Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NDICE
Presentacin............................................................................. 11
Prlogo.................................................................................... 15
1. Introduccin......................................................................... 19
1.1. Los rganos de control externo y la auditora informtica....21
1.2. La e-administracin........................................................ 25
2.5.4. N
ormas Internacionales de Auditora y
Normas INTOSAI..................................................57
2.5.5. The Institute of Internal Auditors:
Global Technology Audit Guides (GTAG)........... 57
2.5.6. The Institute of Internal Auditors: los principios
y la metodologa GAIT........................................ 58
2.5.7. N
ormas de Auditora de Sistemas de Informacin
de ISACA.....................................................................59
2.5.8. COBIT................................................................ 60
2.6. Perfil formativo del auditor............................................ 61
2.6.1. Conocimientos tcnicos exigibles al auditor.......... 61
2.6.2. Formacin mnima del auditor financiero............. 62
3. Sistemas de informacin y control interno............................. 67
3.1. Sistemas de informacin avanzados................................ 69
3.1.1. Concepto de sistema de informacin.................... 69
3.1.2. Sistemas de informacin complejos...................... 71
3.2. El control interno.......................................................... 74
3.3. Conocimiento del sistema de informacin y de control
interno en una auditora financiera................................. 76
3.4. El riesgo de auditora..................................................... 78
3.4.1. Concepto............................................................ 78
3.4.2. Componentes del riesgo de auditora................... 79
3.4.3. Consideraciones sobre los riesgos ........................ 83
3.4.4. Factores de riesgo de carcter general................... 83
3.4.5. Factores de riesgo y de control en un entorno
informatizado...................................................... 85
3.4.6. Evaluacin y documentacin del riesgo................ 88
3.4.7. Efecto del riesgo en el enfoque de auditora......... 90
3.5. Controles internos en entornos informatizados............... 91
3.5.1. Concepto............................................................ 91
3.5.2. Tipos de controles............................................... 91
3.5.3. Evaluacin del control interno en un entorno
informatizado...................................................... 93
4. Enfoque y planificacin de la auditora de sistemas
de informacin integrada en una auditora financiera............. 97
4.1. El enfoque de Auditora Basado en el Anlisis
de los Riesgos ............................................................... 99
10
Presentacin
El acto de entrega del VIII Premio de investigacin Mestre Racional, al que estas notas sirven de presentacin, se ha celebrado conjuntamente con el XXV aniversario de la creacin de la Sindicatura
de Comptes de la Comunitat Valenciana.
Esta coincidencia nos permite reflexionar, aunque sea someramente, sobre la evolucin del sector pblico valenciano en este periodo
reciente de nuestra historia y la correlativa del control externo, representado por la Sindicatura de Comptes.
Si tuviramos que sealar algunas de las principales caractersticas
descriptivas de dicha evolucin, sin duda deberamos destacar dos: en
primer lugar el extraordinario crecimiento del sector autonmico, que
partiendo prcticamente de cero y como consecuencia de las transferencias de competencias del Estado, alcanza actualmente un presupuesto
anual consolidado superior a los 16.000 millones de euros y consta de
ms de un centenar de entidades; en segundo lugar, el incremento de
servicios que se ofrecen al ciudadano, tanto en el sector autonmico
como en el sector local, que ha ido acompaado de una evolucin
tecnolgica sin precedentes de las herramientas informticas y las telecomunicaciones que dan soporte a la gestin de dichos servicios y que
ha desembocado en la denominada administracin electrnica.
La primera de las tendencias sealadas ha provocado que la Sindicatura, a lo largo de sus veinticinco aos de existencia, haya incrementado sus efectivos personales y materiales y perfeccionado sus tcnicas de auditora para mantener su capacidad fiscalizadora en unos
niveles razonables de eficacia y eficiencia, adaptndose a los cambios
y evolucin continua del sector pblico de nuestra comunidad.
La segunda de las tendencias ha introducido, especialmente en
los ltimos diez aos con la consolidacin del concepto de administracin electrnica, una serie de cambios cualitativos (no slo en la
Comunitat Valenciana, puesto que la evolucin ha sido universal) que
afectan de forma sustancial a la forma en que se pueden llevar a buen
trmino las auditoras pblicas y que ha provocado el crecimiento
exponencial de lo que en la terminologa auditora se denomina el
componente tecnolgico del riesgo de auditora.
Para hacer frente a este reto y abordar con profesionalidad el
nuevo entorno de trabajo, los auditores pblicos deben introducir
11
14
Prlogo
Real Decreto 1.671/2009, de 6 de noviembre, del Ministerio de la Presidencia, por el que se desarrolla parcialmente la
Ley 11/2007, de acceso electrnico de los ciudadanos a los
servicios pblicos.
La aplicacin de todo el conjunto de disposiciones amparadas en
el concepto de administracin electrnica y el desarrollo acelerado
de las tecnologas de la informacin y las comunicaciones (TIC),
supone que la fiscalizacin de los sistemas de informacin y de control interno, actualmente, presente una serie de caractersticas y de
riesgos nuevos, que requieren un enfoque de auditora, evaluacin de
riesgos y planificacin de la auditora con una perspectiva renovada,
tal como se seala en los captulos 3 y 4 del trabajo.
En el captulo 4 se ha enfatizado en cul ha sido la aproximacin
general a la materia del trabajo de investigacin. As, el estudio de
las implicaciones que las TIC tienen sobre el trabajo del auditor pblico se ha realizado bajo la perspectiva de las necesidades de nuevos
conocimientos y de los mtodos especializados que se requieren
para ejecutar las auditoras de regularidad basadas en el anlisis de
los riesgos.
El estudio de la metodologa de auditora de sistemas de informacin integrada en una auditora financiera que se realiza en los
captulos 5 a 7, ha tenido como dificultad principal la ausencia casi
total (con honrosas excepciones) de textos en castellano que aborden
la cuestin, a pesar de la importancia que tiene tanto para el sector
pblico como privado de la profesin auditora. En el captulo 5 se
analiza la metodologa general y en el 7 se estudian las peculiaridades de los principales entornos TIC que pueden encontrarse en las
administraciones pblicas.
Finalmente en el captulo 8 se hace un somero repaso de las
tcnicas y herramientas de auditora asistida por ordenador, que son
de ayuda indispensable tanto en la auditora financiera como en la
auditora de sistemas de informacin.
La conclusin que debe extraerse del trabajo est implcita a lo
largo del mismo, pero puede sintetizarse en unas pocas lneas: en
un entorno digital propio de la e-administracin, no es posible reducir los riesgos de auditora a un nivel aceptable, si los auditores
no utilizan de forma consistente tcnicas y metodologa adecuada
de auditora de sistemas de informacin; esto implica un importante
esfuerzo de adaptacin tanto a nivel personal de los auditores como
a nivel organizativo de los rganos de control.
16
17
Introduccin
19
. www.cfnavarra.es/camara.comptos/cas/DeclaracionPamplona.asp
. www.sindicom.gva.es/web/wdweb.nsf/documento/ft. En esta misma pgina pueden encontrarse los enlaces a las pginas web dedicadas a los tres Foros tecnolgicos
celebrados hasta la fecha y puede accederse a las presentaciones realizadas.
21
Tribunal de Cuentas
Informe de Fiscalizacin sobre la contratacin celebrada
para el desarrollo, implantacin y mantenimiento, en el
mbito de la Seguridad Social, de la Administracin electrnica como nueva modalidad de prestacin de servicios
y de relacin con los ciudadanos tanto a travs de Internet
como de otras plataformas de comunicaciones (27 de octubre de 2005).
A la vista de los informes emitidos, la Sindicatura de Cuentas
de la Comunidad Valenciana, posiblemente se encuentra entre los
OCEX que ms han avanzado en el desarrollo de metodologa de
auditora de sistemas de informacin; en su vigente plan estratgico
contempla un objetivo detallado especfico, que incluye una adaptacin organizativa para el desarrollo de las auditoras de sistemas
de informacin:
3.15 Desarrollar la auditora de sistemas de informacin
En los ltimos aos se ha producido una tendencia imparablemente creciente
en la informatizacin de las administraciones pblicas, en particular de la Generalitat y de sus distintas empresas y organismos.
El volumen de transacciones que tienen lugar actualmente en el conjunto de
la Generalitat puede cifrarse en varios millones. Se han implantado, o estn
en curso de implantacin, los denominados ERP en las principales empresas y
entidades, incluyendo la Administracin general y la sanitaria. Estas aplicaciones
informticas estn provocando que las pistas de auditora (firmas, documentos
contables, autorizaciones) en soporte tradicional en papel estn desapareciendo,
siendo sustituidas por evidencias electrnicas. La Administracin electrnica es
un concepto y una realidad cada vez ms extendida.
La Sindicatura, en el mbito del Plan Trienal precedente ha introducido, paulatina pero firmemente medidas tendentes a hacer frente eficazmente a las
fiscalizaciones en este contexto, lo que tcnicamente se denomina entornos
informatizados. Se han efectuado acciones formativas especializadas, se ha
contado con la colaboracin de expertos externos en auditora informtica
y se han realizado en 2007 dos trabajos piloto en esta rea con resultado
satisfactorio.
La realizacin de revisiones/auditoras de los sistemas de informacin como
parte de las fiscalizaciones, especialmente de aquellas entidades de mayor tamao, constituye un aspecto absolutamente ineludible para emitir informes de
calidad y con las mximas garantas tcnicas.
El nuevo Plan Trienal considera sta rea como prioritaria por lo que en 2008
se pondr en marcha la Unidad de auditora de sistemas de informacin,
que prestar asistencia a los distintos equipos de fiscalizacin. Estar integrado
en el Gabinete Tcnico de la Sindicatura y trabajar en estrecha coordinacin
con el Servicio de Informtica de la Sindicatura.
1.2. La e-administracin
1.2.1. Utilizacin de las TIC por la Administracin
El motivo de esta creciente preocupacin de los OCEX por el
impacto de las tecnologas de la informacin y las comunicaciones
en las fiscalizaciones que realizan, viene dado por el incremento del
uso de las tecnologas de la informacin y las comunicaciones en la
gestin pblica.
El incremento en el uso de las tecnologas de la informacin y
las comunicaciones por todas las Administraciones pblicas es tanto
cuantitativo como cualitativo.
Cuantitativamente puede medirse por las crecientes inversiones
realizadas por las Administraciones pblicas. Segn el Informe IRIA
2008 (pginas 27 y 102) la evolucin de los gastos informticos en
la Administracin del Estado y en las Administraciones locales ha
sido la siguiente:
Evolucin gastos informticos
1400
1241
Millones de euros
1200
1037
1000
800
659
885
747
609
600
400
200
294
363
751
448
0
1999
2001
2003
2005
2007
Administracin local
Figura 1.1
25
En los gastos informticos se han incluido los conceptos relacionados de los captulos 1 (gastos de personal), captulo 2 (mantenimiento de hardware y software, alquileres y servicios), y del captulo
6 (inversiones).
La proporcin entre el gasto en TIC (gastos informticos ms
los de comunicaciones) respecto del presupuesto total en Espaa
tambin ha sido creciente, segn se refleja en el informe eEspaa
2009 de la Fundacin Orange:
Figura 1.2
Adems de este aumento de las inversiones y del gasto informtico, en los ltimos aos tambin se ha producido un salto cualitativo en la utilizacin de las tecnologas de la informacin y las
comunicaciones por parte de las Administraciones pblicas, que ha
ocasionado el nacimiento del concepto conocido como la administracin electrnica, gobierno electrnico o e-administracin
(e-government en ingls).
1.2.2. Definicin de la e-administracin
INTOSAI define la e-administracin como el intercambio online
de informacin gubernamental con, y el suministro de servicios a,
ciudadanos, empresas y otros entes pblicos.
De forma ms completa, EUROSAI define la e-administracin
como el uso de las tecnologas de la informacin y las comunicaciones por las administraciones con el objetivo de:
. Auditing e-Government, The INTOSAI Standing Committee on IT Audit,
2003, pgina 5.
. E-Government in an Auditing perspective, EUROSAI, IT Working Group, marzo
2004, pgina 5.
26
Nivel 1 - Informacin.
El sitio web ofrece la posibilidad de la introduccin electrnica de datos mediante un formulario electrnico para iniciar on-line el procedimiento de obtencin del servicio. Esta
etapa requiere de una autentificacin de la persona (fsica o
jurdica) que solicita el servicio.
. Estudio Comparativo 2009 de los Servicios Pblicos on-line en las Comunidades Autnomas Espaolas, Cap Gemini y Fundacin Orange, abril 2009 (pgina 65).
27
El sitio web ofrece la posibilidad de tramitar el servicio pblico de forma totalmente electrnica. No se requiere del
solicitante ningn otro procedimiento formal mediante documentos en papel o presencia fsica en oficinas pblicas.
Figura 1.3
10. Estudio Comparativo 2009 de los Servicios Pblicos on-line en las Comunidades
Autnomas Espaolas, Cap Gemini y Fundacin Orange, abril 2009.
29
Figura 1.4
En el siguiente grfico elaborado por la Comisin Europea11 puede verse, comparativamente, en qu situacin se encuentra nuestro
pas entre los pases europeos:
Figura 1.5
11. Prparer lavenir numrique de lEurope. Examen mi-parcours de linitiative i2010,
Comunicacin de la Comisin de la Unin Europea, abril de 2008 (pgina 54).
30
33
Auditora e informtica
35
El artculo 96 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la
Ley Orgnica 15/1999, de 13 de diciembre, de proteccin
de datos de carcter personal, estableci la obligatoriedad de
realizar determinadas auditoras:
37
38
Auditora forense
En aquellos casos que existan sospechas de fraude o actuaciones ilegales, pueden realizarse investigaciones para
obtener evidencia (pruebas) utilizando herramientas informticas para recuperar datos de forma legal de equipos informticos utilizados por los sospechosos y posteriormente
analizarlos.
Este tipo de actuaciones se realiza, generalmente, por la polica, fiscala o a instancia judicial.
Auditora de gestin
Examen de un sistema informtico para evaluar si los objetivos previstos al implementar el sistema han sido alcanzados
efectivamente, con criterios de economa y eficiencia.
13. Puede verse como ejemplo el informe de la UK Nacional Audit Office, Improving the disposal of public sector Information, Communication and Technology
Equipment, de Julio 2007.
14. Por ejemplo la GTAG 12: Auditing IT Projects, del Institute of Internal Auditors.
39
No vamos a analizar la auditora informtica como una disciplina autnoma, con muchas reas importantes para desarrollar, sino que vamos a centrarnos en el estudio de la
auditora de sistemas de informacin ejecutada como parte,
importante, de una auditora financiera de las cuentas anuales
de una entidad pblica.16
sensible con ese dato, mientras que las informaciones que no posean
tal caracterstica, no debern utilizarse como elementos de prueba.
La fiabilidad de la evidencia de auditora est influenciada por
sus fuentes, por su naturaleza y por las circunstancias individuales de
su obtencin. Una evidencia no confiable no constituye evidencia
de auditora.
2.3.2. La evidencia informtica de auditora
a) Concepto
Adems de los cuatro tipos de evidencia antes sealados (material
o fsica, documental, testimonial y analtica) en los ltimos lustros ha
ido aumentando la importancia de un nuevo tipo de evidencia, con
caractersticas completamente diferentes, que condiciona buena parte
del trabajo del auditor. Este tipo de evidencia, que se denomina evidencia informtica, tiene una caracterstica que a priori destaca sobre
las dems:21 la ininteligibilidad y la imposibilidad de su tratamiento
o anlisis por los medios tradicionales de auditora.
Las Normas de Auditora del Sector Pblico (NASP) de la Intervencin General de la Administracin del Estado, regulan con un
cierto detalle aspectos relacionados con la obtencin por el auditor
de evidencia adecuada en un entorno informatizado.
De acuerdo con el apartado 5.3.2 de las Normas de Auditora del
Sector Pblico, la evidencia informtica queda definida as:
Evidencia informtica. Informacin y datos contenidos en soportes
electrnicos, informticos y telemticos, as como los elementos lgicos,
programas y aplicaciones utilizados en los procedimientos de gestin del
auditado. Esta evidencia informtica incluir los elementos identificados y estructurados que contienen texto, grficos, sonidos, imgenes o
cualquier otra clase de informacin que pueda ser almacenada, editada,
extrada e intercambiada entre sistemas de tratamiento de la informacin,
o usuarios de tales sistemas, como unidades diferenciadas.
b) Tipos de evidencia informtica
Esta definicin de evidencia informtica distingue entre dos tipos de evidencia informtica de caractersticas muy distintas que
requerirn de los auditores conocimientos, tcnicas y procedimientos
adaptados a cada tipo. Puede distinguirse entre:
21. Vase: Tcnicas de auditora asistida por ordenador, Pablo Lanza, 2000, Instituto
de Estudio Fiscales (pg 25).
45
1. Informacin y datos
Al fiscalizar en entornos informatizados complejos, la pista visible
de muchas transacciones revisadas por los auditores han desaparecido
fsicamente, transformndose en algo intangible. No se dispone en
muchos casos de los documentos fsicos para visualizarlos, comprobar
firmas, fotocopiar, poner tildes, etc.
En muchos casos las facturas de proveedores, albaranes, etc, se
reciben en formato digital22 o se escanean,23 se archivan en el ordenador y el original en papel desaparece, pudindose visualizar
nicamente a travs del sistema informtico.
En este sentido es interesante revisar la Instruccin Modelo Normal de Contabilidad Local (IMNCL), que regula el soporte informtico de los registros contables:
Regla 14. Soporte de los registros contables
1.Los registros de las operaciones y del resto de la informacin capturada
en el SICAL-Normal, estarn soportados informticamente segn la
configuracin que se establece en la regla anterior, constituyendo el
soporte nico y suficiente que garantice su conservacin de acuerdo
con la regla 93.
22. La factura electrnica es un equivalente funcional de la factura en papel y consiste en la transmisin de las facturas o documentos anlogos entre emisor y receptor
por medios electrnicos (ficheros informticos) y telemticos (de un ordenador a
otro), firmados digitalmente con certificados reconocidos.
La factura electrnica es un documento electrnico que cumple con los requisitos legal y reglamentariamente exigibles a las facturas y que, adems, garantiza la
autenticidad de su origen y la integridad de su contenido, lo que permite atribuir
la factura a su emisor.
De est definicin extendida en todo el mercado, se transmite tres condicionantes para la realizacin de factura electrnica:
Se necesita un formato electrnico de factura de mayor o menor complejidad
(EDIFACT, XML, PDF, html, doc, xls, gif, jpeg o txt, entre otros).
Es necesario una transmisin telemtica (tiene que partir de un ordenador, y ser
recogida por otro ordenador).
Este formato electrnico y transmisin telemtica, deben garantizar su integridad
y autenticidad a travs de una firma electrnica reconocida.
Las facturas electrnicas deben incorporar medios que garanticen la autenticidad e
integridad de acuerdo con lo establecido en el Real Decreto 1496/2003, de 28 de noviembre, que aprueba el Reglamento que regula las obligaciones de facturacin, as como
en la Orden EHA/962/2007, de 10 de abril, por la que se desarrollan determinadas
disposiciones sobre facturacin telemtica y conservacin electrnica.
23. El escaneo o conversin de un documento en formato papel a formato digital, con todas las garantas jurdicas, tambin est regulado por la Orden
EHA/962/2007.
