Documentos de Académico
Documentos de Profesional
Documentos de Cultura
7011-Texto Del Artículo-9611-1-10-20130128
7011-Texto Del Artículo-9611-1-10-20130128
ÍNDICE
Resumen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Abstract. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
Introducción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
La pista de auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469
Definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470
Propósito de las pistas de auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
Necesidad de las pistas de auditoría. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Programas para la generación de las pistas de auditoría. . . . . . . . . . . . . . . . 473
Aspectos a considerar en el diseño de pistas de auditoría. . . . . . . . . . . . . . . . 474
Estructura de datos o registro extendido . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
Utilización de bitácoras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Revisión y análisis de bitácoras. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
Cómo hace buen uso de las bitácoras. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Dispositivos de alerta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477
Pistas de auditoría en las áreas de control de los sistemas de aplicación . . . 478
Relación de las pistas de auditoría con el concepto de ciclo
de vida de desarrollo de sistemas (CVDS). . . . . . . . . . . . . . . . . . . . . . . . . . . . 480
Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481
Referencias bibliográficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
1
Doctor en Ciencias de la Educación; Máster en Auditoría Informática; Licenciado en
Administración de Negocios. Profesor en la Universidad de Costa Rica; en el Instituto
Tecnológico de Costa Rica y en la Maestría de Auditoría Informática en la UCR. Autor de
varios artículos relacionados con sus especialidades y de libro titulado: “Auditoría de aplica-
ciones informáticas –Factores relevantes”.
seguido@ice.co.cr
468 Sergio Espinoza Guido
Resumen
Para llevar a cabo un examen, revisión o auditoría, se hace necesario, para poder
emitir una opinión sobre el trabajo realizado, recopilar la evidencia suficiente
y apropiada que sir va e base para sustentar las conclusiones, opiniones y
recomendaciones. Debido a que en muchas ocasiones es difícil realizar este proceso,
es necesario usar las pistas de auditoría. Lo que se busca con su aplicación, es una
orientación hacia la correcta dirección de las pruebas, con el fin de que conduzcan por
el camino correcto para hallar la evidencia que sea de utilidad.
Este tipo de prueba tiene una función relevante, que permita tener un mejor criterio
a la hora de determinar y esclarecer ciertos hallazgos. Lo que se pretende es dar un
nuevo enfoque al uso y aplicación de este tipo de instrumento.
Abstract
es fiel reflejo del cálculo; en este caso debe respectivo o la transferencia electrónica al
revisarse todo el proceso paso por paso; banco correspondiente.
- el pago a los proveedores normalmente sale b. La cantidad total que debe un cliente, se
en forma de cheque, de depósito o de trans- puede seguir hasta el documento que origi-
ferencia electrónica de fondos, sin embargo, nó su cuenta y los recibos de pagos periódi-
los respaldos están conformados por varios cos, que produjeron el saldo adeudado.
documentos: requisición, cotizaciones, c. Una orden de pedido o de compra, “dispa-
orden de compra, factura, entrada a bodega, rada” por una reducción de los inventarios,
recibido conforme y orden de pago; las cifras por debajo del punto de pedido o de reorden;
en cada uno de ellos deben coincidir entre se pueda detectar fácilmente.
ellas y con el pago final; d. Que se puedan obtener con facilidad los
- el pago de los cupones de un certificado documentos, comprobantes de diario y los
de depósito a plazo, se hace con base en listados de las partidas contables, que afec-
cálculos complejos en donde intervienen tan los proyectos en proceso.
diversos conceptos: tasa de interés, plazo, e. La cantidad total que tiene un asociado (a),
montos, preferencias, desmaterialización, se puede seguir hasta el documento que
fechas, decimales, etc., el cálculo de los inte- originó su cuenta y los recibos de ahorros
reses a pagar se basa en todos ellos, lo que o inversiones periódicos, que produjeron el
podría ocasionar variaciones relevantes, que saldo acumulado.
de no controlarse acarrearía situaciones
irregulares; Como parte del desarrollo de las aplica-
- la planilla semanal, por horas trabajadas; la ciones se deben establecer políticas, estándares
de pagos a destajo y la de pagos por comisio- y procedimientos que exijan a los desarrollado-
nes, son sumamente complejas y dependen res, sean internos o externos, a incluir este tipo
de factores que pueden cambiar los resulta- de procesos en los sistemas que se diseñen en el
dos de salida; futuro; además, tanto la Administración como
- el uso y aplicación de las materias primas, la Auditoría Interna deben establecer, para cada
cuando se trata de productos que utilizan sistema específico, los requerimientos que esti-
una mezcla compleja de ellas, se vuelve men les pueden ser de utilidad en el proceso
complejo por la cantidad de cálculos que de revisión posterior de la aplicación que se
deben realizarse antes de iniciar un lote de desarrolle.
