Auditoria de sistemas de información.

Actualmente, cualquier empresa, ya sea de tamaña chico, mediano o grande; tiene

una alta dependencia con respecto a los sistemas. Ya sean sistemas de gestión
empresarial, como sistemas que administran el flujo de producción, etc.. Por esta
razón en cualquier auditoría, tanto interna como operativa, es necesario tener en
consideración el impacto de los mismos.

Por otra parte, la información que actualmente utilizamos para realizar nuestro
trabajo de auditoría se encuentra soportada en dichos aplicativos (ya se de
gestión: ERP, Bases de Datos, etc.). Un sencillo ejemplo es el caso del Sumas y
Saldos o bien del Aging de una compañía, que muchas veces solicitamos a los
fines de realizar nuestros procedimientos de auditoría. Ahora bien, toda esta
información es generada por aplicaciones, la cuales si no tienen un adecuado
marco de control interno definido, harán que la información que proveen sea
errónea. Por consiguiente, dado que mucha de esta información el auditor la utiliza
a los fines de poder emitir una opinión, corremos el riesgo de emitir una opinión
que no se ajuste a la realidad.

Es innegable entonces que los sistemas de información han tomado un aspecto

preponderante, que el auditor debe considerar al momento de llevar a cabo la
auditoría.

A continuación se exponen, de forma resumida, algunos de los aspectos que se

deberán estar teniendo en consideración, a los fines de realizar una auditoría (ya
sea realizada por nosotros mismos o bien aspectos que deberemos considerar al
momento de revisar el trabajo de otros).

1. Existencia de interfaces: En gran cantidad de empresas el mapa de sistemas

con el cual nos encontramos es de una complejidad considerable. Tenemos un
gran número de aplicaciones conviviendo entre sí, enviando y recibiendo
información. Ahora bien, cuando realizamos el análisis de este mapa de sistemas
encontraremos aplicaciones que tienen una mayor relevancia que otras, por
ejemplo una aplicación que administra determinadas compras de una empresa y
que interfacea (comunica) con los sistemas contables de la compañía, no es lo
mismo que una aplicación que administra las hojas de ruta de los camiones de
una empresa distribuidora. Ambos aplicativos son relevantes al momento de la
operatoria, pero el primero impacta de forma directa en la información contable de
la compañía.

Entonces ¿qué debemos tener en consideración al momento de analizarla?, la

respuesta es la integridad y exactitud de la información que es enviada o recibida
por dicha interface - por integridad entendemos que todas las operaciones que se
generaron en dicho aplicativo finalmente serán trasladadas a la contabilidad, por
exactitud que los montos y/o tipos de documentos que originaron esas
operaciones queden correctamente reflejados en el aplicativo de destino. ¿Cómo
garantizamos esto?, básicamente a través de un robusto control de la interface,
generalmente relacionado con la existencia de un log que detecte errores, y el
control manual posterior de una persona que realice el seguimiento de esos log´s
y en caso de existir errores, realice las acciones de seguimiento y corrección
necesarias.

2. Segregación de funciones: La segregación de funciones tiene un impacto

relevante en todos los aplicativos de una compañía. Muchas veces su impacto no
puede ser medido de forma directa, pero es innegable que una inadecuada
segregación de funciones puede acarrear el riesgo de errores y/o fraudes dentro
de una organización. Por esta razón es necesario analizar la segregación de
funciones existentes entre los aplicativos más relevantes dentro de una empresa.
El utilizar una matriz de doble entrada con los principales casos de segregación de
funciones que la empresa debería cumplir, es un buen comienzo para realizar
dicho análisis.

3. Identificación de las aplicaciones relevantes: a los fines de optimizar nuestra

auditoría uno de los aspectos fundamentales es definir las aplicaciones relevantes,
las cuales; en el caso que nos encontremos dentro del marco de una Auditoría
Contable, serán aquellos que impacten de forma significativa en los estados
contables de la compañía. Un ejemplo sencillo es el siguiente; si nosotros tenemos
un sistema que soporta la registración contable, otro sistema que genera las
ventas, otro sistema que administra la carga en buque de productos, otro que lleva
la hoja de ruta de los camiones para su distribución. Realizado este análisis de
impacto, estaremos tomando para nuestra revisión el sistema que genera la
información contable y el sistema que administra las ventas. Ahora bien,
profundizando el análisis, seguramente también estaremos analizando las bases
de datos que soportan ambos sistemas, y ¿por qué hacemos esto?, básicamente
porque la información que se genera en las aplicaciones, es almacenada en
dichas bases de datos. Por lo tanto, cualquier modificación no autorizada de datos
podría realizarse tanto a nivel del aplicativo de gestión como a través de la edición
directa de los datos en la Base de Datos.