46
2.Las bases de datos del sistema informtico donde residan los registros
contables constituirn soporte suficiente para la llevanza de la contabilidad
de la entidad contable, sin que sea obligatoria la obtencin y conservacin
de libros de contabilidad
Regla 88. Medios de justificacin
1.La justificacin de los distintos hechos susceptibles de incorporacin al
SICAL-Normal podr estar soportada en documentos en papel o a travs
de medios electrnicos, informticos o telemticos...
La evidencia informtica es informacin creada, transmitida, procesada, grabada, y/o guardada en soporte informtico que respalda
el contenido del informe de fiscalizacin.
nicamente se puede acceder a la informacin mediante la utilizacin de unos equipos y tecnologa adecuados, tales como ordenador, software, impresora, escner, lector o medios magnticos. Los
documentos electrnicos pueden ser textos, imgenes, archivos de
audio o video.
La evidencia informtica incluye asientos contables, documentos
de referencia y justificantes como contratos electrnicos, documentos
electrnicos relacionados con facturacin, adquisiciones y pagos,
confirmaciones electrnicas y cualquier otra informacin electrnica
relacionada con la auditora.
Los datos pueden variar en su formato (desde ficheros electrnicos a tablas en informes impresos). Algunos ejemplos son:
Datos extrados de bases de datos, data warehouses o repositorios de informacin.
Datos mantenidos en Microsoft Excel o Access o productos
similares.
Datos extrados de ERP mantenidos interna o externamente.
Datos pblicamente accesibles o datos replicados accesibles a
travs de una aplicacin distinta del sistema fuente original.
Datos obtenidos de formularios o encuestas en portales
web.
Datos resumidos en un informe o copiados en un documento, procedentes de una tabla.
Este tipo de evidencia afecta al grado de fiabilidad, as como a
la competencia del auditor para trabajar con ella y al enfoque de
la fiscalizacin. Igualmente afecta a los mtodos y procedimientos
utilizados para obtenerla, plantendose el problema de cmo recuperar, analizar y evaluar la evidencia informtica (en el captulo
47
48
Entre los riesgos inherentes a estos tipos de entornos figura la dependencia por parte de la entidad de su propio sistema informtico,
y de los de sus proveedores de servicios, junto con el riesgo de que
ocurra algn fallo en cada uno de estos niveles.
Otros riesgos a considerar son la prdida de integridad, la no autenticacin, el no reconocimiento y la violacin de la confidencialidad
de la informacin, as como la prdida de pistas de auditora y las
posibles dudas de carcter legal que puedan surgir.
A fin de poder valorar la fiabilidad de la evidencia informtica
recopilada para respaldar el informe de auditora, el auditor debe
considerar los riesgos especficos asociados al uso de este tipo de evidencia. Estos riesgos no pueden ser evaluados nicamente revisando
la evidencia documental, como suele hacerse con los documentos en
papel. La copia impresa de una informacin en soporte informtico o
la lectura de la informacin directamente de la pantalla del ordenador
es solamente un formato. Y ste no proporciona ninguna indicacin
del origen y autorizacin, ni tampoco garantiza la integridad ni la
integridad de la informacin. Los auditores deben asegurar que los
controles y las distintas tecnologas utilizadas para crear, procesar,
transmitir y guardar informacin en soporte informtico son suficientes para garantizar su fiabilidad.
La siguiente figura 2.1 muestra los criterios para valorar la fiabilidad24 de la informacin en soporte informtico como evidencia
de auditora.
Autenticacin
Integridad
Autorizacin
La informacin ha sido elaborada, procesada, modificada, corregida, enviada, recibida y se ha tenido acceso a ella por parte
de las personas con autorizacin o responsabilidad para ello.
Reconocimiento Una persona o entidad que haya recibido o enviado una infor(No repudio)
macin no puede negar haber intervenido en el intercambio
y rechazar el contenido de la informacin. Dependiendo de si
existen pruebas irrefutables del origen, recepcin o contenido
de la informacin en soporte electrnico, no se puede repudiar
el origen de sta, su recepcin ni su contenido.
Figura 2.1
24. Segn Going electronic de Andre Lavigne and Caroline mond, intoIT n.
19, febrero 2004.
51
Estos criterios podran utilizarse para valorar la fiabilidad de cualquier documento conteniendo informacin, bien en papel o en soporte informtico.
La importancia de cada criterio depende de la naturaleza y del
origen de la informacin electrnica y de su utilizacin para los propsitos de la auditora. Adems de valorar la fiabilidad de la evidencia
de auditora, el auditor debe investigar acerca de la disponibilidad
de la evidencia electrnica para los propsitos de la auditora. La
confidencialidad de los datos tambin es de inters para el auditor ya
que la violacin de la confidencialidad podra representar un riesgo
que podra afectar la situacin financiera de la entidad.
La fiabilidad de la informacin en soporte informtico depende de la
fiabilidad de los sistemas de informacin y de las tecnologas utilizadas.
Cuando se recopila, procesa graba o guarda en soporte informtico informacin significativa sobre una o ms manifestaciones sobre
los estados financieros de una entidad, puede resultar imposible reducir el riesgo de deteccin a un nivel aceptable confiando nicamente
en la aplicacin de procedimientos sustantivos. En tales casos, existe
un riesgo elevado de que no puedan ser detectadas manifestaciones
falsas contenidas en la informacin electrnica obtenida como evidencia de auditora. El auditor puede tener que adoptar un enfoque
combinado y examinar los controles para obtener unas evidencias
de auditora adecuadas.25
2.3.4. Propiedades diferenciadoras de la evidencia de auditora
informtica respecto de la auditora tradicional
La evidencia informtica se distingue de la evidencia de auditora
tradicional en varios aspectos. En primer lugar, consiste en informacin en formato digital cuya estructura lgica es independiente de
la informacin en s. En segundo lugar, el origen de la informacin,
el destino de sta, as como las fechas de envo y recepcin no son
parte integrante del documento electrnico, mensaje u otro formato
de informacin.
25. La US Government Accountability Office ha publicado en julio de 2009 una
gua denominada Assessing the Reliability of Computer-Processed Data que proporciona un marco para evaluar la fiabilidad de los datos obtenidos por procedimientos
informatizados para sus utilizacin en trabajos o auditoras no financieras (en las
auditoras financieras se debe seguir una metodologa como la descrita en el captulo
5 de este trabajo, que es ms completa que la descrita en la gua citada). La gua
de la GAO ayuda a disear procedimientos para evaluar la fiabilidad de los datos
utilizados para respaldar hallazgos, conclusiones o recomendaciones de los informes,
y evaluar los resultados obtenidos.
52
Disponibilidad y accesibilidad
Normalmente no es una restriccin durante Las pistas de auditora para la informacin
la fiscalizacin.
en soporte informtico puede que no estn
disponibles en el momento de la auditora
y el acceso a los datos puede resultar ms
difcil.
Firma
Es sencillo firmar un documento en papel y Se necesitan las tecnologas adecuadas
comprobar la firma.
para realizar una firma electrnica fiable y
revisarla.
Figura 2.2
26. Caroline mond, Electronic Audit Evidence, The Canadian Institute of Chartered Accountants, 2003.
53
Tipo de procedimiento
de auditora
Quien la obtiene y
evala
Informacin y datos
Recoleccin y anlisis
con CAAT
Auditor financiero
Programas y aplicaciones
Auditor informtico
Figura 2.3
Los procedimientos seguidos por el auditor en el conocimiento y evaluacin de los sistemas de control interno de la
entidad auditada.
El anlisis del riesgo inherente y de control.
El diseo y aplicacin por el auditor de las pruebas de cumplimiento y de los procedimientos sustantivos adecuados para
alcanzar los objetivos de la auditora.
El auditor puede utilizar tanto procedimientos manuales como
tcnicas de auditora asistidas por ordenador o bien una combinacin de ambos mtodos, al objeto de obtener dicha evidencia.
Sin embargo, en algunos sistemas contables que utilizan un ordenador para llevar a cabo aplicaciones significativas, puede ser
difcil o imposible que el auditor obtenga ciertos datos sin apoyo
informtico.
De acuerdo con la citada norma tcnica del ICAC el auditor debe
tener en cuenta el entorno informatizado en el diseo de los procedimientos de auditora necesarios para reducir el riesgo de auditora
a un nivel aceptable.
Los auditores debern tener evidencia suficiente y adecuada de
que los datos provenientes de sistemas informticos sean vlidos y
fiables cuando tales informaciones sean significativas para los resultados de la auditora.
Aunque deben efectuarse en todo caso pruebas sustantivas para
verificar transacciones y saldos de importe significativo, en determinadas situaciones (bsicamente, cuando una significativa cantidad
de informacin es iniciada, registrada, procesada y reportado informticamente), no ser posible reducir el riesgo de deteccin a un
nivel aceptable, realizando nicamente pruebas sustantivas.27 En
estas circunstancias el auditor probar los controles informatizados
para obtener evidencia de auditora sobre la eficacia del diseo y del
funcionamiento de los controles para reducir el riesgo de auditora
a un nivel aceptablemente bajo.
La decisin para adoptar un determinado enfoque de auditora no
depender tanto del tamao de la entidad auditada como del grado
de complejidad del entorno informatizado.
27. Vase pgina 509 del Federal Information System Controls Audit Manual (FISCAM), que se manifiesta en el mismo sentido que la ISA 330.
55
La metodologa GAIT30
Adems de los cuatro principios se cre la metodologa que permitiera implementarlos. Esta metodologa da a los gestores y a los
auditores una gua sobre el alcance de la revisin de los controles
generales TI.
La metodologa ayuda a examinar cada aplicacin significativa
para la informacin financiera y a determinar si fallos en los controles
generales TI en cada nivel de la infraestructura TI representa una
amenaza probable para las funcionalidades crticas de la aplicacin.
Si un fallo es probable, GAIT identifica los riesgos en detalle y los
objetivos de los controles generales TI que si se alcanzan, mitigan
esos riesgos.
2.5.7. Normas de Auditora de Sistemas de Informacin de ISACA
Information Systems Audit and Control Association (ISACA)
es una asociacin reconocida mundialmente, dedicada al desarrollo
de los conocimientos relacionados con la seguridad y auditora de
los sistemas de informacin, el gobierno TI de la empresa, los riesgos relacionados con las TI y el cumplimiento. Fundada en 1969,
ISACA desarrolla estndares internacionales de auditora y normas
de control.
ISACA aprob las Normas de Auditora de Sistemas de Informacin, de aplicacin obligatoria para los auditores de sistemas de
informacin con la certificacin CISA (Certified Information Sistems
Auditor) que gestiona y concede la propia asociacin ISACA. Estas
normas son:
S1 Estatuto de auditora
S2 Independencia
S3 Etica y normas profesionales
S4 Competencia profesional
S5 Planeacin
S6 Realizacin labores de auditora
S7 Reporte
S8 Actividades de seguimiento
S9 Irregularidades y acciones ilegales
S10 Gobernabilidad de TI
S11 Evaluacin de riesgos en la planeacin
30. The GAIT Methodology, The IIA, enero 2007.
59
S12 Materialidad
S13 Uso de otros expertos
S14 Evidencia de auditora
2.5.8. COBIT
CobiT (Control Objectives for Information and Related Technology) es un marco conceptual para el buen gobierno de las tecnologas de la informacin, que fue desarrollado originalmente en 1994
por ISACA. La versin 4.1 de CobiT fue publicada en 2005 por el
IT Governance Institute (ITGI).
CobiT es una referencia de control interno sobre procesos informticos internacionalmente aceptada. Se utiliza como metodologa
para definir y monitorizar el control interno relacionado con los
sistemas de informacin de las entidades y tambin como metodologa de auditora.
Define procesos relacionados con la funcin informtica as
como los elementos de control, buenas prcticas, gestin y auditores.
Desde un punto de vista prctico, tiene que ser adaptado en
funcin del tamao y la misin de la organizacin. El Tribunal de
Cuentas Europeo ha desarrollado para aplicar esta metodologa la
herramienta ECACOBIT, que se comentar ms adelante.
El marco de trabajo general CobiT se muestra grficamente
en la figura siguiente, con el modelo de procesos de CobiT compuesto de cuatro dominios que contienen 34 procesos genricos,
administrando los recursos de TI para proporcionar informacin
al negocio de acuerdo con los requerimientos del negocio y de
gobierno.
60
Determinar el efecto del entorno informatizado en la evaluacin del riesgo global y del riesgo a nivel de saldos y de
tipos de transacciones.
Disear y aplicar las adecuadas pruebas de cumplimiento y
procedimientos sustantivos.
Si el auditor considera que s se requieren conocimientos especializados, deber obtener el apoyo de un profesional que los posea,
bien de su organizacin, bien ajeno a la misma.
En el caso de utilizar la ayuda de profesionales externos especializados, se deber tener en cuenta el contenido de la Norma Tcnica
de Auditora sobre la utilizacin de expertos independientes.
Adems de la colaboracin de expertos que se considere necesaria, el auditor responsable de la auditora financiera debe tener los conocimientos suficientes que le permitan comunicar los
objetivos del trabajo a los auditores informticos, evaluar si los
procedimientos especficos de revisin de controles estn alineados
con los objetivos generales de la auditora, y evaluar los resultados
obtenidos.31
2.6.2. Formacin mnima del auditor financiero
a) IFCA
Segn la International Education Guideline n. 11 de la IFAC
Information Technology for professional accountants, un auditor debe
tener un conocimiento razonable de las principales tcnicas de auditora asistida por ordenador, sus ventajas, requisitos y limitaciones y
debe ser capaz de usar al menos un programa de anlisis y extraccin
de datos (como ACL o IDEA) y un programa de gestin de papeles
de trabajo electrnicos (como TeamMate, Autoaudit, Pantana o
Caseware Working Papers). Adems de manejar internet, el correo
electrnico, agenda electrnica y, por supuesto, hoja electrnica y
tratamiento de textos.
b) Perfiles establecidos por el The Institute of Internal Auditors
(The IIA)
En la Global Technology Audit Guide n. 1: Information Technology Controls se incluye un anexo sobre Las tres categoras de
conocimientos TI para los auditores internos identificadas por el
Comit Internacional de Tecnologa Avanzada del IIA, donde se dan
31. FISCAM, pgina 502.
62
65
Sistemas de informacin
y control interno
67
Aplicaciones de negocio
Elementos automatizados de los procesos
de la entidad, las aplicaciones informticas
propiamente dichas
Controles
de
aplicacin
Controles
generales
Sistemas TI de base
Bases de datos, middleware, etc.
Sistemas operativos
Infraestructura fsica
Elementos materiales de la infraestructura TI.
INFRAESTRUCTURA TI
Figura 3.1
71
Figura 3.2
32. Guidelines on how to integrate IT AUDIT within the audit process-ECACIT, Tribunal
de Cuentas Europeo. Versin en espaol de Ignacio Calleja Ruiz, Auditor informtico
del Tribunal de Cuentas Europeo presentada en el Seminario de Maspalomas, julio de
2007, en Fiscalizacin en un entorno de @-Administracin.
73
significativa no detectada una vez que la auditora ha sido completada. Es inevitable que exista algn grado de riesgo de auditora.
Puede controlarse en gran medida el riesgo de auditora variando
la naturaleza y alcance de los procedimientos de auditora. Al hacerlo,
debe tenerse en cuenta que no es apropiado realizar trabajo adicional
para obtener mayor satisfaccin de auditora de la que sea:
a) posible, debido a la subjetividad inherente de las cuentas
anuales o
b) justificada, si el costo de una mayor satisfaccin de auditora
excede el valor para los usuarios de las cuentas anuales.
Debe reconocerse tambin que un mayor trabajo de auditora no
siempre reduce el riesgo de un error o irregularidad significativa a un
nivel adecuadamente bajo; por ejemplo, cuando surgen dudas acerca
de la integridad de la gerencia o cuando hay insuficiente evidencia
disponible sobre un hecho que implica un muy alto grado de subjetividad. En estos casos, sera conveniente considerar una salvedad
en el informe de auditora.
El tamao o naturaleza de lo que es considerado importante debe
ser evaluado en base a la percepcin de las necesidades o del probable
efecto para una persona razonable que utiliza las cuentas anuales. El
riesgo se define en trminos de errores o irregularidades significativas. Por consiguiente, una evaluacin del riesgo slo puede hacerse
despus y dentro del contexto de la evaluacin de la materialidad
para las cuentas anuales en su conjunto.
3.4.2. Componentes del riesgo de auditora
El riesgo final del auditor es una combinacin de tres riesgos
diferentes:
a) Riesgo inherente
El riesgo inherente es la posibilidad inherente a la actividad de la
entidad de que existan errores o irregularidades significativas en el
proceso contable, del cual se obtienen las cuentas anuales, antes de
considerar la efectividad de los sistemas de control.
Este riesgo vara entre los componentes. Por ejemplo, reas como
la de existencias/costes, que incluyen clculos complicados, tienen
ms posibilidades de ser mal expresadas que las que contienen clculos sencillos; el efectivo y los ttulos al portador son ms susceptibles
de prdida o manipulacin que las acciones nominativas; las reas que
resultan de criterios gerenciales subjetivos tales como el deterioro de
79
Naturaleza de los productos y servicios, incluyendo su facilidad de comercializacin, volatilidad y susceptibilidad a desfalcos; naturaleza de la industria, circunstancias econmicas
y tendencias de negocios; polticas y prcticas financieras;
estructura operativa y departamentos administrativos. Situacin de equilibrio o desequilibrio presupuestario.
80
Gerencia
Ejecutivos dominantes con pocos lmites reales de autoridad; inters excesivo en el efecto que sobre los resultados
pueden tener las alternativas contables, excesiva presin
poltica.
Sistemas de control
Personal
Cantidad insuficiente de personal que requiere que los empleados trabajen horas extra o durante las vacaciones; alto
rendimiento de los puestos financieros clave, formacin insuficiente en puestos clave.
Asesores
Empresas vinculadas
Transacciones significativas con empresas vinculadas; empresas vinculadas auditadas bajo circunstancias que no son
efectivas.
Estructura societaria
Otras consideraciones
84
Anuncio prematuro de los resultados del perodo o expectativas externas; los procedimientos analticos sealan fluctuaciones significativas que no pueden ser explicadas en forma
razonable; respuestas evasivas o no razonables de parte de
la gerencia a las indagaciones de auditora; retencin de evidencia de auditora; asientos inusuales o sin, explicacin,
Adems, la posibilidad de que algunas personas no autorizadas accedan a datos o los alteren sin que haya pruebas visibles
de ello puede ser mayor con un sistema informtico que con
un sistema manual.
86
La facilidad que los sistemas informticos ofrecen para procesar y analizar grandes cantidades de datos brinda al auditor
la oportunidad de aplicar herramientas y tcnicas generales o
CAAT especializados, como instrumentos para la ejecucin
de pruebas de auditora.
88
En la planificacin detallada, debe considerarse ms detalladamente los factores de riesgo inherentes y de control
importantes para cada componente y su impacto sobre las
manifestaciones individuales, y luego reconsiderar si las evaluaciones preliminares son apropiadas.