producción; lo que podría ocasionar pérdi- Este concepto de “pistas” o “rastros” son
das importantes en su manipulación. de gran utilidad tanto para la auditoría, en sus
labores de revisión, así como para la adminis-
Si se toma en cuenta que la pista de audi- tración, ya que permiten ejercer el control de
toría no es un control, sino que es un proce- una manera mucho más eficiente.
dimiento de auditoría, con el fin de revisar Un sistema que carezca de este tipo de
documentos, cifras, procesos, balances, saldos, procedimiento, es muy difícil de revisar por
controles, totales, etc., se pueden citar como parte de la auditoría, ya que requiere de mucho
ejemplos de ellas, los siguientes: esfuerzo en la aplicación de pruebas y en la
obtención de resultados.
a. Cada adquisición de productos para
inventarios se puede seguir, desde la Propósito de laS pistaS de auditoría
requisición, pasando por las cotizaciones,
la orden de compra, el documento de recibo Normalmente una pista de auditoría
y la entrada a bodega, hasta su inclusión tiene dos propósitos:
en los totales del inventario; además se
puede continuar con el proceso de pago con - El propósito de implosión: que permite
la factura original, la emisión del cheque rastrear una transacción desde su origen,
pasando por el proceso de transformación a Existen muchas razones que hacen nece-
que es sometida, hasta su almacenamiento sario que las pistas de auditoría estén presen-
y presentación. tes en todo proceso que se lleve a cabo en las
- El propósito de explosión: que permite la empresas; algunas de ellas son:
reconstrucción de las diferentes operaciones
a que ha sido sometida una transacción. - Consultas. Normalmente las consultas se
realizan para determinar el estado de una
Para alcanzar el primero de estos propó- cuenta o un grupo de datos; así por ejemplo,
sitos se hace necesario almacenar, junto con la los clientes desean conocer los movimientos
transacción, los dos siguientes elementos: que se han registrado a sus cuentas; algunas
áreas usuarias solicitan información relacio-
- el identificador del origen, que permite que nada con las variaciones en las ventas; los
la fuente de la transacción sea rastreada de ejecutivos desean conocer el detalle de los
una manera única. costos de la producción del día anterior; un
- el identificador del destino, que permite que vendedor desea saber si un pedido, puesto
el dato que será afectado por la transacción, por él, ha sido procesado.
sea identificado de una manera única.
La pista de auditoría, bien manejada, res-
Ejemplos de ambos identificadores: en ponde efectivamente a estas preguntas.
una aplicación de cuentas por cobrar, el iden- En este sentido, es que se sostiene que la
tificador del origen debería ser un número de pista de auditoría viene a ser también una pista
documento único; el identificador de destino administrativa.
debería ser un número único de cliente. En un
sistema de inventarios, el identificador del ori- - Para cumplir con necesidades legales. En
gen debería ser un número de terminal único, algunos países, entre ellos Costa Rica,
mientras que el identificador del destino debe- algunas entidades como la Administra-
ría ser un número único de un producto del ción Tributaria, Ministerio de Hacienda;
inventario. Archivos Nacionales, Caja Costarricense
De esa manera, por medio de un rastreo del Seguro Social y el Instituto Nacional de
de todas las transacciones que tenga un mismo Seguros, las municipalidades, entre otras,
identificador de destino se puede tener el con- solicitan para los datos e información que
junto de estas que afectan un determinado se produce de manera electrónica, deba ser
grupo de datos (al que hace referencia el identi- archivada en un medio de almacenamiento
ficador de destino). masivo.
El propósito de explosión necesita un - Para propósitos de seguimiento. La pista
dato adicional a los dos ya mencionados, que es de auditoría ofrece un medio para darle
la f fecha que indica cuando se efectuó la tran- seguimiento a una aplicación. A menudo, de
sacción; este dato debe ser almacenado junto acuerdo con el sistema, las transacciones y
con la transacción. Debidamente ordenado en la periodicidad con que estas se presenten,
orden cronológico, esta fecha es la que permite los movimientos que afectan los archivos,
que se reconstruya la secuencia cronológica de deben ser rastreados a través de la aplicación
operaciones de un registro de datos. para determinar si todos los procesos están
funcionando correctamente.
