible, sin incurrir en un coste desproporcionado (encuestas, procesamiento de informacin, contactos telefnicos). La seleccin de los centros de actuacin donde se llevar a cabo el trabajo, es conveniente que la organizacin usuaria los proponga con base a razones donde se estime mayor valor al trabajo, por ejemplo: proyectos de innovacin y mejoras relacionados con el proceso, haber experimentado cambios recientes organizativos o personal directivo, existencia de indicadores de actividad que desven significativamente de la media general, etc. Solicitar cuanto antes con la primera toma del contacto, las autorizaciones necesarias para que el personal de auditora, que participa en el trabajo, pueda acceder a la aplicacin y a las herramientas de usuario. Solicitar un perfil de auditor o consultas: permitirn dedicar a su conocimiento, ya a preparar pruebas que puedan precisar su uso, como los tiempos de parada que suelen producirse en el desarrollo de otros trabajo que vayan a ejecutarse durante los meses anteriores al inicio del trabajo de campo de la auditora.
4- Trabajo de Campos, informe e implantacin de mejoras y La etapa de realizacin del trabajo de campo consiste en la ejecucin del programa de trabajo establecido. Evidentemente, los resultados que se van obteniendo pueden llevar a ajustar el programa en funcin de dichos resultados, que pueden aconsejar ampliar la profundidad de alguna prueba, acometer otras no previstas y concluir alguna antes de su final. Recomendacin: plantear la mnima utilizacin de papeles de trabajo, en el sentido literal, fsico, potenciando la utilizacin de PCs porttiles como soporte de la informacin de las muestras con las que se vaya a trabajar y para la recogida de informacin y resultado de las diferentes prueba: no es slo cuestin de imagen, sino productividad.
Redaccin del informe de la auditora, recoger las caractersticas del trabajo realizado y sus conocimientos y recomendaciones o propuestas de mejora. La implementacin de las mejoras identificadas en la auditora: la situacin ptima a alcanzar es conseguir que la organizacin auditada asuma las propuestas de actuacin para implantar las recomendaciones como objetivos de la organizacin, sta es la mejor seal de valoracin positiva por parte de una organizacin a un trabajo de auditora.
Conclusiones La importancia de los sistemas de informacin como ayuda en el desarrollo de los procesos de un negocio, aportan adems de informacin conocimiento demandado, apoyan una correcta toma de decisiones de misma importancia a la auditora de las aplicaciones informticas, cumpliendo las funciones recomendadas, si la base de esta toma de decisiones no es segura, fiable y confidencial los resultados son muy contrarios a los que se esperan. El avance tecnolgico y nuevos sistemas, exigen esfuerzos de formacin a los auditores informticos, que deben ser cuidadosamente planificado, para seguir ofreciendo las garantas mencionadas en un entorno cada vez ms amenazado por nuevos riesgo. Tale amenazas pueden llegar al extremo de poner en peligro la supervivencia de aquellas empresa que fracasen en el desempeo de tener bajo control el conjunto de la funcin informtica que da soporte a sus sistema informticos.