Las evaluaciones del riesgo inherente se realizan en base al conocimiento de auditora acumulado, indagaciones, actualizaciones de
sistemas y procedimientos de diagnstico. Cuando se posee menos
conocimiento sobre la actividad de la entidad, sus sistemas y otras caractersticas, como en un trabajo de auditora por primera vez, las evaluaciones sobre el riesgo en la planificacin deben ser ms cuidadosas.
Para cada componente se debe documentar los factores de riesgos
inherentes y de control que, a criterio del auditor, influyen significativamente en la determinacin de la estrategia y la seleccin de los
procedimientos de auditora.
Los miembros del equipo de auditora deben comprender la razn
por la cual se realizan mayores esfuerzos en algunas reas de auditora
que en otras, de forma tal que puedan reaccionar adecuadamente
cuando sus hallazgos se contraponen con la evaluacin del riesgo
en el plan de auditora.
El plan de auditora debe registrar las razones por las cuales es
necesario el nfasis de auditora en determinadas reas, mediante
la identificacin de los riesgos particulares, o en caso contrario las
circunstancias que justifican el menor nfasis de auditora. Sin embargo, no es esencial que todos los aspectos del riesgo sean docu89
A las tres clases de controles anteriores cabe aadir los compensatorios. Un control compensatorio, si es efectivo, puede limitar la
gravedad de una deficiencia de control interno y prevenir que se
convierta en una deficiencia significativa o en una debilidad material.
Estos controles limitan la gravedad de una deficiencia, pero no la
eliminan.
3.5.2. Tipos de controles
a) Controles generales
Los controles generales son las polticas y procedimientos que se
aplican a la totalidad o a gran parte de los sistemas de informacin de
91
Enfoque y planificacin de
la auditora de sistemas
de informacin integrada
en una auditora financiera
97
Derechos y obligaciones
Acaecimiento
Integridad
Valoracin
Medicin
Presentacin y desglose
contiene la informacin necesaria y suficiente para la interpretacin y comprensin adecuada de la informacin financiera
auditada.
Por otra parte, de acuerdo con las definiciones incluidas en la
Gua de auditora del Registro de Economistas Auditores, una manifestacin errnea significativa es una incorreccin de importancia relativa en las cuentas anuales que se deriva de errores o irregularidades.
Se usa el trmino de manifestacin errnea porque la incorreccin
se refiere a una de las afirmaciones contenidas en las transacciones,
hechos contables o los saldos de cuentas que integran las cuentas
anuales.
El riesgo de manifestaciones errneas significativas (RMES) es
el riesgo de que al menos una de las manifestaciones contenidas en
las transacciones, hechos contables, saldos de cuentas o revelaciones
en la memoria que integran las cuentas anuales sea errnea y cuyo
efecto, individual o acumulado, afecte de forma significativa a las
cuentas anuales.
4.1.2. El enfoque ABAR segn las Normas internacionales de
auditora
Las Normas Internacionales de Auditora revisadas y las International Standards of Supreme Audit Institutions (ISSAI) 1315 y
1330 emitidas por INTOSAI (que se basan en aqullas), explicitan
mucho ms este concepto y exigen que el auditor realice sus auditoras basndose en el risk-based approach to auditing o enfoque de
auditora basado en el anlisis de los riesgos (ABAR).
De acuerdo con este enfoque,43 en una ABAR, el objetivo del
auditor es obtener una seguridad razonable de que no existen manifestaciones errneas significativas en las cuentas anuales causadas
por errores o irregularidades. Esto implica tres pasos:
1. Evaluar el riesgo de manifestaciones errneas significativas
en las cuentas anuales;
2. Disear y ejecutar los procedimientos de auditora precisos
en respuesta a los riesgos evaluados y reducir el riesgo a un
nivel aceptablemente bajo, y
3. Emitir un adecuado informe escrito basado en la evidencia
de auditora obtenida y en las incidencias de auditora detectadas.
43. Vase la Guide to Using International Standards on Auditing in the Audits of
Small- and Mediumsized Entities (pgina 27) de la IFAC.
101
Integridad
102
Nivel: CCAA
Saldos de
cuentas
Inmovilizado
Clases de
transacciones
Figura 4.1
Acreedores
Ingresos
Presentacin
y revelaciones
Nivel:
Manifestaciones
Tesorera
Contingencias
Gastos
Contratacin
E
I
F
V
Figura 4.1
Se analizarn las cuentas anuales para orientar los procedimientos de auditora sobre los procesos de negocio y las correspondientes aplicaciones informticas que guarden relacin con
reas significativas de las cuentas anuales auditadas y sus riesgos
asociados. Este anlisis liga las principales reas contables a los
procesos de negocio pertinentes, y determina los flujos de tratamiento de los datos y las principales aplicaciones que soportan
esos flujos de datos.
Una vez identificadas las principales aplicaciones, el auditor se
interesar en la calidad del sistema de control. En primer lugar analizar si su diseo est adaptado a la situacin real de los riesgos de
los procesos de negocio y finalmente si los controles previstos estn
implementados y funcionan con eficacia.
La evaluacin del sistema de control interno de los procesos de
negocio significativos para la auditora permite al auditor saber si
puede apoyarse y confiar en los procedimientos de elaboracin de
las cuentas anuales y en funcin de los resultados de las pruebas de
cumplimiento, definir la extensin de los procedimientos sustantivos
de auditora suplementarios que deber efectuar.
4.1.3. Enfoque integrado y equipo pluridisciplinar
En una entidad que opera en un entorno informatizado, la calidad de la informacin financiera depende en gran medida de la
calidad de los procesos de negocio y de los flujos de procesamiento
de los datos relacionados. Es por tanto lgico que el auditor centre
su trabajo sobre los procesos de negocio que sean significativos
103
El alcance de la auditora.
Las reas crticas a estudiar.
Procedimientos principales.
Personal necesario.
Etc. (ver apartado 4.7).
Actividades de planificacin
La planificacin es un proceso iterativo que debe mantenerse
abierto durante toda la auditora (por ejemplo, los resultados de alguna prueba de auditora pueden hacer cambiar determinado enfoque
de auditora; se poda haber previsto confiar en los controles clave,
pero los resultados han sido malos y se decide aumentar el alcance
de las pruebas sustantivas).
No obstante, las actividades de planificacin se concentran al
principio del trabajo, en la fase de planificacin, durante la cual el
objetivo es obtener una adecuada comprensin de la entidad y de sus
actividades, incluyendo su sistema de control interno, identificar y
evaluar los riesgos, y disear la naturaleza, extensin y el momentos
para ejecutar los procedimientos de auditora.
Entre las actividades a realizar (relativas a los sistemas de informacin), estn:
Comprender los objetivos globales y el alcance de la auditora
de sistemas de informacin.
La comprensin de la actividad de la entidad, de los principales procesos de negocio y del sistema de control interno.
Obtener una comprensin general de la estructura de las
redes de la entidad.
Identificar las reas clave de inters para la auditora (archivos,
bases de datos, aplicaciones, sistemas).
Evaluar el riesgo preliminar de los sistemas de informacin.
Identificar puntos crticos de control.
Obtener una comprensin preliminar de los controles TI.
Estudiar la necesidad de que participen expertos en auditora
de sistemas de informacin (internos o externos).
Hacer un plan de revisiones plurianual.
Normalmente todas estas actividades no se podrn realizar en el
orden anterior, sino en funcin de las circunstancias
El auditor planifica su trabajo para definir un mtodo efectivo y
eficiente para obtener la evidencia necesaria que respalde los obje112
Informacin
financiera
Universo TI
RMES
Estos riesgos dependern, entre otras cuestiones, de la complejidad del entorno TI.
b) Adems debe determinar cules de esos riesgos son relevantes, es decir cules pueden ocasionar un riesgo de manifestaciones errneas significativas (RMES). En el grfico anterior
estn representados por la interseccin de los tres conjuntos
(sealada con una flecha azul).
49. What every auditor IT should know about scoping an IT audit, Tommie W.
Singleton, ISACA Journal, vol 4, 2009.
115
La materialidad incluye factores tanto cuantitativos como cualitativos relativos al objeto de la auditora. Por ejemplo, un sistema
puede procesar transacciones de importes muy bajos, pero puede
contener informacin confidencial o proporcionar vas de acceso a
otros sistemas que contienen informacin confidencial o quiz significativa; ambas cuestiones deben ser consideradas al decidir si una
posible incidencia es material.
A los efectos de la revisin de controles internos, se utilizarn los
siguientes conceptos y definiciones: 51
Deficiencia de control interno
Una deficiencia de control interno existe cuando el diseo o el
funcionamiento de un control no permite al personal de la entidad
o a su direccin, en el curso ordinario de las operaciones, prevenir o
detectar errores o irregularidades en un plazo razonable:
Existe una deficiencia en el diseo del control cuando: (a) un
control necesario para alcanzar el objetivo de control no existe o (b) un control existente no est adecuadamente diseado
de forma que si funciona como est diseado, la actividad de
control no siempre se realiza.
Existe una deficiencia de funcionamiento cuando un control
adecuadamente diseado no opera tal como fue diseado o
cuando la persona que lo ejecuta no posee la necesaria autoridad o cualificacin para realizarlo eficazmente.
Deficiencia significativa
Una deficiencia significativa es una deficiencia en el control interno, o una combinacin de deficiencias, que afectan adversamente la
capacidad de la entidad para iniciar, autorizar, registrar, procesar o reportar informacin financiera de forma fiable de conformidad con los
principios o normas contables y/o presupuestarias aplicables, y existe
una probabilidad que es ms que remota,52 de que una manifestacin
53. Incidencias claramente triviales son aquellas cuestiones sin trascendencia a nivel individual y de conjunto, ya sean juzgadas con criterios de cuanta, de naturaleza
o atendiendo a las circunstancias que las rodean. (Fuente: Manual de fiscalizacin de
la Sindicatura de Cuentas de la Comunidad Valencia Seccin 230. www.sindicom.
gva.es/web/valencia.nsf/documento/manual_de_fiscalizacion)
118
119
En primer lugar se realizarn los procedimientos iniciales de planificacin y conocimiento de la entidad y anlisis de los controles
generales:54
Anlisis de las CCAA auditadas (5.1)
Comprender la actividad de la entidad y los
principales procesos de negocio.
Obtener antecedentes: Se utilizar el
cuestionario inicial.
Parecen
efectivos los CG?
NO
S
Realizar pruebas detalle de
Controles Generales
relevantes (a nivel entidad,
sistema y aplicaciones)
Utilizar ayuda
especializada
para las reas
tcnicas
Realizar pruebas
sustantivas.
Desarrollar incidencias
Son efectivos
los CG?
NO
Informar de los
resultados
STOP
Los nmeros entre parntesis hacen referencia a los correspondientes captulos de este trabajo.
NO
SI
No modificar la evaluacin del
riesgo de control
STOP
Hecho por el auditor consultando al especialista en controles TI
Hecho por el especialista en controles TI consultando al auditor
125
Metodologa de auditora
de sistemas de informacin
127
negocio y de los flujos de procesamiento de datos para poder identificar y evaluar los riesgos en el seno de cada uno de ellos.
La trazabilidad y la fiabilidad de la informacin producida por
un sistema de informacin financiera son dos elementos clave de
los sistemas de control interno. Con esa finalidad hay que conocer
a fondo, entre otros, los aspectos siguientes:
Identificar los flujos de datos. Es necesario tener una visin
global de la circulacin de los datos a lo largo de todo el
proceso analizado, desde su captura inicial, tratamientos,
hasta su archivo final. Esta visin se desprende del anlisis
de los procesos, incluyendo la identificacin de las bases de
datos que intervienen y las operaciones que se realizan para
transferir los datos procesados y las operaciones que se realizan para transferir los datos de una base de datos a otra.
Identificar los controles. A lo largo del flujo de los datos a
travs del proceso se establecen una serie de controles sobre
la integridad, confidencialidad y disponibilidad de los datos
(este aspecto se estudia en los siguientes captulos de este
trabajo).
Revisar pistas de auditora (trazabilidad). La finalidad es localizar una informacin o un dato a partir de otro, resultante
de una aplicacin informtica lgica y fsicamente alejada. As,
es posible por ejemplo, a partir del saldo de una cuenta del
balance, obtener un detalle de sus movimientos, y de cada
uno de stos el apunte contable realizado y la referencia a
los documentos que originaron el movimiento contable. La
ausencia de pistas de auditora es una debilidad del control
interno.
5.2.2. Objetivos
Los objetivos de esta etapa de la auditora son:
Comprender la actividad de la entidad y los principales procesos de negocio.
La identificacin de los procesos de negocio que estn en el
origen de las transacciones y clases de transacciones significativas identificadas en la etapa anterior.
5.2.3. Definiciones
Un proceso de negocio o proceso de gestin consiste en una serie
de actividades, operaciones o funciones (manuales, semiautomticas o
132
automatizadas) llevadas a cabo por una entidad, que sirven para llevar
a cabo su misin y desarrollar su actividad (la elaboracin de productos o el suministro de servicios) o el tratamiento de la informacin.
Un proceso tiene un punto de inicio y otro de finalizacin claros y
generalmente intervienen varios departamentos de la entidad.
Los procesos de negocio pueden clasificarse en tres grupos:
Procesos relacionados con la misin o actividad de la entidad: gestin de subvenciones, gestin de historias mdicas,
tramitacin del IRPF, matriculacin universitaria, compras,
ventas, etc.
Procesos financieros: cobros, pagos, nminas, etc.
Procesos de apoyo: que agrupan todas las funciones de apoyo a la puesta en marcha y a la explotacin de los procesos
operativos: gestin de recursos humanos, mantenimiento de
inventario de inmovilizado, contabilidad, etc.
Un subproceso o funcin es un subconjunto de actividades o tareas,
realizadas por un empleado o funcionario para llevar a cabo una parte
de sus responsabilidades, que producen un resultado u output.
Por procesos de negocio significativos, a los efectos de la auditora, se entiende los principales procesos que tienen una influencia
directa sobre el flujo de tratamiento contable y la formacin o valoracin de componentes significativos de las cuentas anuales.
Una aplicacin de negocio es una combinacin de hardware y
software usada para procesar informacin de la actividad de la entidad. Puede dar soporte a uno o varios procesos de negocio.
5.2.4. Procedimientos de auditora
a) Comprensin de la actividad de la entidad
Comprender la actividad y el funcionamiento de la entidad (tarea
ya iniciada en la etapa anterior) y de los principales procesos de negocio, incluye entender cmo se emplean las aplicaciones informticas
para soportar los procesos de negocio, ya que tiende a variar de una
entidad a otra.
b) Identificacin de los procesos de negocio significativos
Partiendo de las clases de transacciones significativas identificadas en la etapa anterior, el auditor debe identificar los procesos de
negocio significativos que influyen en sus importes o en sus saldos
contables.
133
El concepto de materialidad tratado en el captulo 4.5, puede ayudar al auditor a determinar qu componentes de las cuentas anuales
y que aplicaciones relacionadas son significativas para los objetivos
de la auditora.
Para comprender mejor la actividad de la entidad es conveniente
desagregar los procesos complejos en subprocesos.
Veamos varios ejemplos:56
Procesos
Subprocesos
Gastos de personal
Compras
Concesin de subvenciones56
Ventas-facturacin
Concesin de prstamos
Aprobacin RPT
Modificacin RPT
Altas de personal
Elaboracin de la nmina
Pago nmina
Contabilizacin de la nmina
Gestin de datos maestros de proveedores
Gestin de datos maestros de materiales
Mantenimiento de contratos marco
Gestin de compras
Entrada de mercancas
Recepcin de facturas
Gestin de pagos
Contabilizacin de compras
Imputacin de costes
Inicio
Instruccin
Finalizacin
Pago
Gestin de datos maestros de clientes
Gestin de datos maestros de productos
Mantenimiento de contratos marco
Gestin de ventas
Gestin de inventario y entrega
Emisin de facturas
Gestin de cobros
Contabilizacin de ventas
Solicitud
Aprobacin
Transferencia del efectivo
Importe
(Mill. euros)
Proceso
Input
Output
Ventas
650,7
Ventas/ Facturacin
Contratos
y pedidos
Facturas
Compras
390,0
Aprovisionamiento
Pedidos
Alta inventario
Gastos
de personal
92,1
Gestin personal
Plantilla
Nmina
Amortizaciones
20,0
Cierre contable
Inventario de
Amortizaciones
inmovilizado
Figura 5.1
135
2. Elaborar una representacin detallada de cada proceso, mediante diagramas que muestran el encadenamiento de las actividades y los principales flujos de datos, las tareas manuales
y automatizadas.
Conviene distinguir los procesos de negocio (p.e. ventas) de los
procesos financieros y de apoyo, a veces muy puntuales (p.e. consolidacin mensual de las cifras de delegaciones; clculo anual de las
amortizaciones). Ambas categoras de procesos comportan riesgos
susceptibles de materializarse en las cuentas anuales.
Aunque la elaboracin de un mapa general de procesos y aplicaciones puede realizarse de distintas formas, siempre debe hacerse de
forma conjunta por el auditor financiero y el auditor informtico,
ya que es necesario adoptar un enfoque pluridisciplinar para obtener la mxima comprensin del sistema de informacin financiera
auditado.
La documentacin debe elaborarse con claridad, de forma consistente, empezando por una visin general y ampliando el grado
de detalle hasta llegar a la descripcin de los procedimientos de
control.
Cuestiones a preguntar
Para documentar el trabajo y elaborar un mapa de procesos se
debe obtener informacin mediante entrevistas a los responsables de
los principales procesos de negocio y al personal que interviene en los
mismos. Estas ltimas es mejor posponerlas hasta que se haya obtenido una visin de alto nivel de cada proceso completo; si se entrevista
al personal que interviene en un proceso antes de que el auditor lo
comprenda, se corre el riesgo de describir mucha ms informacin
de la necesaria, perder mucho tiempo y ser ineficiente.
En las entrevistas iniciales es necesario que las preguntas se dirijan
a obtener informacin relevante, que permita comprender el negocio
y crear un diagrama completo y de alto nivel del proceso revisado.
Se deber obtener una visin global de los objetivos del negocio o
actividad de la entidad, sus principales funciones, principales sistemas,
relaciones crticas, interdependencias, cmo se generan los ingresos,
principales tendencias de la actividad.
Un inventario as elaborado constituye una base de trabajo indispensable que permitir a los auditores financieros e informticos
poner en comn sus anlisis de los riesgos, identificar los flujos de
datos e informacin, iniciar la elaboracin del mapa de procesos y
concretar los procedimientos de auditora a efectuar.
137
Figura 5.2
Figura 5.3
Corporate
Network
Demilitarized
Zone
Firewall
Hub or
switch
Hub or
switch
File/Print
server
Mail server
Workstations
Web server
140
SMTP relay
dades relacionadas y de aplicaciones informticas. Cada partida presupuestaria o cuenta significativa puede estar afectada o influida por
inputs de una o varias aplicaciones (origen de cargos y abonos).
Interfaces
Un anlisis completo de un sistema de informacin debe tener en
cuenta tanto los flujos de datos y documentos como las interfaces.
Una interfaz es una conexin entre dos dispositivos, aplicaciones o
redes, mediante la que se intercambia informacin. Tambin se utiliza
este trmino para referirse a la parte de un programa que interacta
con el usuario (la interfaz de usuario).