Necesidad de las pistas de auditoría - Para descubrir fraudes. El contar con pistas
de auditoría contribuye a reducir la posibi-
Debido a la gran ayuda que proporciona lidad de que un fraude no se pueda detec-
este tipo de pistas, tanto a la auditoría como a tar. Si la persona que perpetra el acto ilíci-
la administración, se ha hecho indispensable su to o irregularidad sabe que las funciones,
implantación y utilización. eventos y registros, tanto de las operaciones
normales como del acto que intentan reali- Programas para la generación de
zar, están siendo grabados y monitoreados, las pistas de auditoría
deberán realizar tareas complementarias y/o
adicionales para evitar ser descubierto. La pista tiene que ser generada a partir
- Como elemento de control: debido al doble de la necesidad que se tenga de ellas, ya sea de
propósito que tienen, es indudable que al ser parte de la auditoría, o de la administración;
por lo tanto cuando se inicia el proceso de dise-
utilizadas también por la administración,
ño y desarrollo de una aplicación particular, se
pueden ser de gran utilidad para controlar
deben establecer, entre los demás requerimien-
ciertos procesos, que al ser revisados, ya sea
tos funcionales y operacionales, las necesidades
por medio de un reporte, de una consulta
y requerimientos de este relevante mecanismo.
o de un análisis detallado, sean de utilidad
Este proceso debe ser parte integral de la
para detectar posibles actos irregulares o definición detallada de requerimientos, para el
anomalías. diseño y desarrollo de la nueva aplicación.
- Para determinar las consecuencias de un Uno de los aspectos que ha detenido esta
error. Si por alguna razón se descubre que función o que ha hecho que no se tome en
se ha cometido un error (no perder de vista cuenta, es que precisamente la gran mayoría
que la diferencia entre un error y acto irre- de los administradores, manifiestan su incon-
gular es la intención); podría ser necesario formidad con su inclusión, aduciendo que, si se
obtener información adicional para determi- incluyen van a encarecer mucho el proyecto; sin
nar los efectos de este error. tomar en cuenta la ayuda, la eficacia y los bene-
ficios de ellas, tanto para la auditoría como para
Un error podría ocasionar serios daños, ellos mismos.
perjuicios y problemas a una entidad, pero tam- Es de suma importancia que la adminis-
bién podría pasar desapercibido y no suceder tración comprenda, que este tipo de procesos
nada, al menos por un tiempo; pero cuanto más son parte sustancial de todo sistema de infor-
tiempo pase, más difícil será determinar con mación basado en tecnología de información, y
precisión cuáles son las consecuencias. que por lo tanto, deben ser ellos mismos quie-
La pista puede ayudar a determinar por nes exijan su necesaria inclusión.
ejemplo, quién le dio acceso al dato, quién tomó Cada aplicación debe contar con el soft-
decisiones basado en esos datos, y si el error ware (programas) que suministre los elementos
tiene consecuencias significativas en las deci- para el diseño de las pistas de auditoría, que está
siones que se han tomado; asimismo la pista sustentado en cuatro aspectos básicos, que son:
de auditoría podría permitir que el efecto de un
- generación: que la pista se pueda generar a
error pueda ser rastreado.
partir de cualquier punto en el sistema,
- modificación, que se pueda modificar, ya
- Para fines de respaldo y recuperación. Algu-
sea obteniendo una copia y cambiando lo
nos de los datos almacenados en una pista
que se desea en ella, con lo que se genera
de auditoría también podrían ser útiles una nueva de ellas, dejando la original como
como elemento de respaldo, por un tiempo estaba, o cambiando la original para obtener
prudencial y temporal, mientras hacen el una nueva, con lo que la original se desecha,
soporte definitivo, así como de recupera- - borrado: que se permita borrar todo lo refe-
ción, en caso de que no exista el respaldo o rente a una pista existente, que pueda ser
que se haya extraviado. Por ejemplo, si por porque ya no se necesite más, o porque se
alguna razón no se guardan los diferentes haga un cambio radical en ella, y
tipos de interés que se han pagado por los - recuperación: que se permita recuperar
certificados de depósitos a plazo, la pista una pista que se haya desechado a partir de
sería un excelente medio para recuperarlas y un respaldo (back up) o por medio de una
tenerlas, como información histórica. reconstrucción.