4. Controles automáticos definidos en la aplicación: La ventaja de un control

automático, es que si se cumplen determinados condiciones en los Controles
Generales del Ambiente de Computo (ITGC), podemos garantizar que el control
será efectivo en cualquier momento, ya que no dependemos del factor humano
para su realización. Estos controles automáticos complementan a los manuales
que puede tener definido la compañía, y lo que hará es fortalecer el marco de
control interno de la misma.

Un ejemplo concreto de la necesidad de tomar en consideración estos factores es

el siguiente ejemplo:

Como Auditores Externos de una compañía, un reporte de relevancia es el Sumas

y Saldos. Ahora bien, nuestra compañía tiene un ERP, pero que no tiene integrado
el módulo de Ventas, es decir este módulo tiene una interface que lo comunica
con el ERP.

Por lo tanto ¿Cómo garantizamos que todas las ventas sean integras y exactas?,
precisamente a través del análisis y evaluación de controles sobre la interface.

Adicionalmente, y nuevamente nos hacemos la pregunta; ¿Cómo garantizamos

que todas la ventas sean integras y exactas? Evaluando la segregación de
funciones, tanto en el aplicativo de origen como en el de destino (No olvidar en
este caso la importancia en la auditoría de la evaluación de los asientos manuales
generados).
Y por último, nos hacemos la misma pregunta ¿Cómo garantizamos que todas la
ventas sean integras y exactas?, entendiendo, evaluando y validando los controles
automáticos relevantes (Key Controls) existentes en la aplicación.

Estos aspectos considerados, son sólo un ejemplo de otros varios que tenemos
que tener en consideración al momento de analizar un proceso soportado por una
aplicación.

Importancia de los Controles Generales del Ambiente de Computo (ITGC) y como

los controles a nivel aplicación se asientan sobre estos.

La auditoría ha evolucionado de una primera época en el cual el enfoque era

netamente sustantivo, a uno en el cual se tiende a optimizar el esfuerzo a los fines
de obtener y validar la evidencia. Dentro de esta nueva tendencia se encuentra el
muestreo estadístico y el realizar la auditoría con un enfoque de cumplimiento.

Un tema no menor a tener en consideración es como realizar un esfuerzo de

auditoría que sea eficiente, logrando la mayor relación entre los resultados
obtenidos vs. el esfuerzo en horas invertido. Y esto se logra a través del enfoque
de auditoría que apliquemos. Un enfoque de cumplimiento en controles nos
permitirá entender, evaluar y validar los controles claves existentes en una
compañía, y de esta forma realizar las pruebas sustantivas mínimas y necesarias.

Parte de estos controles claves, estarán soportados por una aplicación (serán
tanto controles automáticos, como controles dependientes de los sistemas como
p.e. el Listado de Facturación, de Cobranzas, etc.). Ahora bien, para poder lograr
confiar en los controles definidos a nivel de aplicación, deberemos ir un paso hacia
atrás, es aquí donde antes de poder confiar en el funcionamiento y controles
asociados a cualquier aplicación deberemos ver los Controles Generales del
Ambientes de Computo (ITGC), esta dimensión incluye los controles relacionados
con:

- Desarrollo de aplicaciones;
- Cambios a Programas;

- Operaciones;

- Acceso de Datos y Programas.

Estos son básicamente los controles asociados al área de sistemas, constituyen el

primer escalón en la definición de controles. Los controles sobre las aplicaciones
financieras relevantes se asientan sobre estos. ¿Qué significa esto?, que pudimos
haber concluido que los controles automáticos asociados a un ciclo particular, por
ejemplo RRHH, funcionan. Pero si no realizamos la evaluación de los ITGC, no
puedo estar concluyendo que los mismos funcionan de forma uniforme y efectiva a
lo largo de un determinado período de tiempo, ¿por qué?:

- porque cualquier persona podría estar modificando la configuración del sistema

en cualquier momento, y un control automático que en un momento particular
estaba activado, al otro día puede no estarlo,

- porque cualquier persona podría estar accediendo a la Base de Datos utilizada

por la aplicación y por consiguiente modificando las mismas, lo que significa que
por más que no se pueda modificar la nómina del personal a través de la
aplicación, se podrían estar realizando los cambios directamente sobre las tablas
que contienen la información.

Estos dos ejemplos, son algunos de los que se nos pueden plantear si no tenemos
en consideración los ITGC y por consiguiente representan una limitación
importante en nuestra opinión sobre si un control estuvo vigente o no.

Metodológicamente una vez que hayamos realizado las pruebas necesarias sobre
esta dimensión, y concluido sobre el nivel de confianza de los mismos, podremos
comenzar nuestro análisis sobre los sistemas relevantes que soportan la gestión
financiera, productiva, etc., de cualquier empresa.