El objetivo de esta etapa de la auditora es comprender los flujos
de la informacin y de los datos entre distintas funciones, aplicaciones
o sistemas, no solo electrnicos sino tambin manuales. Las interfaces entre aplicaciones y entre bases de datos requieren una atencin
especial, en particular las relacionadas con aquellas aplicaciones con
impacto en las cuentas anuales.
Incluso los entornos ERP muy integrados a menudo requieren
complicadas interfaces para intercambiar informacin con otras aplicaciones distribuidas, como los sistemas de internet.
Las interfaces suelen ser gestionadas con tecnologa middleware,58
que acta como un elemento central de comunicacin y coordinacin de aplicaciones, bases de datos e interfaces.
A pesar de que las interfaces y el middleware juegan un importante papel en el proceso de las transacciones, en muchos casos no
se incluyen, errneamente, en el plan de la auditora. Debe tenerse
presente que su mal funcionamiento puede afectar a todo el sistema,
lo que representa un riesgo a considerar.
b) Informacin a obtener sobre las aplicaciones de negocio e
interfaces
Basndose en entrevistas mantenidas con el personal de la entidad
y con otra informacin obtenida, el auditor determinar las aplicaciones TI que son la fuente de la informacin de las cuentas anuales.
Por ejemplo, las aplicaciones que contienen registros auxiliares de
las cuentas a cobrar, inmovilizado y cuentas a pagar, por lo general
ofrecen informacin detallada para pruebas y respaldo para los saldos
58. Middleware: Software que permite la compatibilidad entre las infraestructuras
tecnolgicas (fundamentalmente los SGBD) y las aplicaciones de negocio. Tambin
permite la intercomunicacin de datos entre aplicaciones o sistemas diferentes.
143
144
Epgrafe
Importe
(Millones
de euros)
Ventas Facturacin
650,7
Contabilidad
Compras
Gastos de
personal
Amortizaciones
390,0
Aplicaciones
Proceso
Bases de datos
Sistemas operativo
Ventas/
Desarrollo
Oracle 9i
Ticketing
J. Gmez
Facturacin
propio
v9.2.0
Contabilidad SAP R/3
Estndar A. Arias
Plataforma
hardware
Solaris 3.2
HP9000
DB2 400
OS400
AS400
Aprovisionamiento
SAP R/3
OS400
AS400
Gestin
personal
People Soft
Estndar
Oracle 9i
A. Martn
adaptada
v9.2.0
W Server
2003
HP9000
Control de
presencia
WinPlus
Estndar A. Martn
Oracle 9i
v9.2.0
W Server
2003
HP9000
Cierre
contable
Access
2007
Ofimtica A. Arias
Access
2007
W Vista
PC
92,1
150,0
20,0
En esta tabla se intentar relacionar las principales cuentas o epgrafes de las cuentas anuales con su correspondiente proceso de
145
Tipo
Tipo
Listas Evaluacin
de Frecuencia
de
de los
Origen Destino flujo
error
riesgos
Aplicaciones
Figura 5.7
Inputs.
Informes emitidos.
Pasos del procesamiento de los datos
Archivos y bases de datos usadas.
Unidades involucradas.
Interfaces con otros procesos y aplicaciones.
Principales controles.
Son herramientas que permiten tener una visin general del sistema de informacin de la entidad, con la finalidad de comprender
su funcionamiento ms fcilmente y ayudan a disear los procedimientos de auditora a efectuar.
Un mapa de procesos proporciona una sinopsis de las actividades
clave realizadas en el proceso revisado y debe permitir identificar los
principales riesgos y las funciones que requieren atencin especial.
Pueden abarcar varios departamentos.
Pueden acompaarse de informacin complementaria sobre los
controles (como una tabla de segregacin de funciones). La combinacin de ambas herramientas (grfico y tabla) proporciona una
gran informacin sobre un determinado proceso.
Un ejemplo de flujograma que representa un proceso especfico
puede verse en las figuras 4.3 y 4.4, que representan el proceso de
una auditora.
La elaboracin de un mapa de procesos (general o especfico) es
un proceso iterativo que se inicia elaborando un borrador y puede
147
Decisin
Tratamiento de
datos
Entrada /
Salida
Base de
datos
Conector
a otra
pgina
Operacin
manual
Flujo de datos
Documento
Final
Adems de estos smbolos que representan los distintos puntos y actividades del proceso de negocio, posteriormente, al
identificar los riesgos y controles, se deber sealar su ubicacin en el proceso/flujograma, por ejemplo as:
Riesgo:
R001
Control clave:
C001
Solicitud
de ayuda
Recepcin de la
documentacin
R001
C001A
Revisin de la
documentacin
Subsanacin
No
Est
completa?
S
Registro de
entrada
SAP
Grabacin en
SAP
Revisin datos
en SAP
Completar datos
por el Ayunt.
C001B
R002
C002
Siguiente fase:
Evaluacin
Figura 5.8
151
Deben sealarse en el flujograma y anotarse para su posterior anlisis los riesgos y controles identificados en esta fase. Posteriormente
se completar esta informacin.
Riesgos
R001
R002
Los datos
introducidos
en la solicitud
no son vlidos
Controles clave
C001A
C001B
C002
Figura 5.9
Dominio Windows
Server
SAP
DB2 Linux
N.D. N.D.
Caducidad
90 das
62
720
N.D. N.D.
Histrico
4 contraseas
recordadas
Nmeros, letras
y alfanumricos
Deshabilitado
Cambio en primer
inicio de sesin
N.D. N.D.
Mximo nmero
accesos errneos
5 accesos
errneos
N.D. N.D.
Suspensin de cuenta
tras inactividad
Despus de 90
das sin uso
Deshabilitado
Tiempo de inactividad
para bloqueo
10 minutos
10 minutos
Parmetro
Longitud mnima
Complejidad
N.D. N.D.
N.D. No definido
Figura 5.10
servicio especfica, comporta riesgos diferentes, inherentes a esa actividad y susceptibles de perjudicar o impedir alcanzar los objetivos.
Los controles de aplicacin tienen por finalidad asegurar un procesamiento adecuado y seguro de las transacciones y de garantizar
la exactitud de los resultados. En consecuencia, los controles juegan
un papel central en la realizacin de los objetivos de la entidad, de
la proteccin del patrimonio, de la exactitud y de la fiabilidad de la
contabilidad y del respeto a las normas.
Con los controles aplicativos la entidad garantiza la captura exhaustiva, exacta y verificable de todas las transacciones as como el
tratamiento, registro y la edicin de estas por el sistema de informacin.
Estos controles se extienden sobre el conjunto del proceso de
negocio o actividad cubierto por la aplicacin. Su comprobacin
proporcionar confianza nicamente sobre aquellas transacciones
concretas procesadas por esa aplicacin.
b) Exhaustividad de la revisin de los controles
La identificacin de los controles existentes en las aplicaciones
no es suficiente por s mismo; es necesario considerar tambin los
riesgos inherentes y los controles existentes en las interfaces, en los
parmetros y en los datos maestros.
Todos los controles importantes ligados a las aplicaciones, que
tengan una influencia directa sobre el resultado del proceso, deben
ser tenidos en cuenta, tanto los manuales como los automticos.
Tambin debe ser evaluada con carcter previo la eficacia de los
controles que tengan una influencia indirecta sobre el funcionamiento de los controles clave de la aplicacin (principalmente los
controles generales TI).
c) Dependencia de los controles generales
La eficacia de los controles de aplicacin depende de la eficacia
de los controles generales al nivel de la entidad y al nivel del sistema. Debilidades en los controles generales a esos niveles pueden
permitir cambios no autorizados en las aplicaciones de negocio y
en los datos que pueden perjudicar la eficacia de los controles de
aplicacin.
De una forma visual, vemos que unos controles generales dbiles
no protegen ni posibilitan de forma eficaz el buen funcionamiento
de los controles de las aplicaciones:
160
Sin embargo unos controles generales slidos y eficaces, proporcionan un entorno adecuado para el buen funcionamiento de los
controles de las aplicaciones:
Por ejemplo: los controles de una aplicacin de ventas-facturacin pueden estar bien diseados y correctamente implementados,
pero si no hay controles sobre los accesos directos a las tablas de las
bases de datos que soportan y registran los datos y transacciones de
la aplicacin, aquellos controles son intiles.
La ISA 330 establece63 que al disear y ejecutar pruebas de controles el auditor determinar si los controles a comprobar dependen
a su vez de otros controles (controles indirectos), y si es as, si es
63. ISA 330, prrafo 10 (b).
161
168
Interfaces
Datos maestros
Permisos
Procesamiento
***
**
*
*
*
***
***
***
***
*
*
***
Segn este cuadro, los permisos y las interfaces son los principales
factores a considerar en materia de integridad. El procesamiento
afecta principalmente a la valoracin, etc.
64. Fuente: Prise en compte de lenvironement informatique et incidente sur la dmarche daudit, CNCC, 2003, (pag. 65).
169
Adems debe recoger los aspectos ligados al diseo del control desde
la perspectiva de su implementacin. Deben reflejarse los parmetros
o ajustes personalizables para que el control pueda funcionar conforme a las reglas de gestin definidas:
Control clave
C001
C002
Regla de gestin
3-way-match
Segregacin
de funciones
Segregacin de funciones
entre contables, deudores
y acreedores.
Las personas que pagan las
facturas no pueden crear
nuevos proveedores.
Control
clave
(Describir
el riesgo y
asignar un
identificador
secuencial)
(Describir
el CC y
asignar un
identificador
secuencial.
Para cada
riesgo puede
haber ms de
un control)
R001Descripcin
C001ADescripcin
R002Descripcin
Tipo de
control
Sealar
si es:
Manual/
Automtico
Detectivo/
Preventivo
Responsable
(Indicar el
responsable
del
control)
Eficacia del
control
Sealar si es:
Efectivo/
No efectivo
(en este caso
describir la
incidencia
observada)
Riesgo de
control
Bajo
Medio
Alto
RMES
(1)
Impacto (1)
Bajo
Medio
Alto
Describir
(sealar la
cuenta y la
manifestacin
afectada) y
cuantificar (si
es posible)
cul podra ser
el resultado
posible del mal
funcionamiento
del control
C002A
-Descripcin
C002B
-Descripcin
(1) Esta columna se cumplimentar tras realizar las pruebas de cumplimiento de los controles,
cuyo resumen se plasmar en el cuadro de la figura 5.14.
La prueba debe permitir que el auditor comprenda los principales riesgos que pueden existir en el proceso revisado, y orientar en
consecuencia sus pruebas sustantivas.
Antes de realizar una prueba de recorrido, debe comprenderse el
proceso global, del principio al fin. No obstante, en las pequeas entidades, las pruebas de recorrido pueden realizarse al mismo tiempo
que se obtiene la comprensin del sistema de control interno.
En la prctica con esta prueba se efecta a menudo la evaluacin
del diseo del control y, en el caso de controles automticos, de la
comprobacin de su funcionamiento. Ambas cuestiones se analizan
en los dos captulos siguientes.
Debe tenerse cuidado al realizar estas pruebas de no descuidar
la inclusin de las interfaces que enlacen varios subprocesos o varias
aplicaciones individuales.
5.6.2. Objetivos de una prueba de recorrido
La prueba de recorrido permite:
Confirmar que la comprensin del proceso por el auditor es
completa y correcta.
Verificar la existencia de controles clave en las actividades
ordinarias y el funcionamiento de los controles clave automticos.
Confirmar la comprensin por el auditor del diseo de los
controles clave identificados.
Verificar la consistencia y pertinencia de la documentacin
elaborada hasta el momento, incluyendo los diagramas de
flujo existentes.
5.6.3. Cmo realizar una prueba de recorrido65
a) Recorrer el proceso completo
Para cada uno de los procesos revisados, se debe seguir el flujo
de procesamiento de una transaccin real, utilizando los mismos
documentos y operaciones informticas que utiliza el personal de la
entidad. No se deben revisar copias de documentos proporcionados
por una nica fuente o que pretendidamente estn en uso.
El auditor analiza una transaccin a travs del proceso global,
empezando por el inicio de la transaccin, su autorizacin, registro,
65. Basado en Guide to Using International Standards on Auditing in the Audits
of Small- and Mediumsized Entities, pgina 360.
173
En entornos ERP complejos, al evaluar el diseo de controles aplicativos, el auditor debe clarificar las condiciones tcnicas requeridas
para que el control se desarrolle de la forma prevista. El auditor se
plantear principalmente las cuestiones siguientes:
Puede eludirse o forzarse (rodeo, procedimiento de excepcin, superusuario) el control?
En qu medida depende el control de la parametrizacin?
En qu medida depende el control del sistema de derechos
o permisos de acceso?
Quin controla el sistema de derechos de acceso?
En qu medida depende el control de los datos maestros?
Quin controla los datos maestros?
Puede registrarse el funcionamiento del control para comprobaciones posteriores (logs, pistas de auditora)?
c) Procedimientos de auditora
Los procedimientos de auditora para la evaluacin del diseo
de los controles incluyen preguntas, observaciones, pruebas de recorrido, revisin de documentacin y la evaluacin de controles
especficos.
El auditor formar su opinin sobre el diseo de los controles:
Interrogando a los miembros de la direccin de la empresa,
a los empleados que tengan tareas de supervisin, as como
a los empleados implicados en la realizacin del control.
Consultando los documentos relativos a las transacciones y
otros documentos importantes de la empresa.
Observando las actividades especficas de ejecucin y de control.
Siguiendo las transacciones individuales en el sistema de informacin (mediante las pruebas de recorrido vistas en el
captulo anterior).
De conformidad con las normas tcnicas de auditora, los procedimientos para la evaluacin del diseo de los controles deben
estar respaldados por evidencia de auditora y adecuadamente documentados.
Cuando tras una prueba de recorrido (walkthrough) y el anlisis
del diseo de los controles, se llega a la conclusin de que el esfuerzo
de auditora a efectuar para verificar un control clave es despropor179
Solo las pruebas del funcionamiento de los controles proporcionan al auditor la evidencia necesaria para evaluar el funcionamiento
real de los controles durante todo el periodo auditado, la cobertura
de los riesgos identificados y si se han alcanzado los objetivos de
control.
La evaluacin del funcionamiento de los controles mediante las
pruebas de cumplimiento permite al auditor formarse una opinin
sobre el sistema de control interno.
Si el auditor en las etapas iniciales de la auditora ha considerado que los controles no estn bien diseados e implementados, no
est obligado a comprobar su funcionamiento. As los controles
que no tienen un diseo efectivo o que segn comprobaciones
de aos anteriores, no funcionan adecuadamente, y no se han
introducido cambios para subsanar la deficiencia no es necesario
probarlos.
Por el contrario, si se considera que los controles clave tienen un
diseo efectivo y estn implementados, el auditor debe realizar las
suficientes pruebas de cumplimiento sobre su funcionamiento para
respaldar la evaluacin del riesgo de control que se haya realizado
en la fase de planificacin. En los casos que sea factible se deber
efectuar una planificacin plurianual de las pruebas a realizar.
Debe tenerse presente que en determinados entornos informatizados complejos la sola aplicacin de procedimientos sustantivos no
proporcionar evidencia de auditora suficiente para reducir el riesgo
de auditora a un nivel aceptable y ser necesario realizar la evaluacin del control interno y comprobar su adecuado funcionamiento
mediante las pruebas de cumplimiento.
5.8.2. Objetivos
El objetivo de esta etapa de la auditora consiste en:
Comprobar el funcionamiento de los controles para determinar su eficacia, comprobando si el control funciona como
estaba previsto y si ha sido ejecutado completamente por una
persona cualificada y autorizada, durante todo el perodo
auditado.
5.8.3. Procedimientos de auditora
a) Aspectos generales
La comprobacin del funcionamiento de los controles comprende
las etapas siguientes:
181
Seleccin de los controles clave a revisar (no deben comprobarse todos los controles). Tema tratado en el captulo 5.5.
Eleccin de la estrategia de pruebas (definir la mezcla de
pruebas de cumplimiento y procedimientos sustantivos) en
funcin de la confianza preliminar en el sistema de control
interno.
Seleccin de las pruebas de cumplimiento a efectuar y especialmente del tamao de la muestra.
Realizacin de las pruebas de cumplimiento.
Evaluacin de las incidencias detectadas, de la importancia
de los errores y debilidades observadas y su incidencia en la
estrategia de auditora adoptada.
Estas pruebas, denominadas pruebas de controles o pruebas de
cumplimiento, se realizan para obtener evidencia de auditora sobre la
efectividad operativa de los controles clave identificados previamente.
Los controles seleccionados sern aquellos que respondan a riesgos
identificados de manifestaciones errneas significativas o aquellos
que las prevengan o detecten y corrijan.
Esta evidencia no se refiere a las transacciones o hechos contables, sino a la efectividad operativa de los controles clave que estn
dirigidos a obtener seguridad de la correcta valoracin de todas las
transacciones y hechos ocurridos en el periodo y su registro e integracin en las cuentas anuales.
En principio, aunque a los efectos de la auditora financiera las
pruebas de control son menos directas y eficaces que los procedimientos sustantivos, en general son necesarias, bien porque sea la
nica forma de obtener evidencia (como en los casos de entornos
informatizados complejos) o porque suelen ser ms eficientes cuando
la poblacin de transacciones es elevada y repetitiva y la valoracin
sencilla y de reducido valor unitario. En estos casos, no obstante, se
requieren tambin pruebas sustantivas, por lo que la estrategia de
auditora debe ser combinada, incluyendo ambos tipos de procedimientos.
Cuando se auditan entidades de pequeo tamao debe tenerse en
cuenta que determinados controles internos no son practicables. As
una segregacin de funciones insuficiente puede ser reemplazada por
un control directo fuerte de la direccin (control compensatorio);
o el auditor puede compensar la ausencia de evidencias de control
con pruebas sustantivas.
182
En estos casos la eficacia de un control es comprobada mediante un anlisis de los datos con ayuda de CAAT.
El uso de tcnicas de auditora asistida por ordenador posibilita una mayor extensin de las pruebas sobre transacciones
electrnicas y archivos contables, que puede ser til cuando
el auditor decida modificar la extensin de las pruebas, por
ejemplo, en respuesta a los riesgos de manifestaciones errneas de la direccin de carcter significativo debido irregularidades. Estas tcnicas pueden usarse para seleccionar muestras
de transacciones de archivos electrnicos clave, para filtrar
transacciones con caractersticas especficas, o comprobar
toda una poblacin en lugar de una muestra.67
Un ejemplo tpico se puede encontrar al auditar los gastos de personal de un ayuntamiento. Adems de revisar la
aplicacin informtica que soporta ese proceso e identificar
controles clave, se deben realizar pruebas de cumplimiento
de los mismos. Algunas de las pruebas de cumplimiento, que
tradicionalmente se realizan sobre una muestra seleccionada
aleatoriamente o mediante muestreo estadstico, actualmente
si se dispone de herramientas CAAT puede hacerse un planteamiento diferente y decidir hacer la comprobacin sobre
el 100% a partir de la Relacin de Puestos de Trabajo del
Ayuntamiento. Est prueba aportar al auditor tanto evidencia de cumplimiento de los controles como slida evidencia
sustantiva.
Es decir, este tipo de pruebas pueden realizarse como pruebas de cumplimiento de los controles, como procedimientos
sustantivos o con carcter mixto.
Muestreo
Management override:
Se describirn las tcnicas de control utilizadas por la entidad para llevar a cabo las actividades de control pertinentes.