La pista puede ser obtenida por diferen- al revisar en el sitio, qué es exactamente lo
tes métodos, a saber: que está pasando en el proceso,
- por medio de la emisión de un reporte deter-
- por medio de requerimientos operaciona- minado; ver lista en “Ejemplos de pistas de
les o funcionales, que son incluidos en los auditoría en un sistema de crédito”, en este
sistemas de aplicación; esta debería ser la mismo capítulo.
forma más común y normal, debido a que se
diseñan desde el inicio de la aplicación, y es
Estructura de datos o registro
se aprovechan los recursos destinados a ella, extendido
- utilizar paquetes de software especializado,
sobre todo en aquellos casos en que las apli- Este método tiene una limitante que
caciones; por diferentes circunstancias, no debe tomarse en cuenta, y es que, dependien-
puedan manejar un requerimiento de pista do de la cantidad de pistas y de elementos de
de auditoría específico. datos a archivar, van a ser necesarios recursos
- diseñar la pista e incluirla, por medio de una adicionales, tanto de personal experto como de
modificación al código, en el módulo o apli- almacenamiento y proceso, lo que lógicamente
cación en operación. hace que haya que utilizar mayor cantidad de
recursos monetarios.
Aspectos a considerar en el diseño Su utilización se recomienda solo en
de las pistas de auditoría aquellos casos de sistemas muy sensibles y crí-
ticos, en donde la auditoría y las pistas son difí-
Debido a la gran dificultad que se pre- ciles de obtener por otros medios.
senta a la hora de diseñar estos mecanismos, Seguidamente se presentan aspectos que
se incluyen seguidamente algunos aspectos o sirven de ilustración para las decisiones de dise-
elementos que podría ser de gran ayuda. Se ño de una pista de auditoría.
considera que la dificultad reside en la falta de Es este aspecto hay mucha diferencia
experiencia, en el desconocimiento de la aplica- entre los autores y auditores.
ción así como de los datos y la información que Cuando se selecciona el método de alma-
produce, en el poco uso de ellas, y en el “miedo” cenamiento de los datos que constituyen la
que se genera por no haber trabajado con ellas. pista, estos no se deben almacenar por mucho
La pista de auditoría se puede establecer tiempo; debe generarse en el momento en que
en diferentes medios o formas: se es requerida, según el trabajo de revisión que
se esté realizando.
- en una estructura de datos, que puede ser Para utilizar este método el auditor debe
sola o formar parte de las estructuras que coordinar todo lo concerniente, con el perso-
tienen las aplicaciones; en ambos casos exis- nas técnico del área de Tecnología de Infor-
te un alto grado de dificultad, por lo que mación, para establecer la forma en que se
esta práctica ha caído en desuso; lo que no diseñará y se incluirá la pista en los archivos
es escusa para no utilizarla, correspondientes.
- en un registro extendido, que viene a ser Debe tomarse en consideración que ya,
una variación del anterior, el propósito de guardar datos, como pista de
- en una llamada de atención; esta práctica auditoría, que permita contar con un historial
se ha hecho de mucha utilidad, ya que por de actividades para ser rastreadas, ya no es apli-
medio de un programa o paquete especiali- cable en nuestro medio, debido más que todo
zado, se emiten “alertas” cada vez que una a la aplicación de herramientas de tecnología
política, un estándar, un parámetro o una avanzada y a que los métodos de proceso son
variable, han sido violentados o tratados de totalmente diferentes a los que existían antes;
manera diferente a como está establecido, y el método de rastreo ahora se hace por otros
se puede actuar prácticamente de inmediato, medios y no exactamente guardando datos, que
no son los que generan las aplicaciones en su - nombre de la base de datos a que se le dio
funcionamientos normal. acceso,
Como se anotó antes, este tipo de pista - nombre de la tabla consultada, modificada o
tiene un grado de dificultad muy alto y además que se le dio acceso,
es muy caro, ya que también implica o provoca - hora y fecha en que ejecutó el movimiento,
un incremento en el tiempo necesario para pro- - código de usuario,
cesar las transacciones. - actividad realizada: consulta, copia, actuali-
zación, emisión de salida, etc.,
- campo modificado,
Utilización de bitácoras
- dato original.
Las bitácoras que tienen incorporados
la mayoría de los sistemas operativos, así como Debe existir una bitácora para cada
administradores de bases de datos, aunque módulo o aplicación.
ofrecen facilidades para obtener información Además, deben disponer de algunas
valiosa para una auditoría, también están muy herramientas que ayuden a automatizar el pro-
ceso de análisis de estas bitácoras.
limitadas con respecto al proceso de las tran-
También pueden contar con otras bitá-
sacciones en sí, que es lo que realmente se
coras relativas a seguridad, accesos, manteni-
necesita en una revisión.
miento, control de proyectos, transacciones
electrónicas, etc.