Se detallar por nivel (por ejemplo, a nivel de la entidad,
del sistema, proceso de negocio), as como por subnivel de
sistema (p. ej. red, sistema operativo, middleware, SGBD,
aplicaciones).
Las conclusiones del auditor sobre la eficacia de los controles de los sistemas de informacin de la entidad a la hora de
realizar la actividad de control propiamente dicha.
Descripcin de las incidencias, recomendacin efectuada,
prioridad, responsable del control y de aplicar la recomendacin situacin de la puesta en prctica de medidas de
mejora o cualquier informacin cualitativa complementaria.
En caso de incidencias importantes, el auditor debe proporcionar la siguiente informacin: tamao de la muestra (si
procede), nmero de excepciones o de pruebas con error,
tipo y causa de la incidencia.
Prueba
realizadas
Resultado
Responsable
Aplicacin o RecomenPrioridad Referencia
del control sistema afectado dacin
(Describir
el CC e
Describir
Describir
indicar su
Indicar
sucintamente sucintamente
identificador
secuencial)
C001ADescripcin
C001ADescripcin
C001BDescripcin
Figura 5.14
190
(Si hubiera ms
de una aplicacin
Describir
soportando el
proceso)
Alta
Media
Baja
Referencia
al papel de
trabajo
Estas pruebas estn diseadas para obtener evidencia que respalde un importe (saldo, clase de transaccin o revelacin) de
las cuentas anuales. Se usan para obtener evidencia sobre ciertas manifestaciones, como existencia, exactitud y valoracin.
b) Procedimientos analticos.
Estos procedimientos estn diseados para comprobar relaciones predecibles entre magnitudes financieros y no financieras. Se aplican principalmente a grandes volmenes
de transacciones que tienden a tener un comportamiento
predecible a los largo del tiempo.
191
Conclusiones generales
y emisin de informe
193
6.1. Introduccin
Si las deficiencias de los controles pueden afectar significativamente a la exactitud de la opinin de auditora sobre las cuentas anuales,
y si este riesgo no puede ser compensado por otros controles, debe
evaluarse el impacto de las debilidades significativas sobre el informe
de auditora.
Esta evaluacin se har considerando las tres cuestiones siguientes:
Se trata de un hecho que afecta a la situacin financiera y a
la opinin de auditora?
Se trata de un incumplimiento de una norma?
El tratamiento por parte del auditor pblico en su informe depender del tipo de informe que deba emitir: informe de auditora de
cuentas anuales o informe corto o informe de regularidad contable
o informe largo:
Si se emite un informe corto, el auditor de sistemas emitir
un memorndum interno para documentar su trabajo, pero
normalmente el informe de auditora solo recoger alguna
incidencia que tenga un efecto material sobre las cuentas
anuales y provoque una salvedad en el mismo.
195
6.2. Objetivos
Los objetivos de esta etapa son:
Considerar el efecto de los hallazgos de la auditora de sistemas en la opinin de auditora financiera.
Emitir, en su caso, un informe de auditora de sistemas o un
informe sobre recomendaciones de control interno.
6.3. Procedimientos de auditora
a) Evaluacin de los resultados obtenidos
Despus de finalizar la ejecucin del trabajo de campo y de completar las pruebas de auditora, el auditor debe resumir los resultados
de la auditora, redactar las conclusiones individuales de las debilidades de control detectadas en el sistema de informacin, considerar
su efecto agregado, y redactar el informe de auditora.
En esta evaluacin se debe considerar:
1. El efecto de las debilidades identificadas por el auditor en las
pruebas realizadas.
2. El seguimiento de las debilidades incluidas en informes anteriores.
El auditor concluir sobre si las debilidades de control consideradas individualmente o de forma conjunta, constituyen una deficiencia
significativa o una debilidad material de la informacin financiera.
Esta evaluacin debe hacerse coordinadamente con el equipo de
auditora financiera. Para realizar esta evaluacin es necesario tener
claros los siguientes conceptos y definiciones anticipados en el captulo 4.5:
Una deficiencia de control interno existe cuando el diseo
o el funcionamiento de un control no permite al personal
de la entidad o a su direccin, en el curso ordinario de las
operaciones, prevenir o detectar errores o irregularidades en
un plazo razonable. Pueden ser deficiencia de diseo del control (cuando un control necesario para alcanzar el objetivo
de control no existe o no est adecuadamente diseado) o
deficiencias de funcionamiento (cuando un control adecuadamente diseado no opera tal como fue diseado o la persona
que lo ejecuta no lo realiza eficazmente).
Una deficiencia significativa es una deficiencia en el control
interno, o una combinacin de deficiencias, que afectan ad196
La probabilidad de que otros controles incluyendo los controles de aplicacin puedan prevenir o detectar accesos no
autorizados. Generalmente, si la efectividad de esos controles
depende de la informacin procesada por el sistema, es improbable que pueda prevenir eficazmente o detectar dichos
accesos; salvo que la debilidad de control identificada, razonablemente, no sea capaz de comprometer la eficacia de los
otros controles.
El riesgo de que la direccin de la entidad pueda burlar los
controles (por ejemplo, mediante derechos de acceso excesivos).
Basndose en estas consideraciones el auditor determinar si las
deficiencias de control son, individualmente o en conjunto, debilidades materiales o deficiencias significativas. El auditor tambin
debe determinar si las deficiencias significativas son en conjunto
debilidades materiales.
Si las deficiencias de control constituyen debilidades materiales,
el auditor concluir que los controles internos no son eficaces.
b) Formulacin de las conclusiones
Se deben compilar los resultados individuales de los procedimientos de auditora realizados a lo largo del trabajo de auditora. Debe
evaluarse el impacto sobre los estados financieros de los controles
inexistentes, los mal diseados y los que no han funcionado de forma
efectiva durante el periodo auditado.
A pesar de los medios auxiliares existentes, las conclusiones de los
trabajos requieren necesariamente la aplicacin del juicio profesional
del auditor para tener en cuenta las peculiaridades de la entidad, las
exigencias relacionadas con los procesos y aquellas especficas de los
riesgos. Esto exige una discusin profunda en el seno del equipo
auditor para definir si fueran necesarios procedimientos de auditora
suplementarios.
Las deficiencias identificadas en la evaluacin de los controles
clave y no corregidas por controles compensatorios deben ser evaluadas, por definicin, de forma ms crtica que las deficiencias de
los otros controles.
Como paso final de la auditora de sistemas de informacin se
debe concluir sobre el efecto acumulado de las debilidades de control de las aplicaciones de negocio que se hayan detectado a lo largo
del trabajo.
198
Informe
A
LOPD
Metodologa de desarrollo.
X
X
Dependencia de outsourcers.
Organigrama del departamento TI
y funciones y responsabilidades de su personal.
X
X
Segregacin de funciones
Figura 6.1
c) Recomendaciones
Los auditores desarrollarn los elementos de las incidencias de
auditora, con la extensin requerida por los objetivos de la auditora.
De acuerdo con esos objetivos se desarrollarn tambin recomendaciones para la introduccin de medidas correctoras.
Es conveniente seguir una serie de criterios generales en la formulacin de las recomendaciones:70
Deben ser claras y concretas.
Deben evitarse las recomendaciones genricas, procurando
identificar el departamento o cargo concreto responsable de
su adopcin.
Ser convincentes en el fondo y en la forma. Para ello deben
estar slidamente soportadas por hechos y argumentarse de
un modo lgico.
Estar formuladas de manera positiva y constructiva, evitando
el tono negativo o recriminatorio hacia los gestores pblicos.
Evitar expresiones tajantes en su formulacin.
Ser coherentes con recomendaciones formuladas en informes
anteriores.
Ser relevantes y, en todo caso, derivarse de su aplicacin
beneficios potenciales, superiores al coste que conlleve su
puesta en prctica.
70. Fuente: Manual de fiscalizacin de la Sindicatura de Cuentas de la Comunidad
Valencia Seccin 703. www.sindicom.gva.es/web/valencia.nsf/documento/manual_de_fiscalizacion.
203
7. Los resultados de los procedimientos de seguimiento para determinar si han sido aplicadas medidas correctivas, basndose
en anlisis de riesgo y de coste-beneficio, con la finalidad de
subsanar las debilidades de control de los sistemas de informacin que hayan sido incluidas en informes anteriores.
A efectos internos se debe elaborar un memorando que incluya una descripcin del sistema, mapa de aplicaciones, flujogramas,
riesgos, controles cuya utilidad principal sea servir de Archivo permanente para futuras auditoras.
205
Sistemas de informacin
integrados y aplicaciones
de negocio
207
Con los CRM las entidades son capaces de conseguir y mantener clientes, adquirir un conocimiento ms profundo de sus
clientes y mercados, y alinear la organizacin hacia estrategias
orientadas a sus clientes.
Con estas herramientas clientes y proveedores pueden colaborar estrechamente e integrar procesos con aplicaciones interempresas para mejorar la transparencia y reducir costes.
Figura 7.1
71. Segn el estudio de AMR Research, The Global enterprise Market Sizing Report
2008-2013, en 2008 las empresas Sage Group, Infor, Dassault Systemes y Siemens
PLM, tuvieron una cuota de Mercado superior a la de Microsoft. En conjunto
esas cuatro empresas alcanzaron una cuota de casi el 16% de mercado segn AMR
Research. El resto de mercado est muy atomizado.
72. Informe anual sobre el desarrollo de la sociedad de la informacin en Espaa
(Informe eEspaa 2009), Fundacin Orange, 2009
211
Figura 7.2
212
Figura 7.3
Aunque no existe una estadstica fiable sobre la utilizacin y distribucin por fabricante de software o tipo de ERP utilizada por las
distintas administraciones en Espaa, es una evidencia claramente
perceptible que las principales administraciones pblicas utilizan
complejas aplicaciones informticas para desarrollar las misiones
encomendadas legalmente, en todos los estratos de las Administraciones pblicas (central, autonmica y local) y entidades satlites
(fundaciones, empresas, agencias, consorcios, etc).
7.1.5. Esquema de un sistema de informacin complejo
En el captulo 3.1.2 vimos que, esquemticamente, en un modelo
simplificado, el sistema de informacin de una entidad consta de
varios niveles superpuestos.
La Global Technology Audit Guide n. 5: Developing the IT Audit
Plan, publicada por The Institute of Internal Audit, tambin representa los sistemas de informacin mediante un esquema similar al
representado en la figura 3.1:
213
Figura 7.4
Aun manteniendo este esquema general, en la realidad las interacciones son ms complejas, y los sistemas y aplicaciones comerciales
que un auditor va a tener que revisar, pueden presentarse desplegados
con muy distintas configuraciones, teniendo cada producto y versin
de software sus propias caractersticas diferenciadoras que el auditor
de sistemas debe conocer con una cierta profundidad y el auditor
financiero al menos en sus aspectos principales.
A efectos del anlisis posterior de los productos concretos que
pueden encontrarse con mayor frecuencia en instalaciones del sector
pblico, dividimos un sistema integrado en las siguientes capas o
niveles bsicos:
Sistema operativo.
Base de datos.
Middleware.
Aplicaciones.
En los siguientes captulos se va a hacer un anlisis de estos niveles
desde el punto de vista del auditor.
7.1.6. Consideraciones iniciales de auditora
La existencia de un ERP en una entidad, ya est plenamente operativo o en proceso de implantacin, requerir del auditor que realice
214
Figura 7.5
216
Cuota
80%
Otros
60%
Linux
Unix
40%
Windows
20%
0%
Total
Bases de datos
Aplicaciones
Servidor
Figura 7.6
Figura 7.7
74. Segn el Informe IRIA 2008:
Sistemas Grandes: Tambin conocidos como mainframes, cuya unidad central tiene
un precio igual o superior a 601.012 euros, sin incluir unidades de almacenamiento
asociadas. Se incluyen en esta categora los equipos multiprocesador.
Sistemas Medios: Equipos informticos con unidad central, mono o multiprocesador, de precio que oscila entre 60.101 y 601.012 euros. Como en los sistemas
grandes, no se incluyen las unidades de almacenamiento.
Sistemas Pequeos: Con un precio entre 6.010 y 60.101 euros, en esta categora
se incluyen unidades multiprocesador y las unidades de almacenamiento se consideran parte del sistema (quedan excluidos los ordenadores personales).
217
Figura 7.8
Figura 7.9
7.2.4. UNIX-Linux
a) Conceptos bsicos
UNIX es un sistema operativo portable, multitarea y multiusuario desarrollado en 1969 por un grupo de empleados de los
Laboratorios Bell de AT&T. El sistema UNIX fue comercializado
e implantado en empresas y administraciones pblicas, sobre todo
a partir de 1980.
La evolucin del sistema a lo largo de su historia ha dado lugar
a numerosas variantes. En la actualidad la empresa propietaria de
218
/etc/shadow
NIS y NIS+ han sido reemplazados por LDAP (Lightweight Directory Access Protocol)
LDAP (Lightweight Directory Access Protocol) es un protocolo a
nivel de aplicacin que permite el acceso a un servicio de directorio
ordenado y distribuido para buscar diversa informacin en un entorno de red.
Un directorio es un conjunto de objetos con atributos organizados en una manera lgica y jerrquica. Un rbol de directorio LDAP
a veces refleja varios lmites polticos, geogrficos y/o organizacionales, dependiendo del modelo elegido. Los despliegues actuales de
LDAP tienden a usar nombres de Sistema de Nombres de Dominio
(DNS por sus siglas en ingls) para estructurar los niveles ms altos
de la jerarqua. Conforme se desciende en el directorio pueden aparecer entradas que representan personas, unidades organizacionales,
impresoras, documentos, grupos de personas o cualquier cosa que
representa una entrada dada en el rbol (o mltiples entradas).
LDAP habitualmente, almacena la informacin de autenticacin
(usuario y contrasea) y es utilizado para autenticarse aunque es
posible almacenar otra informacin (datos de contacto del usuario,
ubicacin de diversos recursos de la red, permisos, certificados, etc).
A manera de sntesis, LDAP es un protocolo de acceso unificado a
un conjunto de informacin sobre una red.
c) Procedimientos de auditora
Se deber prestar atencin especial, disear y ejecutar procedimientos de auditora que cubran las siguientes reas:
1. Gestin de usuarios y contraseas
Revisar los procedimientos establecidos para gestionar las
altas y bajas de usuarios.
Asegurar que los identificadores de usuario son nicos. En
caso contrario los usuarios podran acceder a las informacin
de aquellos con la misma denominacin de usuario (tambin
que no hay dos usuarios con el mismo cdigo numrico de
usuario).
Asegurarse que las contraseas estn encriptadas.
Revisar los permisos de las carpetas passwd y shadow.
Al ejecutar la siguiente instruccin: ls -l /etc/passwd el resultado esperado sera r--r--r-- 1 root sys
Al ejecutar la siguiente instruccin: ls -l /etc/shadow el resultado esperado sera r-------- 1 root sys
La informacin clave del servidor sobre el que se est haciendo la revisin del sistema operativo
(Setuid, tambin llamado a veces suid, y setgid son permisos de acceso que pueden asignarse a archivos o directorios. Se utilizan principalmente para permitir a los usuarios
ejecutar binarios con privilegios elevados temporalmente para
realizar una tarea especfica).
Evaluar la seguridad y necesidad de accesos remotos configurados como accesos de confianza (ver ficheros /etc/hosts.
equiv y .rhost). Comprobar que existen procedimientos de
autorizacin y control.
Verificar si se usan ficheros .netrc para configurar accesos
automatizados y su razonabilidad y seguridad.
Verificar si se usan modems para acceso remoto al servidor
(son ms seguros sistemas como VPN o RAS).
4. Auditora (logs)
Evaluar el contenido, seguridad, seguimiento, y periodo de
retencin del sistema de almacenamiento de datos de acesos
(logs).
Para llevar a cabo la auditora necesitaremos obtener la informacin bsica sobre el sistema utilizando dos procedimientos:
1.a Solicitud al responsable del departamento de sistemas
de la informacin sobre configuracin de seguridad del
dominio (obtendremos evidencia copiando en un documento las impresiones de pantalla de la configuracin de
seguridad del sistema operativo: Directiva de contraseas,
Directiva de bloqueo de cuentas, configuracin protector
de pantalla, ).
1.b Solicitud al responsable del departamento sistemas para
que ejecute la aplicacin de libre distribucin Dumpsec
que contiene comandos para la extraccin de toda la
informacin que vamos a necesitar sobre los usuarios del
dominio, contraseas y accesos.
Verificar que los usuarios pertenecientes al grupo de administradores lo necesitan para sus tareas. En el directorio activo, ir
a la carpeta de grupo de administradores. Revisar las funciones
de los usuarios del grupo. dem para grupo de administradores
del dominio. dem para administradores de la empresa.
Debe regir el principio de las mnimas autorizaciones para
realizar las tareas encomendadas.
Las cuentas de administracin no deben tener el acceso a
administrar desde la red y slo deben administrar desde la
consola del servidor. El abrir el editor de polticas de grupo
e ir a la carpeta de asignacin de derechos de usuario en
la carpeta de configuracin. Ver si esta marcado el tilde de
limitacin de acceso.
La gestin de usuarios debe realizarse slo desde el controlador del dominio, no en los pc o servidores. Fuera del dominio solo deben existir las cuentas internas de administracin
de los equipos y las de invitado. Verificar en la carpeta de
usuarios de una muestra de los equipos.
Debe estar habilitado el bloqueo de cuenta para un nmero
de intentos de acceso fallidos. Verificar en la directiva de
bloqueo de cuentas.
Verificacin de la existencia de usuarios inactivos.
7. Gestin de contraseas
Verificar en la directiva de contraseas que la configuracin de
contraseas a utilizar por el usuario est debe ajustarse a las buenas
prcticas: No repeticin contraseas, vigencia mxima de contraseas de utilizacin de contrasea (al menos 90 das), longitud
mnima contraseas (al menos 6 caracteres), complejidad de la
contrasea (letras, maysculas y minsculas, nmeros,).
Verificar que la contrasea del usuario administrador se cambia de acuerdo con las polticas aprobadas.
Verificar que las fechas de cambio de contraseas reales se
corresponden con las polticas aprobadas.
7.3. Sistemas de Gestin de Bases de Datos (SGBD)
7.3.1. Conceptos bsicos
El SGBD es uno de los niveles bsicos en los modernos sistemas
de informacin (ver esquema en la figura 7.4). Dada su importancia
227
Esto altera la relacin tradicional existente entre los programas y los datos, en sistemas no integrados, en los que se crean
ficheros de datos concretos para cada programa.
c) La manipulacin de datos
228
El control del acceso en este ejemplo significa que slo esos dos
departamentos pueden modificar los saldos de los clientes. El departamento de ventas tambin tiene acceso a la base de datos, pero
si bien puede incluir pedidos de venta, no podr introducir pagos
o facturas. La preocupacin de la auditora est en que se hayan
implantado unos controles adecuados para garantizar que el departamento de ventas no dispone de acceso a la informacin que refleja
las cuentas a cobrar o que tiene capacidad para incluir transacciones
no autorizadas.
La eficacia de los controles del acceso viene determinada por el
modo en que se implanta el ambiente de control y por las normas
que se aplican para mantener los controles establecidos.
El impacto del SGBD en los controles generales vara dependiendo de las funciones de la base de datos, de la complejidad y alcance
del uso de la misma, de la utilizacin de las telecomunicaciones y de
la medida en que los procedimientos de la aplicacin garantizan la
fiabilidad de los datos.
Ser necesario aplicar controles de validacin sobre los datos de
entrada. Como un mismo dato ser utilizado por diversos programas, un error aislado puede tener consecuencias mltiples. Esto
es lo que comnmente se denomina error acumulado o en
cascada.
El anlisis de la auditora sobre los controles de acceso a los datos incluidos en un sistema de base de datos puede dividirse como
sigue:
1. Control del acceso
Puede proporcionarse seguridad para los entornos de base de
datos en lnea en tres niveles fundamentales:
Proteccin de comandos
Inclusin de un programa de utilidad en el SGBD para controlar la consistencia de los indicadores internos y avisar de
cualquier inconsistencia (enlaces rotos).
Inclusin en el SGBD de un control sobre cada solicitud para
dar de baja datos a fin de garantizar que ninguno de los tems
subordinados a ese dato se volvern as inaccesibles.
Procedimientos de bloqueo que permitan al SGBD evitar o
detectar automticamente la actualizacin concurrente que
puede ocurrir cuando dos usuarios tratan de tener acceso al
mismo dato de forma simultnea.
Registros de archivo de transacciones y de reenganche separados de la base de datos en forma fsica y lgica.
Barrido peridico del contenido de la base de datos por
medio de un programa que acumule valores de registros
individuales para despus conciliarlos con un registro de
control.
2. Controles compensatorios e importancia de las debilidades
La falta de restricciones a la capacidad de procesamiento de los
usuarios y de los programas, deja a la base de datos sin ninguna
proteccin contra modificaciones accidentales o no autorizadas.
Resulta improbable que la evidencia de auditora y los respectivos
procedimientos del usuario para la conciliacin de la entrada/salida
permitan detectar alteraciones accidentales, ya que las mismas pueden
no tener un impacto inmediato en los datos de salida.
Igualmente, encontrar el origen de un error en un sistema de base
de datos constituye una tarea compleja debido a las interrelaciones
lgicas entre los diferentes datos. Frecuentemente, en tales situaciones no existe un control compensatorio adecuado.
La falta de verificacin de la consistencia de los indicadores internos podra ser compensada por severos controles del usuario sobre
la actualizacin de la base de datos y la conciliacin de los totales de
control. Este control no es viable en grandes bases de datos.
3. Procedimientos de auditora
En combinacin con pruebas del software del SGBD o el diccionario de datos, se debe verificar si los niveles de proteccin
para determinados datos especficos son apropiados.
Hacer una prueba de los procedimientos de bloqueo, intentando dos actualizaciones simultneas a travs de terminales
adyacentes.
232
Procedimientos de control
Documentacin clara de la base de datos, incluyendo:
Descripciones de cada elemento (definiciones de datos)
en lenguaje que pueda ser entendido por los usuarios.
Origen y formato de los datos.
Programas relacionados con cada dato y tipo de registro.
Interrelaciones entre los datos y tipos de registro.
Controles de validacin para cada tipo de dato de entrada.
Usuarios autorizados a tener acceso a los datos o realizar
su actualizacin.
Archivo cuidadoso de la informacin para facilitar su consulta,
tomndose cuidado de mantener la informacin antigua de
forma separada como referencia histrica.
Tratamiento confidencial de la informacin, con el acceso a
la misma restringido nicamente a aquellos que realmente la
necesitan y estn autorizados.
Asignacin a la funcin de manejo de la base de datos de la
responsabilidad de garantizar la exactitud de la informacin
contenida en el diccionario.
Controles compensatorios e importancia de las debilidades
Una informacin inexacta puede conducir a errores de programacin o hacer que el usuario confe en controles programados
inexistentes.
Estas posibles debilidades podrn ser parcialmente compensadas
mediante la participacin del usuario en los procedimientos de prueba de los sistemas.
Sin embargo, si los programadores no cuentan con una visin
exacta de la interrelacin entre los diferentes datos, podrn introducir errores de lgica que afectarn otras aplicaciones, adems de
aquella que estn programando. En ese caso, las pruebas por ellos
proyectadas pueden no ser capaces de detectar tales errores. El DBA
puede ser responsable de esta rea. A falta de documentacin exacta,
se debe procurar depositar una confianza relativamente mayor en los
controles del usuario sobre los datos de entrada y salida.
La falta de proteccin de la informacin confidencial podr llegar a permitir el acceso y actualizacin no autorizada de la base
de datos. El acceso no autorizado podr ser detectado mediante el
236
Motivo
Solucin
Actualizar a una versin
con soporte para cubrir
fallos de seguridad
Implantar unas normas
estrictas de uso de passwords
Formacin de los administradores de las BD
Formacin de los desarrolladores
Utilizacin de herramientas especializadas
con bajo impacto en el
rendimiento
Figura 7.10
76. Trends in Oracle Security, Alexander Kornbrust, Red Database Security Gmbh,
29 de mayo de 2008.
237
Oracle 44,3%
Otros 16,2%
Otros; 16,2%
Oracle; 44,3%
MS SQL;
18,5%
IBM; 21,0%
Figura 7.11
Aunque no se dispone de datos fiables, en el sector pblico espaol predominan las bases de datos de Oracle y MS SQL.
A nivel mundial la base de datos con mayor cuota de mercado
en sistemas ERP es Oracle. Es una base de datos neutra respecto de
la plataforma en la que opera. El soporte de Oracle a las principales
plataformas Unix, Windows y Linux da a los usuarios la garanta de
que pueden cambiar de proveedores de hardware y sistemas operativos sin problemas.
En buena medida la gran penetracin de Oracle en el mercado
se debe a su relacin con SAP, que se remonta al ao 1988, cuando
SAP R/3 inici su desarrollo. Durante casi 20 aos Oracle ha sido
la base de datos sobre la que se han desarrollado principalmente las
aplicaciones SAP. De hecho Oracle tiene un equipo de desarrollo
en la sede central de SAP en Walldorf (Alemania). En noviembre
de 1999 se firm un contrato para garantizar la cooperacin entre
77. World wide Relational Database Management Systems 2007 Vendor Shares, Carl
W. Olofson, IDC, junio 2008.
238
78. Oracle Database: The Database of Choice for Deploying SAP Solutions, Abdelrani
Boukachabine, agosto 2009.
239
Los controles de interfaz pueden ser manuales (p.e. mediante reconciliaciones manuales) o estar automatizados (los datos de ambos
sistemas se concilian automticamente).
7.4.2. Middleware
Las aplicaciones de negocio actuales tienen los componentes de la
interfaz de usuario, el procesamiento de datos y el almacenamiento
de datos ubicados en distintos servidores, a menudo usando diferentes sistemas operativos.
Hacer trabajar todos los componentes juntos se consigue normalmente mediante el uso de software especializado en transporte de
datos y comunicaciones comnmente conocido como middleware.
Tambin se usa para conectar diferentes aplicaciones en distintas
arquitecturas.
El middleware proporciona unas comunicaciones robustas y potencialmente seguras entre aplicaciones a travs de capas de funciones
en distintos servidores y tecnologas de red.
Ejemplo de middleware son los productos Oracle Fusin, SAP
NetWeaver y WebSphere de IBM.79
7.4.3. Consideraciones de auditora
Cualesquiera que sean las ventajas de un ERP y la voluntad de la
entidad de implantar un sistema integrado, el sistema de informacin
est a menudo constituido de varias aplicaciones heterogneas. Los procedimientos de auditora se harn sobre cada una de las aplicaciones pero
tambin sobre las interfaces que posibilitan la transferencia de datos.
79. En Forrester.com, se public en agosto de 2009 un informe elaborado por
Jeffrey S. Hammond y John R. Rymerm, titulado With 11g, Oracle Steps Out Of
IBMs Middleware Shadow. New Release Will Also Blast Past SAP NetWeaver And
Challenge Microsoft, que ilustra sobre la orientacin del middleware y los principales
competidores en ese mercado; en su resea seala:
The latest release of Oracle Fusion Middleware 11g, establishes Oracle as
the innovator among Java platform vendors. The first modules of Oracle Fusion
Middleware 11g the core Java application server, development tools, serviceoriented architecture (SOA), and portal platforms exhibit a high degree of integration and the first comprehensive declarative development environment for Java
from a major vendor. IBM and SAP, the other big Java vendors, are behind Oracle
in providing this level of platform integration and Java-development innovation.
Application development and enterprise architecture professionals with significant
commitments to enterprise Java should now reevaluate their strategic vendors and
decide whether or not to follow Oracles new path with Java platforms. In considering this path, they should be wary of the high potential cost of Oracle Fusion
Middleware 11g as well as the high potential for customer lock-in with Oracles
approach.
240
a) Aplicaciones estndar
Las aplicaciones estndar maduras presentan generalmente una
gran cantidad de controles integrados.
El siguiente cuadro muestra unos ejemplos de controles bsicos
destinados a asegurar la integridad de las transacciones procesadas:
Una aplicacin de contabilidad estndar debera disponer, entre otras,
de las funcionalidades siguientes
Prohibicin de eliminar.
Figura 7.12
Est certificada?
Se trata de una aplicacin nueva o es conocida y est probada?
Existen fuentes de informacin sobre la aplicacin y sobre
las posibles debilidades de seguridad o de proceso conocidas (las aplicaciones estndar contienen a veces errores y el
auditor debe disponer de un conocimiento suficiente sobre
las fuentes de error conocidas).
Dispone el auditor de conocimiento y experiencia en esa
aplicacin?
Las respuestas a estas preguntas sirven para identificar las reas
que requieren una atencin o unos conocimientos particulares y
proporcionan al auditor una visin general de los riesgos inherentes
a la aplicacin utilizada.
Si el auditor concluye que la aplicacin estndar revisada no
presenta debilidades conocidas en las reas auditadas, puede limitar sus esfuerzos en las etapas siguientes del trabajo de auditora sobre identificacin de riesgos y posterior evaluacin de los
controles.
Como mnimo el auditor debe asegurarse que:
Los controles en los que piensa confiar existen y funcionan.
Sobre los parmetros de la aplicacin, que estaban activos
durante el periodo auditado.
Dentro de este grupo de aplicaciones estndar se encontraran,
tpicamente, y entre estas probablemente las ms extendidas en el
sector pblico sean SAP R/3 o SAP ERP 6.0.
b) Aplicaciones estndar muy adaptadas
Son las aplicaciones cuyo objetivo principal es ofrecer disponibilidad de funcionalidades de base y herramientas de creacin de
procesos y de flujos de trabajo, y cuya parametrizacin permite la
implantacin de soluciones especficas que respondan a las necesidades de la empresa o entidad.
El auditor se enfrenta aqu a un gran desafo, en la medida que,
incluso si dispone de informaciones sobre la fiabilidad de los componentes de las aplicaciones y sistemas a auditar, no los tiene sobre
la interaccin de estos componentes con las posibles configuraciones y programacin suplementaria en el entorno especfico de la
entidad.
244
En semejantes situaciones, el auditor deber prever tiempo adicional para identificacin de los riesgos y la evaluacin de los controles
pertinentes.
Cuanto mayor sea la adaptacin de una aplicacin estndar a las
especificaciones de una empresa/entidad, mayor deber ser el anlisis de los parmetros, de la gestin de los flujos de datos y de las
adaptaciones tcnicas de los programas.
Dentro de este grupo probablemente la aplicacin ms extendida,
sobre todo en implantaciones recientes en empresas y fundaciones
pequeas y medianas sea Microsoft Dynamics NAV (antes comercializada con el nombre de NAVISION).
c) Desarrollos propios
En el caso de desarrollos propios, el auditor no puede apoyarse
en informaciones y experiencias de conocimiento general y debe
adaptar sus procedimientos de auditora a la aplicacin correspondiente.
Las aplicaciones desarrolladas internamente por la entidad auditada generalmente exigen un trabajo de auditora ms importante.
En estas situaciones, la colaboracin entre el auditor, el responsable
de la aplicacin, o en su defecto, el desarrollador de la misma, tiene
una gran importancia.
En el caso de aplicaciones estndar muy adaptadas y de desarrollo propio, el auditor se apoyar, por razones de eficacia, en la
medida de lo posible, sobre pruebas realizadas y documentadas
en el seno de la empresa. Si las pruebas no existen o no son pertinentes (el concepto o la documentacin de las pruebas contiene
lagunas, errores no corregidos despus de los test, etc.), el auditor realizar las pruebas necesarias para alcanzar sus objetivos
de auditora.
En el caso de desarrollos propios se debe prestar mayor nfasis a
la evaluacin de riesgos y controles generales de estas tres reas:
Desarrollo y pase a produccin (o cambios a programa).
Controles de acceso a la aplicacin.
Segregacin de funciones.
En las Administraciones pblicas de tamao mediano o grande,
ser habitual encontrar una o varias aplicaciones significativas desarrollada ad hoc, bien con medios propios o, frecuentemente, con la
colaboracin parcial o total de empresas externas.
245
en cierta medida, adaptar el sistema al funcionamiento a las peculiaridades de la entidad. Si las posibilidades de parametrizacin pueden
ser muy desarrolladas, las diferencias en la forma de funcionamiento
y de organizacin de las entidades de un mismo sector pueden ser
numerosas.
Las empresas generalmente modifican la parametrizacin estndar
del ERP e intentan adaptarlo a su modo de funcionamiento.
As, antes de analizar la parametrizacin de un ERP, es necesario
conocer las condiciones en las que ha sido instalado y las adaptaciones que ha experimentado:
Una adaptacin o una modificacin de las funcionalidades
de parametrizacin por la empresa ser objeto de un anlisis idntico a la que ser realizada si se revisara un software
desarrollado internamente: anlisis de las necesidades, de los
programas, de la estructura de ficheros, etc.
Una utilizacin estndar de las funcionalidades de la parametrizacin por la entidad permitir comprobaciones simplificadas.
La revisin de la parametrizacin debe empezar por:
El anlisis de la documentacin disponible necesaria para una
buena comprensin del funcionamiento de un ERP
El anlisis de las reas sensibles de un ERP que se correspondan con las reas analizadas en el marco de la auditora
financiera. La complejidad de un ERP hace absolutamente
imposible la realizacin de una revisin completa de la parametrizacin.
La revisin de la parametrizacin consiste en estudiar las reglas
de gestin operativas y las reglas de gestin financieras:
Reglas de gestin operativas.
c) Datos maestros
Son bases de datos de carcter permanente utilizadas en los programas. Puede haber varios grupos de datos maestros y darse las
siguientes situaciones:
El repositorio de datos maestros de la entidad es comn al
conjunto de los mdulos para hacer posible su integracin.
Los repositorios son especializados por mdulo.
Sea cual sea el ERP, el anlisis del repositorio de datos maestros
consiste en investigar la utilizacin que de ellos se hace en los
distintos mdulos. Si un repositorio puede compartirse por varios
mdulos, normalmente no lo utilizarn de la misma forma. El repositorio de clientes est gestionado normalmente por el mdulo
de gestin comercial, aunque ciertas informaciones pueden ser
utilizadas por otros mdulos (por ejemplo la contabilidad auxiliar
de clientes).
248
250
Capa de presentacin
La presentacin de la aplicacin es igual para todas las plataformas. Constituye la interfaz grfica del sistema, es decir, la imagen
de la aplicacin.
SAPGUI es el nombre del software que se instala en cada ordenador de usuario. En las ltimas versiones de SAP ERP la interfaz con
el usuario puede hacerse a travs de un navegador web.
Grficamente:
Figura 7.14
251
Con R/3 se introdujo el concepto cliente-servidor, un uso coherente de las bases de datos relacionales y la capacidad de funcionar en
ordenadores de diferentes fabricantes, estableciendo unos estndares
que todava se mantienen en lo sustancial.
SAP R/3, hasta la Version 4.6C, consista en varias aplicaciones
funcionando sobre SAP Basis, que es un conjunto de programas y
herramientas middleware, sobre el cual se construye una estructura
modular, lo cual le proporciona una gran flexibilidad y dinamismo a
la hora de adaptarse a las necesidades funcionales de diversos sectores
y entidades (ver figura siguiente).
Fuente: Security and Control for SAP R/3 Handbook Update, ANAO
Figura 7.16 Cambios en el entorno SAP
<<2001
2002
2003
2004>>
Fuente: SAP
Figura 7.18 Esquema de SAP Business Suite
ciera y analtica. Sus aplicaciones principales, aplicaciones sectoriales y suplementarias estn movidas por la plataforma tecnolgica
NetWeaver.
SAP Business Suite incluye las siguientes aplicaciones:
Enterprise Resource Planning (ERP)
Evaluacin del esquema de separacin de entornos establecidos en la aplicacin SAP (mandantes): Desarrollo, Testing
y Produccin.
Evaluacin del esquema de separacin de funciones del personal involucrado en el Desarrollo, Mantenimiento e Implementacin de los cambios en el entorno de Produccin.
Ejecucin de una prueba de recorrido (Walkthrough) del
proceso Gestin de cambios a programas y parametrizaciones en la aplicacin SAP, de manera de evaluar el grado de
cumplimiento de los Controles Claves identificados.
Ejecucin de una prueba de cumplimiento del proceso de
Gestin de cambios a programas y parametrizaciones en la
aplicacin SAP, donde se analiza la existencia de documentacin de respaldo relacionada con:
Existencia de una solicitud formal de cambio.
Existencia de una aprobacin formal de los cambios solicitados.
Existencia de un plan de pruebas y de una participacin
del usuario solicitante.
Existencia de aprobaciones de traspaso entre los distintos
entornos SAP.
SM30
STMS
AS02
FSP0
OB52
Identificacin y evaluacin de los controles de aplicacin (automticos y manuales) que soportan los procesos de negocio
bajo alcance, mediante la ejecucin de:
Pruebas de cumplimiento.
Pruebas sustantivas y/o controles compensatorios que
mitiguen los riesgos.
Tcnicas de reprocesamiento y anlisis de datos (evaluacin: integridad y exactitud).
Elaborar matriz para la evaluacin de segregacin de funciones en SAP.
262
c) Herramientas de auditora
Herramientas SAP
En los ltimos aos se han desarrollado herramientas para automatizar las tareas de auditora que permiten extraer y analizar los
datos centrales de SAP (perfiles de seguridad, configuraciones, etc)
utilizados para configurar el sistema de forma ms eficaz y eficiente
que utilizando procedimientos de muestreo y probar que SAP ha
sido configurado de la forma prevista.
Utilizar estas herramientas permite al auditor analizar y obtener
conclusiones relativas a toda la poblacin en lugar de extrapolar los
resultados obtenidos de una muestra.
AIS (Audit Information System)
SAP Query
Otras herramientas
Otras herramientas que se pueden utilizar son las mencionadas en
el captulo 8 sobre los CAAT: ACL, IDEA, ACL Direct Link
7.5.4. ORACLE
a) Breve apunte de la evolucin histrica
Otro actor importante en el mundo de las aplicaciones informticas es la empresa Oracle, que fue creada en 1977.
264
Figura 7.19
83. Un nivel o capa es una agrupacin lgica de servicios que puede extenderse a
travs de varias mquinas fsicas.