Revisión y análisis de bitácoras La importancia de este tipo de herra-
mienta consiste en que permiten la recupera-
Actualmente, los sistemas basados ción de información ante eventuales incidentes
en tecnología de información se encuentran relacionados con la seguridad, detección de
expuestos a diferentes clases de riesgos, debi- comportamiento inusual, datos para la atención
do más que todo a las vulnerabilidades que de problemas, evidencia de auditoría y legal y
ellos mismos presentan por la deficiencia en también es de gran ayuda en las tareas de audi-
los controles que tienen incorporados o porque toría forense.
algunos carecen de ellos; a esa situación debe Debe tenerse sumo cuidado al aplicar
agregarse que cada vez presentan un mayor este tipo de análisis, especialmente cuando se
grado de complejidad; ante tal panorama, el utilizan paquetes que sirven para este análisis,
número de ataques ha aumentado de manera ya que existen muchos de ellos en el mercado,
considerable. pero no son útiles para cierto tipo de trabajos,
Uno de los elementos de control que por ejemplo, para analizar bitácoras de tran-
puede ayudar mucho en la lucha por mante- sacciones, de asistencia o de accesos; el análisis
ner a los sistemas, datos e información libres de este tipo de mecanismos tiene que realizarse
de atentados y de actos irregulares, es el uso a pie o desarrollando un analizador particular
y aplicación de las denominadas “bitácoras”, para cada tipo de bitácora; algunas de las que se
que constituyen un espacio en disco en donde venden en paquetes son:
se almacenan los datos relevantes de cualquier
evento, que por su naturaleza sea conveniente - Log Analyzer: Trends.® Es un analizador de
archivarla para usos posteriores; en el caso que registros web para escritorio (soporta bitá-
nos ocupa, lo que se acostumbra activar es una coras de servidor IIS y Apache). Esta herra-
bitácora de transacciones que permita almace- mienta le brinda un control total sobre el
nar la siguiente información: sitio web: El programa puede llevar el rastreo
de las tendencias diarias, semanales o men-
- tipo de transacción, suales en estadísticas: Visitantes únicos, las
- terminal desde donde se origina el evento, páginas que han sido visitadas, los sitios de
- programa (código) ejecutado, referencia, los motores de búsqueda, frases
clave. Este software brinda un resumen de Los auditores pueden utilizar estos datos
las estadísticas detalladas con la mayoría de para el examen y la verificación de los
los parámetros, en una sola pantalla. cobros, de manera que hayan sido efectua-
- LogRover.® es un avanzado analizador de dos de forma correcta y adecuada, cuando
bitácoras de servidores Web que analiza los tengan necesidad de sustantivar este tipo de
archivos .log generados por IIA (Internet pruebas.
Information Services), Apache y otros ser- - Utilización de recursos: Este tipo de datos
vidores Web; genera reportes detallados de van a permitir saber cuáles recursos son
actividad en la página, sesiones, visitas, visi- utilizados, tanto de forma eficiente como
tantes, referencia de los motores de búsque- en tiempo; de tal manera se puede calcular
da y tiempo de las sesiones. LogRover es el tiempo requerido para que sea procesa-
manejado por una base de datos que puede da una transacción, o un lote de ellas; el
generar reportes interactivos y bajo deman- tiempo de uso de terminales o estaciones de
da, así como reportes calendarizados y por trabajo, el tiempo de impresión, así como el
fechas. LogRover soporta grupos de servido- tiempo de uso de impresoras u otros dispo-
res y realiza reportes avanzados de estadísti- sitivos de salida. También podría servir para
cas de búsqueda con un solo clic. conocer si existe subutilización de equipos y
dispositivos, y medirla en términos de tiem-
Logcheck ®. Revisa periódicamente las po y cifras monetarias.
bitácoras del sistema; snaliza cada una de las - Consumo de recursos: Este es otro aspecto,
ligado con el anterior, en donde se pueden
líneas y envía notificaciones por correo electró-
realizar verificaciones acerca de: cuándo
nico. Se basa en patrones definidos por el usua-
fue corrido una determinada transacción
rio. Está liberado para Unix.
o proceso; cuántas veces se ha corrido, la
Existen otras como SWATCH ® y LogA-
duración de cada corrida; quién inició la
gent ® para Windows, que se han utilizado
corrida de un determinado proceso; desde
entre otras cosas para mostrar, relacionados
qué terminal o estación de trabajo, bajo qué
con los accesos, la siguiente información:
código de usuario, a qué hora; a cuál apli-
cación tuvo acceso; qué código utilizó; cuál
- Fecha y hora archivo manipuló; que acción realizó en ese
- Direcciones IP origen y destino archivo.