84. Oracle Applications Concepts, Oracle, marzo 2009.
266
c) Cuestiones de auditora
Aunque Oracle tiene productos ERP estndar (de acuerdo con la
tipologa descrita en el captulo 7.5.1), en el sector pblico espaol
las aplicaciones desarrolladas e implantadas con las herramientas Oracle hay que considerarlas, en general, como desarrollos a medida, y
en consecuencia la metodologa de auditora a aplicar debe adaptarse
a cada implantacin, no pudiendo apoyarse el auditor en controles
estndar predefinidos.
1. Principales debilidades de seguridad
Como en la auditora de cualquier ERP, un rea fundamental es la
revisin de la seguridad de los datos. En las grandes organizaciones
tanto la direccin, como los funcionarios, auditores y otros usuarios,
utilizan y confan en los datos gestionados por el ERP, por tanto,
su integridad y fiabilidad es un aspecto crtico que depende de la
existencia de un bien diseado e implantado sistema de seguridad y
de buenos controles funcionando eficazmente. Todos los aspectos
relacionados con la seguridad del sistema deben ser considerados en
las auditoras financieras.
A pesar de ser un elemento crtico como en cualquier sistema
complejo, existen una serie de debilidades que se presentan con una
cierta recurrencia. En este sentido, en la revista del Grupo de trabajo
de auditora informtica de INTOSAI se public un artculo85 en el
que se enumeraban las cinco principales debilidades relacionadas con
la seguridad en un entorno Oracle (que, por otra parte, son comunes
a cualquier ERP):
Los accesos del equipo de soporte son a menudo excesivos,
con demasiados perfiles de acceso que infringen el tradicional
principio de segregacin de funciones.
Muchas organizaciones no tienen definidas las polticas de
segregacin de funciones. Cuando estn definidas, muchas
organizaciones no tienen controles preventivos o detectivos
para hacer respetar esas polticas.
Oracle no proporciona informes estndar para identificar
conflictos de segregacin de funciones (aunque existen herramientas que pueden adquirirse por separado). Pocas organizaciones han definido sus propios informes a la medida
para hacer frente a este problema.
85. Oracle Applications: The benefits of using automated audit tools, Will Drew and
Anirvan Banerjee, intoIT n. 28.
268
Figura 7.20
4. Herramientas de auditora
Muchos entes fiscalizadores estn evolucionando hacia un enfoque de auditora integrado en el que especialistas en auditora
informtica efectan su trabajo para dar soporte en las auditoras
financieras. Debido al tamao y complejidad de los sistemas Oracle,
incluso auditores informticos cualificados pueden encontrar difcil
realizar revisiones efectivas de seguridad y controles.88
87. Segn Oracle Applications Concepts, un administrador de base de datos (ABD)
es la persona que prepara el servidor BD y las herramientas Oracle para la instalacin
de las aplicaciones, lleva a cabo tareas de mantenimiento con posterioridad y tiene
elevados privilegios de acceso a la base de datos va las cuentas SYSTEM y SYS.
88. Oracle Applications: The benefits of using automated audit tools, Will Drew and
Anirvan Banerjee.
270
Compras y pagos
Gestin de stocks
Produccin
Gestin de servicios
Gestin de proyectos
Microsoft Dynamics NAV es un ERP que tambin tiene una estructura de tres capas:
La capa de cliente incluye acceso integrado adaptado a funciones a datos y procesos.
La capa de servidor de Microsoft Dynamics NAV est integrada por completo en Microsoft.NET Framework e incluye
servicios web configurables para lograr integraciones ms
rpidas y econmicas con otras aplicaciones.
En la capa de base de datos Microsoft Dynamics NAV permite la opcin de usar una base de datos nativa denominada
'Classic' o Microsoft SQL Server como SGBD. SQL es ms
adecuada para gestionar grandes bases de datos que la nativa.
Tambin se hace referencia a Classic como C/SIDE que significa Client/Server Integrated Development Environment.
Grficamente:
Figura 7.22
273
b) Cuestiones de auditora
Al auditar la aplicacin Microsoft Dynamics NAV, habitualmente no estamos auditando un programa estndar, sino un programa
implantado en una empresa o entidad muy adaptado para gestionar
unos procesos de negocio muy concretos relacionados con la actividad del ente y que normalmente abarcan la mayora de los mbitos
de gestin de la entidad: contabilidad, financiero, personal, compras,
ventas, almacn, etc.
Por ello, la comprensin del diseo del proceso de negocio en la
entidad concreta y su configuracin en la aplicacin ser fundamental
para el desarrollo de la auditora.
Los pasos para el adecuado desarrollo de la auditora son, en muy
grandes lneas, los siguientes:
Planificacin y definicin de la auditora. En base al anlisis
previo de la actividad, la organizacin y los sistemas de informacin de la entidad, definiremos exactamente sobre que
procesos gestionados por Microsoft Dynamics NAV vamos a
realizar la auditora.
274
275
Tcnicas y herramientas
de auditora asistida
por ordenador (CAAT)
277
8.1. Introduccin
Como se ha expuesto en los captulos precedentes de este trabajo, en
los ltimos veinte aos, la potencia y capacidad de tratamiento de datos,
la capacidad de almacenamiento, y las capacidades de interconexin,
han crecido de forma espectacular. Para acompaar al auditor en sus
tareas profesionales en este nuevo entorno, los programas informticos
de auditora tambin han experimentado una notable evolucin.
Hasta los aos 1990 las principales plataformas para el tratamiento
de la informacin eran los grandes ordenadores centrales o mainframes y las utilidades para el auditor se reducan, bsicamente, a las
aplicaciones en COBOL o EasyTrieve ejecutadas en esos equipos.
Con la llegada de los miniordenadores (IBM S/36, S/38, AS/400
o DEC VAX), se desarrollaron programas para esos entornos.
La introduccin de los ERP dio lugar a nuevos retos para los
auditores, como la creacin de sistemas y bases de datos complejas
y la prdida de las pistas de auditora.
Por otra parte, a medida que los ordenadores personales fueron
consolidndose como herramientas de gestin e incrementando
su capacidad de almacenamiento y de proceso, mucho software de
gestin ha ido desplazndose hacia estos equipos. Los auditores tambin vieron en los ordenadores personales un buen instrumento para
desarrollar su trabajo y se desarrollaron herramientas informticas de
auditora como ACL e IDEA.
Como organizacin pionera en el mbito del estudio de la interrelacin entre las TIC y la auditora, el Instituto Canadiense de Auditores de Cuentas (CICA), cre en 1987 un programa de extraccin y
anlisis de informacin, como respuesta a la creciente automatizacin
informtica de la contabilidad de las empresas. A partir de esta semilla nacieron dos empresas en Canad: ACL Services Ltd e IDEA;
ambas empresas continan siendo lderes hoy da en el mercado de
herramientas informticas para la auditora.
Tanto los productos de ACL como los de IDEA tienen unas funcionalidades muy similares y son herramientas utilizadas por la mayor
parte de los auditores pblicos y privados de todo el mundo.
279
Actualmente existe en el mercado un amplio abanico de sistema informticos integrados con un mayor o menor grado de
estandarizacin, que ofrecen una variedad de funcionalidades y
servicios a las administraciones y empresas impensable hace unos
pocos aos.
Aunque los objetivos generales y el alcance de una fiscalizacin no
cambian al realizarse en un contexto informatizado; no obstante, el
auditor al determinar los procedimientos de auditora ms eficaces en
este entorno deber tener en cuenta la posibilidad de aplicar tcnicas
que utilizan al ordenador como una herramienta de auditora. Este
tipo de herramientas se conocen como tcnicas de auditora asistida
por ordenador (Conocidas por el acrnimo ingls de computer assisted audit technics CAAT).
Las tcnicas de auditora asistida por ordenador son un conjunto
de tcnicas de auditora que emplean herramientas informticas (programas, utilidades) a lo largo de las distintas fases (planificacin,
ejecucin e informe), o dentro de las distintas funciones (direccin,
administracin y ejecucin) de un auditora.
As definidas, estas tcnicas son aplicables en todos y cada uno de
los distintos tipos de auditora (financiera, operativa, de legalidad,
informtica, etc.).
Las CAAT constituyen un medio, sin ser un fin en s mismas;
la utilizacin de CAAT debe planificarse y emplearse slo cuando
aporten un valor aadido o cuando los procedimientos manuales no
puedan aplicarse o sean menos eficientes.
El objetivo final ser obtener evidencia informtica, tal como
queda definido este trmino en las Normas de Auditora del Sector
Pblico de la IGAE: Informacin y datos contenidos en soportes
electrnicos, informticos y telemticos, as como elementos lgicos,
programas y aplicaciones utilizados en los procedimientos de gestin
del auditado.
8.2. Tipos de CAAT
Aunque en la introduccin solo se ha hecho referencia a dos herramientas concretas (IDEA y ACL), la realidad es que existen muchas herramientas informticas que ayudan al auditor a desempear
su trabajo, que podran clasificarse de la siguiente forma:
1. Programas de gestin de la auditora (papeles de trabajo electrnicos).
280
Segn una encuesta internacional91 las principales herramientas informticas utilizadas para este propsito son
Figura 8.1
2. Programas ofimticos
Hojas de clculo.
Procesadores de textos.
Gestores de bases de datos.
Programas de presentaciones.
Programas para el diseo de procesos.
3. Herramientas de anlisis y extraccin de datos.
Segn la misma encuesta las principales herramientas informticas utilizadas en el mundo para este propsito son
Figura 8.2
91. Fuente: Software trend spotting publicado por Neil Baker en la revista Internal audit de agosto 2009. Segn encuesta a nivel mundial realizada en 2009
por The IIA.
281
Figura 8.3
Adems fabricantes de software independientes han desarrollado gran nmero de herramientas de auditora para los
principales ERP.
7. Paquetes estadsticos
Existen numerosos productos estadsticos, entre los ms conocidos: SPSS (Statistical Package for the Social Sciences),
SAS (Statistical Analysis System) y Statgraphics. ACL e IDEA
incluyen sencillos, pero tiles, mdulos estadsticos.
92. Segn Guidelines on computer assisted audit tools (CAATS), del Tribunal de
Cuentas Europeo, 2006.
282
Aunque los auditores utilizarn gran parte de los tipos de herramientas vistas en este apartado, en este trabajo, nos centraremos en
el anlisis de los programas o Herramientas de Anlisis y Extraccin
de Datos (HAED), ya que son programas creados especficamente
para ayudar al auditor a cumplimentar ms eficaz y eficientemente
sus pruebas de auditora.
8.3. Herramientas de anlisis y extraccin de datos
8.3.1. Caractersticas principales
Las dos principales herramientas de auditora existentes en el
mercado para el anlisis y extraccin de datos (HAED) son ACL e
IDEA. En este captulo 8 nos referiremos bsicamente a las caractersticas y funcionalidades de estas dos herramientas que son muy
similares y permiten analizar los datos en casi todos los formatos,
de prcticamente todas las plataformas, as como procesar grandes
volmenes de datos.
Para entornos mainframe y muy grandes volmenes de datos
(entidades financieras) es muy utilizada la herramienta CA-Easytrieve.
283
Las HAED son herramientas de apoyo en labores de anlisis de informacin, extrayendo la informacin de la empresa y generando documentacin de los resultados del estudio de la informacin contable.
Aunque sera casi interminable enumerar todas las funciones de
estas herramientas, algunas de sus caractersticas principales son:
a) Funciones de extraccin
b) Indexacin y clasificacin
c) Funciones de anlisis
d) Funciones de muestreo
284
Permite modificar la informacin una vez sta ha sido importada. Entre otras, tenemos la posibilidad de fusionar archivos,
Permiten la confeccin y edicin de informes con los resultados del trabajo, que se incorporarn en la documentacin
de las auditoras.
g) Imprimir/Visualizar ficheros
examinar la totalidad de las mismas o, al menos, un mayor nmero de transacciones que las seleccionadas por otros medios.
Al aplicar procedimientos de revisin analtica, los detalles de
las transacciones o saldos pueden ser revisados ms eficientemente mediante el uso del ordenador que manualmente, logrando ms fcilmente informacin sobre partidas inusuales.
El uso de las CAAT en los procedimientos sustantivos proporciona evidencia adicional de calidad a los procedimientos
de cumplimiento relacionados con ellos.
e) Tiempo
Ciertos registros pueden ser retenidos slo por perodos cortos de
tiempo y pueden no estar disponibles de forma legible para cuando
se los necesita. Por ello, el auditor precisar tomar medidas para ordenar la retencin de los datos que va a necesitar, o bien para alterar
la programacin de la parte del trabajo que requiera tales datos.
f) Uso creciente de ERPs
El incremento exponencial del nmero de las transacciones que se
producen en las empresas y entidades, la generacin de transacciones
automatizadas, la ausencia de documentos de entrada en soporte
tradicional de papel o la falta de rastro visible pueden exigir, exigen,
el uso de CAAT en la aplicacin de procedimientos sustantivos y de
cumplimiento.
8.3.6. Ventajas e inconvenientes de la utilizacin de CAAT
a) Ventajas
Las CAAT facilitan la labor del auditor y permiten incrementar la
calidad de los trabajos, aportando indudables ventajas en trminos de
productividad y eficacia. Entre las principales ventajas, puede citarse:
1. La primera es que permiten al auditor extraer datos de grandes
bases de datos y analizarlos sin necesitar ayudas externas.
2. La obtencin de una evidencia de auditora de mejor calidad que la obtenida manualmente especialmente en grandes
clientes y entorno informticos complejos, ya que posibilita
leer y analizar ficheros y bases de datos completas, en lugar
de una muestra, permitiendo analizar todos los datos, reprocesar tareas al 100% y extraer todas las excepciones, en
lugar de realizar una proyeccin de los resultados estadsticos
obtenidos de un muestreo.
288
los datos de origen, los comandos, las expresiones y las variables que
se utilizarn.
Para lograr un objetivo es posible que se necesite ms de un paso,
de manera que deber articularse y revisarse un enfoque detallado
paso a paso antes de comenzar. Este proceso ayudar a garantizar
que no se produzcan eventos imprevistos durante el procesamiento
y que se consideren todos los resultados posibles.
Adems, ofrece una visin integral que permite identificar los procesos
que pueden ejecutarse con mayor eficiencia con otra funcionalidad.
No siempre es factible planificar con total detalle, sobre todo en
los primeros aos de uso de un CAAT, ya que es un proceso que
se va perfeccionando con la experiencia adquirida. Cuando ya se
tiene una experiencia slida es posible planificar con mucha mayor
precisin y eficiencia.
8.4.2. Adquirir los datos
Hay que obtener acceso fsico y lgico a los datos de origen necesarios, identificando su ubicacin y formato. Segn el tipo de anlisis
que se pretenda realizar, es posible que se tenga que depender de
terceros para que suministren los datos que se necesitan.
Los datos de origen pueden encontrarse en un mainframe, un
servidor de red o en un ordenador personal.
Pueden tener cualquier estructura de registro, ser de diversos
tipos y estar almacenados en discos duros, CD u otros dispositivos
de almacenamiento.
Es necesario que se planifique el proceso para obtener los datos
requeridos. Puede necesitarse la ayuda o el permiso de terceros para
acceder a determinados datos, especialmente si se trata de un sistema
importante.
a) Pautas para adquirir datos
Independientemente de cmo se obtengan los datos, se pueden
seguir las pautas que se indican a continuacin:
1. Solicitar los datos como ODBC o como archivo plano
Si bien ODBC representa un mtodo vlido para acceder a los
datos, los archivos planos secuenciales constituyen otra alternativa
muy adecuada. Si los datos estn en una base de datos relacional,
conviene convertirlos a un archivo plano antes de descargarlos o
copiarlos. En esta fase se requerir la ayuda de un informtico de la
entidad fiscalizada.
292
Normalmente, con ficheros ACCESS, EXCEL, TEXTO DELIMITADO y DBASE el asistente acta automticamente detectando
las caractersticas del fichero, y no necesitaremos aadir ninguna
informacin al incorporar el fichero.
Si es un fichero de TEXTO sin caracteres de separacin de los
campos se debe introducir esta informacin (sobre las caractersticas
de los campos) a la HAED, para lo cual debe haberse obtenido del
suministrador del fichero.
Tambin se puede definir o redefinir las caractersticas de los campos ya incorporados a una tabla, manualmente.
8.4.4. Verificar la integridad de los datos
Una de las primeras tareas en el anlisis de datos es garantizar
que los datos con los que se est trabajando son completos y vlidos
(fiables).
La verificacin es muy importante al trabajar con archivos de datos
que no contienen informacin sobre su propio diseo de registro.
Al solicitar las bases de datos con la informacin a la entidad auditada, se solicitar al mismo tiempo la siguiente informacin sobre
cada uno de los ficheros que vayan a facilitar: n. de registros del
fichero, totalizacin de uno de los campos numricos, denominacin
y descripcin de cada una de los campos y, en su caso (para ficheros
de texto no definidos), las longitudes de los campos.
Se pueden usar distintos mtodos de prueba, como por ejemplo
contar los registros, totalizar los campos y verificar los datos a fin de
garantizar que:
los archivos contienen el nmero correcto de registros, son
correlativos, no hay faltantes ni duplicados.
los totales numricos corresponden a los totales de control
proporcionados por los propietarios de los datos.
los campos contienen solo datos vlidos.
8.4.5. Analizar los datos
Las etapas anteriores son preparatorias, para obtener los datos a
auditar y comprobar que no ha habido errores o fallos en su obtencin y que son fiables.
Ahora toca auditarlos utilizando toda la potencia analtica de
estas herramientas. Algunos de los usos posibles se han indicado en
el apartado 8.4.3.
294
296
Primer dgito
Frecuencia
30,10%
17,61%
12,49%
9,69%
7,92%
6,69%
5,80%
5,12%
4,58%
Podremos extraer estos justificantes y verificar si el comportamiento anmalo es justificado y se ajusta a las normas de
gestin y a los principios contables.
96. En las pginas web de los tres Foros tecnolgicos de los OCEX celebrados hasta
la fecha se pueden consultar numerosos casos prcticos sobre la utilizacin de ACL
e IDEA, incluyendo la aplicacin de la Ley Bendford.
298
A travs de las opciones se puede indicar en el papel de trabajo: Fecha del trabajo, tablas utilizadas en el anlisis, comandos
utilizados para la extraccin de datos y fichero de destino del
resultado del trabajo, de forma que el que realiza la revisin
del trabajo puede ver detalladamente todos los pasos y, en su
caso, reproducir la prueba.
g) Solicitar justificacin a los auditados sobre los datos anmalos: facturas, resoluciones, expedientes de subvencin o de
contratacin,
La tabla que hemos obtenido de datos anmalos la imprimiremos o la exportaremos a un fichero Excel, Access y solicitaremos los justificantes de los datos que consideramos que
no son normales y puedan contener incidencias.
299
Anexos
301
1. Inventario de aplicaciones
Para cada uno de los siguientes ciclos de negocio, identifique la
aplicacin/es que los soportan:
Contabilidad
Ingresos
Tributos
Concesin subvenciones
Compras
Existencias
Tesorera
Recaudacin
RRHH
Activos Fijos
Gestin de proyectos
Contratacin
Alguna de las anteriores actividades es realizada por alguna organizacin externa (OE) a su entidad y con una infraestructura tecnolgica propia? Cul? Para cada una de ellas, identifique:
Nombre y ubicacin de la OE
Descripcin del servicio externalizado
Contrato con la organizacin externa. Alcance del mismo.