- Dirección IP que genera la bitácora
- Usuarios Cualquier situación diferente a lo esta-
- Errores blecido en el manejo de esos elementos, podría
ser indicación de que se están realizando tareas
Seguidamente se explican algunos con- o funciones no autorizadas.
ceptos que permiten obtener un aprovecha-
miento de las bitácoras que vienen con el soft- - Uso de otros datos: Se pueden obtener datos
ware de base. acerca de quién tuvo acceso a una determi-
nada base de datos, a una tabla (archivo), un
- Cobro de servicios: En algunas entidades, elemento dato (campo); si copió y/o modificó
que trabajan sobre esta base, los datos el nombre de una tabla (archivo); si cambió
que se almacenan en las bitácoras, sir- un dato o lo copió; todo esto con el propó-
ven para facturar los servicios prestados a sito de determinar si han acontecido actos
los usuarios de los recursos que son uti- irregulares en los datos de producción.
lizados por ellos; con mucho más razón
procede, para las empresas que prestan La bitácora en sí misma no es una pista,
servicios de “outsourcing” para procesos cuando se tienen de manera automática,
computacionales. deben activarse con todos los elementos que la
Pistas de auditoría en las áreas que hayan sido aprobados por los niveles
de control de los sistemas de autorizados,
aplicación - listar los cheques anulados o no retirados,
para verificar su estado y los tiempos que
Los controles en los sistemas de aplica- tienen de haber sido emitidos,
ción buscan asegurar que los sistemas de apli- - listar los saldos de las cuentas del mayor
cación individuales salvaguarden los activos, para verificar que los saldos que irán
mantenga la integridad de los datos y cumplan al balance de comprobación, no han sido
tanto los objetivos como el procesamiento de modificados y que son consistentes de
los datos de una manera eficiente.
acuerdo con cada uno de los procesos de
Cada una de las aplicaciones en toda
comprobantes de diario realizados,
organización, debe contar con ocho (8) áreas de
- listar las tasas de pago por hora de los fun-
control, que son:
cionarios semanales para ser cotejados
con los listados en una planilla semanal
- Controles de preparación de datos
determinada,
- Controles de entrada de datos
- listar las horas regulares y extras ( 1.5 y
- Controles de procesamiento y actualización
dobles) de una semana, para ser compara-
de datos
das con las emitidas en la planilla de esa
- Controles de salida de datos
semana,
- Controles de documentación
- listar los pagos realizados a proveedores, en
- Controles de respaldo y recuperación
un mes calendario completo, para ser cote-
- Controles de auditoría
- Controles de las áreas usuarias jados con los documentos de soporte de cada
uno de ellos,
Cada de estas áreas cuenta con una serie - listar los certificados de depósitos de un
de controles, que tienen que ser cumplidos para período determinado, a los que se les haya
evitar errores, omisiones y actos irregulares en otorgado tasas de interés preferenciales,
cada una de ellas; estos controles pueden ser para revisar la tasa de interés y el cálculo de
aprovechados para, con base en ellos, establecer estos en cada uno de los cupones,
las pistas de auditoría que pudieren necesitarse. - listar los cupones emitidos y retirados, para
A continuación se detallan algunos con- ser cotejados con los certificados emitidos
troles sobre los que se pueden diseñar pistas. y redimidos, así como para verificar si todos
han sido convertidos en efectivo,
- listar las transacciones, de cualquier natu- - listar las requisiciones emitidas, para com-
raleza, de acuerdo con los niveles de autori- pararlas con las compras realizadas,
zación; con el fin de revisar si fueron autori- - listar las órdenes de compra, para cotejarlas
zadas conforme a lo establecido, con los artículos comprados y recibidos,
- listar los saldos de cuentas y otras partidas, - listar las órdenes de producción, para com-
para cotejarlos con las cifras de control que parar con lo realmente producido; cotejar
se han establecido de previo, utilización de materias primas y verificar si
- listar datos para compararlos con los docu- todo se ha vendido,
mentos originales, para comprobar que el - listar el contenido de las facturas emitidas,
proceso ha sido correcto, tanto de contado como de crédito, para ser
- listar los totales de cuentas y otras partidas, cotejados con los montos incluidos en los
de transacciones automáticas, para cotejar- registros auxiliares,
las con los documentos de respaldo, - listar los salarios de pago mensual, para
- listar los cheques, depósitos o transferencias, verificar si cumplen con los estándares esta-
de un período determinado, que sean supe- blecidos, por ejemplo que no sobrepasen un
riores a montos establecidos, para cotejar monto previamente establecido,
- emitir listados o consultas de cifras, de cual- Listado de los créditos que son desembol-
quier aplicación, para verificar que sean sos de revolutivos.
razonables y lógicas, Listado de operaciones cuyos correspon-
- ver seguidamente una lista de varios ejem- dientes pagos se hacen después de la fecha
plos para un sistema de crédito. pactada.
Listado de operaciones otorgadas mien-
Listado créditos que no tengan el plan de tras el asociado mantenía operaciones con más
pagos en el sistema. de 30 días de atraso, fueran estas por deducción
Listado de créditos cuyas condiciones del de planilla o no, y que el atraso sea en amorti-
plan de pagos difiera de las establecidas en el zación o en interés.
análisis. Listado de créditos que son desembolsos
Listado de créditos que han tenido cam- de revolutivos que no tienen datos en la sección
bio de tasas y que hayan afectado la fecha de de garantías.
“interés hasta” y la fecha de “amortización Listado de créditos que tengan fecha de
hasta”. amortización e interés menor a la fecha de
Listado de créditos donde aparezca infor- formalización.
mación diferente con respecto a la garantía, Listado de créditos cuya garantía no se
esto entre la información que indica la solicitud localiza aún en custodia.
de crédito y la que consigna la pantalla de cré- Listado de créditos con garantías extraí-
dito en el sistema. das de custodia.
Listado de créditos cuya cuota consigna- Créditos que indique que es por deduc-
da en la pantalla de préstamos y en la hoja de ción de planilla pero que no se haya hecho
formalización sea diferente a la consignada en ningún pago por este medio (actualmente los
el plan de pagos. pagos de créditos por deducción de planilla es
Listado de créditos cuyo salario embar- con código 10).
gable o cobrable del fiador sea menor al per- Listado de créditos que han tenido una o
mitido en el Reglamento de Crédito (salario más visitas de cobro y que se encuentren atra-
embargable debe cubrir el 50% de cuota de sadas en este momento, por un número deter-
crédito). El ingreso del fiador debe quedar en el minado de días.
sistema y la cuota también. Listado de créditos que han tenido más
Listado de créditos con cambios en tasas de dos visitas de cobro, y que se ha pagado un
de interés al margen a lo pactado en relación número diferente de estas.
con cada operación. Listado de operaciones formalizadas a
Listado de operaciones de crédito que clientes recientemente asociados; en aquellos
presentan diferencias entre su saldo actual, y casos en que se requiera estar asociado por un
su saldo anterior más (menos) las operaciones número determinado de meses, antes de tener
efectuadas con respecto a la operación res- derecho a crédito.
pectiva (operaciones normales, reversiones de Listado de operaciones con arreglos de
operaciones) pago o prórrogas.
Listado de operaciones con característi- Listado de operaciones con prepagos o
cas que difieran de lo establecido. amortizaciones extraordinarias recibidas en un
Listado de créditos que tienen una apli- período dado, o sea se reciben antes de la fecha
cación (ya sea amortización o interés) que pro- pactada en el plan de pagos.
vino de aportaciones del deudor, aún y cuando Listado de operaciones con diferencias
la operación no presentara problema alguno entre la comisión, capitalización y cualquier
(atraso). otra deducción que se indica en la hoja de soli-
Listado de créditos que tengan la hipote- citud de crédito (o en cualquier otro documen-
ca pendiente de inscripción to del crédito) y la hoja de formalización de la
tiempo, con el propósito de darle sentido al van a pensar, es en el retraso que representa en
diseño, desarrollo e implantación de aplicacio- el tiempo asignado al proyecto, incluirlas a des-
nes, de manera que exista un orden predefinido tiempo; así como la desviación, hacia arriba, en
y una serie de fases, etapas, actividades y con- el presupuesto asignado.
troles, que deben acatarse para cumplir con un Es tarea esencial, de todos los involucra-
desarrollo de calidad. dos en todo proyecto de diseño y desarrollo, el
Este concepto debe ser de acatamiento solicitar los requerimientos de pistas de audito-
obligatorio, según los objetivos de control, inde- ría que deben incluirse en ellos, de manera que
pendientemente del método o el procedimiento el grupo de trabajo, desde el inicio del proyecto,
metodológico que se seleccione y aplique para estén conscientes de su necesidad, y que por lo
atender los sistemas. tanto deben estar incluidas, no solo en el pro-
En este concepto existe una etapa deno- yecto en sí, sino también en los presupuestos de
minada “Definición detallada de requerimien- tiempo y dinero.
tos”, que es para que las áreas usuarias definan,
estudien y listen las necesidades, requerimien-
tos, funciones, condiciones y especificaciones Conclusión
que se deben cumplir cuando el sistema entre
En la actualidad, debido tanto a la tec-
en su ciclo de producción.