Cunto tiempo se lleva trabajando con esta OE?
Informes de control recibidos de la OE (contenido, periodicidad, acciones derivadas de los mismos, valoracin general
del grado de satisfaccin del cliente, problemas significativos
durante el servicio prestado, etc.)
Informes de los auditores de la OE
Accesos remotos / conexiones que se mantienen entre dicha
organizacin y su entidad
Para cada una de las aplicaciones identificadas, describa el entorno
tecnolgico que la soporta:
Departamento responsable de la aplicacin (usuario principal).
Usuario Responsable
Jefe de Proyecto de Desarrollo
Infraestructura tecnolgica que soporta la aplicacin
Servidor/es
304
Software de Aplicacin
Sistema Operativo
SGBD
Principales flujos de informacin que mantiene la aplicacin
Entre los usuarios y la aplicacin
Con otras aplicaciones dentro de la entidad
Con entidades fuera de la entidad (otros organismos,
proveedores, clientes, etc.)
2. Organizacin y personal del entorno del Proceso Informtico
Describa la estructura del rea de TI de la entidad. Para cada una
de las reas relevantes, identifique el nmero de personas y el nombre
y cargo del personal clave:
Departamento/
U. Negocio
# Personas
Documentacin necesaria:
Organigrama general de la entidad (incluyendo el rea de
tecnologa)
Organigrama del rea de tecnologa
Documento de funciones y responsabilidades de cada una de
las subreas de tecnologa
Contrato con proveedores de outsourcing
Informes de calidad de servicio. Se han definido unos parmetros que permitan cuantificar el grado de cumplimiento
de los niveles de servicio establecidos?
3. Estrategia y planificacin de las fuentes de informacin
Dispone la entidad de un plan estratgico de los sistemas de
informacin?
Dispone la entidad de un presupuesto anual de inversin en
materia tecnolgica?
Describa brevemente, los principales proyectos tecnolgicos acometidos durante el litimo ejercicio y enumere los principales proyectos previstos para el prximo ejercicio.
Documentacin necesaria:
Copia del Plan Estratgico de Sistemas de Informacin
4. Planificacin continuada del negocio
Dispone la entidad de un Plan de Recuperacin de Desastres?
Describa brevemente la estrategia de recuperacin de los SSII
implantada en la entidad:
Identificacin de los sistemas crticos.
Arquitecturas de Alta Disponibilidad.
Acuerdos de Reposicin
Ubicaciones alternativas de procesamiento
Generacin de Copias de Respaldo
Alcance de las copias
Periodicidad de ejecucin
Tipo de copia (total/incremental)
Herramienta/s empleada/s para la generacin de las
copias de respaldo
306
Lugar de almacenamiento
Poltica de Archivo
Se realizan pruebas peridicas del Plan? Con qu frecuencia?
Al margen del Plan de Recuperacin ante Desastre, dispone la
entidad de un Plan de Continuidad de Negocio?
Documentacin necesaria:
Copia del Plan de Recuperacin de Desastres.
Copia del Plan de Continuidad de Negocio.
Copia de los resultados de las litimas pruebas del Plan.
5. Operacin de los Sistemas de Informacin (Mantenimiento)
Describa brevemente los principales procedimientos de las operaciones de los SSII:
Planificacin de tareas
Describa brevemente los principales procesos que se ejecutan de manera planificada
Describa la herramienta de planificacin empleada
Identifique al personal encargado de planificar los trabajos y de monitorizar su ejecucin
Administracin de sistemas
Describa los procedimientos gestin de la capacidad de
los servidores
Dispone de procedimientos formalizados de instalacin
de servidores/productos?
Dispone de guas de configuracin segura del sistema operativo?
Existe un procedimiento de actualizacin del sistema operativo?
Identifique al personal encargado de planificar los trabajos y de monitorizar su ejecucin
Administracin de usuarios. Para cada uno de las aplicaciones
identificadas, describa el procedimiento de gestin de usuarios:
Responsable de administracin de usuarios (departamento usuario vs sistemas).
Procedimiento de gestin de peticiones (alta/baja/modificacin).
307
Controles de humedad
Sistemas alternativos de suministro de energa
SAI
Falso suelo / Falso techo
Documentacin necesaria:
Ser necesario realizar una visita a los CPDs de la entidad
11. Implantacin y mantenimiento de los sistemas de la
aplicacin
Clasifique cada una de las aplicaciones identificadas que soportan los principales procesos de negocio, segn la siguiente clasificacin:
Software propio desarrollado por la organizacin
Software comprado con pequeas o ninguna personalizacin
Software comprado con personalizacin significativa
Software propiedad de una empresa de Outsourcing
Disponen de acceso a una copia actualizada del cdigo fuente
de todas las aplicaciones significativas? De cules no?
Se dispone de una metodologa para el desarrollo y mantenimiento de las aplicaciones? Si no es as, describa las principales tareas
que se realizan en cada una de las fases tpicas del Ciclo de Vida de
Desarrollo:
Anlisis de requerimientos: cmo se reciben las peticiones de
los usuarios, quin las evala, cmo se aprueban, etc.
Anlisis funcional.
Desarrollo.
Herramienta de gestin de versiones empleada
Existe un entorno de desarrollo separado del entorno
de produccin?
Prueba
Existe entorno de pruebas?
Tipos de pruebas a considerar:
Unitaria.
Integracin.
Certificacin.
313
Pase a produccin
Se producen accesos de los analistas/desarrolladores a
produccin?
Quin tiene acceso para actualizar las bibliotecas de cdigo fuente de los programas?
Quin tiene acceso para actualizar las bibliotecas ejecutables de los programas?
Herramienta de automatizacin de pase a produccin
Mantenimiento
Gestin de incidencias
Documentacin necesaria:
Copia de la Metodologa de Desarrollo de la Entidad
12. Implantacin y mantenimiento de las bases de datos
Enumere las diferentes soluciones de software gestor de bases
de datos (SGBD) que utilizan las aplicaciones informticas dentro
del entorno de procesamiento e indique las aplicaciones correspondientes:
SGBD
Aplicaciones
Evaluacin del efecto del nuevo software de sistemas o modificaciones sobre el procesamiento de aplicaciones informticas.
Aprobacin de la puesta en marcha de nuevo software y/o
modificaciones del existente.
Implantacin de los programas nuevos o modificados desde
la fase de desarrollo/pruebas a produccin.
Validacin de la integridad y precisin de procesamiento del
software nuevo o modificado.
14. Soporte del hardware
Para el ordenador/servidor central y otros equipos significativos
(no slo los que soportan las aplicaciones identificadas) dentro del
entorno de proceso informtico, facilite la siguiente informacin:
Fabricante y modelo
S.O. y versin
Ubicacin
Ao
315
NO
COMENTARIOS
Deteccin de Incendios
Detectores de Temperatura
Detectores de Humo
Detectores por debajo de Suelo Tcnico
Sistemas de Alarma (La alarma debera estar conectada a un panel fuera
del rea protegida para ayudar a localizar el origen de la alarma.)
Sistema de Extincin de Incendios
CO2
Halon
FM200
H20
Dry pipe with H20
Las paredes de la Sala de Servidores se
extienden hasta el techo real
Aire Acondicionado
Aire acondicionado adecuado
Si hay ventanas, ests securizadas y
reforzadas?
Ventanas ciegas para reducir la visin
y el calor
Agua
Tanques de Agua en la proximidad
Tuberas por encima de la Sala
Baos en la proximidad
Cubiertas Antigua disponibles
Sala de Servidores en Planta Baja
Si es as, riesgos de inundaciones (terreno hundido, ro cercano, incidentes en el pasado)
317
Infraestructura de Red
El acceso al armario de cableado es
seguro?
Es el armario de cableado fcilmente
identificable?
Est el cableado y el equipamiento
organizado y etiquetado?
El equipo se encuentra convenientemente mantenido?
Suministro Elctrico
SAI es utilizado en caso de corte o interrupciones del suministro elctrico
Duracin del SAI
SAI sometido a pruebas peridicas?
Grupo electrgeno sometido a pruebas peridicas y con depsito lleno
Equipamiento debidamente conectado a tierra
General
Acceso controlado a la Sala de Servidores
Acceso mediante tarjeta
Cmara de Seguridad
Guardia de Seguridad
PBX Securizada?
Seguridad del entorno de la Sala de
Servidores correcta?
318
Anexo 3. Bibliografa
AENOR:
Norma UNE_ISO/IEC 17799, Tecnologa de la Informacin, Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin, 2002.
Norma UNE 71502, Especificaciones para los Sistemas de
Gestin de la Seguridad de la Informacin, 2004
AMR Research: The Global enterprise Market Sizing Report 20082013. Boston, 2009.
Bae, Benjamin y Ashcroft, Paul: Implementation of ERP Systems:
accounting and auditing implications, Information Systems Control Journal volumen 5, Rolling Meadows, 2004.
Baker, Neil: Software Trend Spotting. Internal Audit, Altamonte
Springs, 2009.
Bernal Montas, Rafael y Contell Simn, scar: Auditora de
los sistemas de informacin. Universidad Politcnica de Valencia,
Valencia, 1996.
Boukachabine, Abdelrani: Oracle Database: The Database of Choice
for Deploying SAP Solutions, Oracle, Redwood Shores, 2009.
Butera, Ann: Process mapping The updated form of flowcharting.
The Whole Person Project Inc., Elmont, 2003.
Cerillo, Virginia y Michael: Impact of SAS n. 94 on Computer Audit Techniques. Information Systems Control Journal, volumen
1, 2003.
Calleja Ruiz, Ignacio: Fiscalizacin en un entorno de @-Administracin, presentacin en el VII Seminario La E-Administracin en
la funcin de control - La fiscalizacin electrnica, y la evaluacin
de polticas pblicas, que se celebr los das 16 y 17 de julio de
2009, en Maspalomas, organizado por la Audiencia de Cuentas
de Canarias.
319
Anexo 4. Glosario
ABAP/4
Advanced Business Application Programming. El lenguaje de
programacin de cuarta generacin de SAP.
ABAP/4
Actividades de control
Es una descripcin de los requisitos principales de un control.
Control activities
Anlisis del riesgo
El proceso para identificar los riesgos de un sistema y estimar la
probabilidad de ocurrencia, el impacto posible, y las acciones que
lo mitigan.
Risk analysis
Aplicacin de negocio
Una aplicacin de negocio es una combinacin de hardware y
software usada para procesar informacin de la actividad de la entidad
y da soporte a uno o varios procesos de negocio.
Pueden clasificarse en tres grupos: procesos relacionados con la
misin o actividad de la entidad, financieros, o de apoyo.
Business process application
Control a nivel de entidad (empresa)
Se trata de directivas y de procedimientos internos aplicables a
toda la empresa
A la inversa de los controles de procesos, los controles al nivel
de la empresa (en general) tienen un alcance abstracto pero ms
amplio.
Entity level controls
325
Control compensatorio
Un control interno que reduce el riesgo de una debilidad, real o
potencial, existente en otro control, que pudiera resultar en errores
u omisiones.
Compensating control
Control de acceso fsico
Este tipo de control implica restricciones de acceso fsico a los
recursos informticos y protege a esos recursos de prdidas o deterioros intencionados o accidentales.
Physical access control
Control de integridad
Controles que garantizan que todas las transacciones que han producido han sido registradas en el sistema y procesadas una sola vez.
Completeness control
Control de usuario
Los controles que son llevados a cabo por personas interactuando
con controles TI.
User control
Control interno
El control interno es un proceso integral efectuado por la gerencia
y el personal, y est diseado para enfrentarse a los riesgos y para dar
una seguridad razonable de que en la consecucin de la misin de la
entidad, se alcanzarn los siguientes objetivos gerenciales:
Ejecucin ordenada, tica, econmica, eficiente y efectiva de
las operaciones
Cumplimiento de las obligaciones de responsabilidad
Cumplimiento de las leyes y regulaciones aplicables
Salvaguarda de los recursos para evitar prdidas, mal uso y
dao.
Internal control
Controles de aplicacin
Son controles incorporados en las aplicaciones para asegurar
la integridad, exactitud, validez, confidencialidad y disponibi326
Entre los factores que influyen en el entorno de control se incluyen la filosofa de direccin, y el estilo operativo, la estructura
organizativa, mtodos para asignar responsabilidades, mtodos de
la gerencia para monitorizar el rendimiento, etc.
Control environment
ERP
Software comercial que integra toda o gran parte de la informacin
que fluye en el seno de una entidad. Los ERP estn formados por diferentes mdulos funcionales que estn integrados dentro del ncleo
del sistema o conectados mediante interfaces con sistemas externos.
ERP (Enterprise Resource Planning)
Evaluacin por comparacin
Un proceso utilizado en administracin, en particular en la administracin estratgica, en el cual las compaas evalan varios aspectos
de sus procesos de negocio con respecto a las mejores prcticas, por
lo general dentro de su propia industria.
Benchmarking
Fiabilidad
La capacidad del sistema de funcionar como los usuarios esperan.
y hacerlo consistentemente, sin fallos o comportamientos errticos
Reliability
Funcin
Es la tarea que realiza un empleado o funcionario para llevar a
cabo una parte de sus responsabilidades.
Es un subconjunto de actividades que producen un resultado u
output
Function
Infraestructura TI
Incluye software que es usado para asistir a ejecutar las operaciones del sistema, incluyendo la gestin de los dispositivos de la red.
Se incluyen los SGBD, email, plug-in, y aplicaciones no relacionadas
directamente con los procesos de negocio.
Infrastructure application
329
Interfaz
Una interfaz es un elemento del sistema que sirve a la comunicacin, al intercambio de informaciones entre diferentes componentes
y subsistemas. Una interfaz est definida por una serie de reglas.
Las interfaces entre programas (interfaces externas) y los puntos
de integracin entre diferentes mdulos (interfaces internas) son
puntos de contacto lgicos en un sistema de informacin.
Interface
Manifestacin
Afirmacin, implcita o explcita contenida en las transacciones realizadas o hechos contables ocurridos, que integran los saldos de cuentas
y las revelaciones en la memoria de las cuentas anuales. Se refieren a la
existencia, acaecimiento, integridad, valoracin, medicin, presentacin y desgloses de los distintos elementos de las cuentas anuales.
Assertion
Mapa de procesos
Es una descripcin grfica de las funciones o actividades llevadas
a cabo por una entidad.
Process mapping
Materialidad
Concepto de auditora acerca de la importancia relative de un
importe en el contexto de las cuentas anuales.
Materiality
Middleware
Software que permite la compatibilidad entre las infraestructuras tecnolgicas (fundamentalmente los SGBD) y las aplicaciones de negocio.
Tambin permite la intercomunicacin de datos entre aplicaciones
o sistemas diferentes.
Middleware
No repudio
La habilidad para prevenir a los que envan un documento que
el receptor niegue haberlo recibido y al receptor que se les niegue
que lo han recibido.
Nonrepudiation
330
Objetivos de control
Una declaracin del resultado o propsito que se desea alcanzar al
implementar procedimientos de control en un proceso en particular.
Control objectives
Parmetro
Valores que se dan a una variable. Proporcionan el medio para
adaptar (customizing) una aplicacin.
Parameter
Pista de auditoria
Un registro que muestra quin ha accedido a un sistema TI
y qu operaciones ha realizado un usuario en un periodo determinado.
Puede usarse para identificar acceso y actividades no autorizadas.
Audit trail
Plan de contingencia
Polticas y procedimientos establecidos por la direccin, diseados
para mantener o restaurar las operaciones de la entidad, incluyendo
las informticas, posiblemente en una ubicacin alternativa, en caso
de emergencias, fallos de los sistemas o desastres.
Contingency plan
Plan de continuidad de negocio
Un conjunto preestablecido de instrucciones o procedimientos que describen cmo se mantendrn un conjunto de funciones
bsicas de la entidad durante un periodo de hasta 30 das, en
caso de que suceda un desastre, hasta la vuelta a la actividad
normal.
Continuity of Operations Plan
Plan de recuperacin de desastres
Un plan escrito para poder seguir utilizando las aplicaciones importantes en caso de un fallo generalizado de hardware o de software,
o de destruccin de las instalaciones.
Disaster recovery plan
331
Plataforma
La tecnologa fundamental de un sistema informtico. Normalmente una combinacin especfica de hardware y software.
Platform
Proceso
Un proceso consiste en una serie de actividades, operaciones o
funciones (manuales, semiautomticas o automatizadas) llevadas
a cabo por una entidad, que sirven para producir un determinado
resultado (la elaboracin de productos o el suministro de servicios)
o el tratamiento de la informacin.
Process
Proceso de negocio
Consiste en una serie de actividades, operaciones o funciones
(manuales, semiautomticas o automatizadas) llevadas a cabo por
una entidad, que sirven para llevar a cabo su misin y desarrollar su
actividad (la elaboracin de productos o el suministro de servicios)
o el tratamiento de la informacin.
Business process
Propietario
Gerente o director que tiene la responsabilidad de un determinado recurso de TI (SO, SGBD, aplicacin, ).
Owner
Regla de gestin
Reglas o instrucciones que deben ser tenidas en cuenta en las
especificaciones de una aplicacin, su desarrollo e implementacin.
Tienen un impacto importante en el diseo del sistema de control
interno y en la concepcin y eficacia de los controles clave.
Business Rule
Prueba de recorrido
Una prueba de recorrido consiste en reproducir y documentar las
etapas manuales y automticas de un proceso o de una clase de transaccin, sirvindose de una transaccin utilizada como ejemplo. Sirve
para verificar la comprensin del proceso de negocio, subproceso o
actividad analizada, los riesgos y los controles clave relacionados.
Walktrough
332
Repudio
La negacin por una de las partes que intervienen en una transaccin, de su participacin total o parcial en la misma o sobre el
contenido de las comunicaciones relacionadas con la misma.
Repudiation
Riesgo de auditora
El riesgo de auditora es la evaluacin hecha por el auditor del
riesgo de que las cuentas anuales contengan un error o irregularidad significativa no detectada una vez que la auditora ha sido
completada.
Audit risk
Riesgo de control
En una auditora financiera, es el riesgo de que los sistemas de
control no puedan evitar o detectar y corregir errores o irregularidades significativas en forma oportuna.
Control risk
Riesgo residual
Riesgo existente despus de aplicar las medidas de control.
Residual risk
Segregacin/separacin de tareas
Un control interno bsico que previene y detecta errores o irregularidades por medio de la asignacin a individuos diferentes, de
la responsabilidad de iniciar y registrar las transacciones y la custodia
de los activos.
Segregation / separation of duties
Sistema de informacin
Un sistema de informacin consiste en los procedimientos, documentos y registros establecidos para iniciar, registrar, procesar y
reportar las transacciones de la entidad (as como los hechos y condiciones) y mantener un control responsable de los activos, pasivos
y fondos propios.
Information System
333
Sistema operativo
Software que controla la ejecucin de otros programas de ordenador, programa tareas de la CPU, distribuye el almacenamiento,
gestiona las interfaces con hardware perifrico y muestra la interfaz
por defecto con el usuario cuando no hay funcionando ningn otro
programa.
Operating system
SOA
Arquitectura orientada al servicio.
SOA (Service-oriented architecture)
Superusuario
Usuario que tiene las ms amplias capacidades de gestin del
sistema.
Super user
334