nología como a los diferentes elementos que
Esta etapa debe ser aprovechada por la
existen para realizara auditorías, se ha vuelto
auditoría interna para definir sus requerimien-
mucho más sencillo diseñar las pistas de audi-
tos en cuanto a pistas de auditoría se refiere,
toría que se necesitan para obtener evidencia.
debido a que representa una acción razonable
Lo más importante que debe aprender
que procura evitar futuros contratiempos, si se
incluyen aquellas una vez que el sistema esté en y aplicar el auditor es que, independientemen-
funcionamiento; además, que su consideración te del tipo de auditoría que esté realizando,
e inclusión en un sistema, que se está constru- sea financiera, operacional, administrativa, de
yendo, constituye una excelente opción para seguimiento o de tecnología de información,
asegurar la posible auditabilidad del sistema. siempre lo primero que debe hacer es saber a
Si por alguna razón no se definieran ciencia cierta, cuál es la evidencia que debe
estos requerimientos a tiempo, su lista y defi- recopilar, en qué medio reside y cuáles son las
nición podría realizarse en otro momento pos- posibilidades y medios para obtenerla; mientras
terior, siempre y cuando no sea después de no conozca estos aspectos de ninguna manera
la etapa del diseño detallado, debido a que, podrá saber qué es lo que necesita hacer y cómo
una vez iniciada la etapa de programación del lograr su objetivo.
código, el incorporar estas pistas se vuelve Existen muchas herramientas, tanto
muy complicado y difícil, además que encare- automatizadas como manuales, que permiten
ce mucho el proyecto, en especial si el desa- realizar pruebas por medio de este tipo de ins-
rrollo es contratado por servicios de terceros trumento, así como muchas formas de aplicar-
(outsourcing). lo, en cada caso debe buscarse la mejor manera
Bajo ningún concepto se recomienda de aplicarlo, también debe tomarse en cuenta el
incluir las pistas una vez que se haya termina- costo beneficio de su aplicación, debido a que a
do la etapa de generación del código, ya que es veces, solo por utilizar este tipo de pruebas, no
sumamente costoso, en términos de dificultad se tiene en consideración que puede salir más
y en términos de dinero, debido a que técnica- barato y ser más sencillo hacerlo de otra forma.
mente se requiere mucho esfuerzo, y se vuelve Especial consideración merece cuando
casi imposible lograr transmitir a los responsa- deben definirse requerimientos y necesidades al
bles de la nueva aplicación, la importancia que comprar una herramienta que permita este tipo
esta tiene y los beneficios que ofrecen; especial- de pruebas o cuando se va a diseñar una nueva
mente porque, en lo primero que esas personas aplicación.
Los documentos que se generen por esta Estupiñán G, R. (2003). Control interno y
vía, ya sean físicos o digitalizados también son fraudes. (1ª. Ed.). Bogotá, Colombia: Eco
de gran utilidad para los representantes de Ediciones.
los niveles ejecutivos y de las áreas usuarias, e-conomic international a/s. (2002 – 2011).
por esta razón algunas personas las conocen
Definición de pista de auditoría. Artículo
con el nombre de: “Pistas de auditoría y de
administración”. sin nombre de autor. Recuperado el
23 de noviembre del 2010 de: http://
www.e-conomic.es/programa/glosario/
REFERENCIAS BIBLIOGRÁFICAS
definicion-pista-auditoria.
Cano C, M A. (2001). Modalidades de lavado Instituto Mexicano de Contadores Públicos.
de dinero y activos. (1ª ed.). Bogotá, (2007). Normas Internacionales de
Colombia: Eco Ediciones. Auditoría (NIA). (edición 2007). México D
C a t a c o r a C , F. (1 9 9 6 ). S i s t e m a s y F, México: Lito-Grapo.
procedimientos contables. (1ª ed.). Muñoz R, C. (2002). Auditoría de sistemas
Ca r ac a s, Venez uela : McGr aw-Hill computacionales. (1ª. Ed.). México D F,
Interamericana de Venezuela.
México: Pearson educación de México.
CCN (s.f.). Pista de auditoría. Artículo sin
Organización Internacional de Normalización
nombre de autor. Recuperado el 23 de
noviembre del 2010 de: https://www. (IS O). (19 8 8). Nor m a IS O - 8 7 3 2 .
ccn-cert.cni.es/publico/serieCCN.../es/p/ Recuperado el 08 de Julio del 2011 de
audit_trail.htm. http://www.construsur.net/index.php/
Davis, G B y Olson M H. (1987). Sistemas catalogo/norma/iso/iso-8732:1988.
de información Gerencial. (2 a ed.). Piattini, M., Del Peso, E y Del Peso, M. (2008).
Bogot á, Colombia: McGraw-Hill Auditoría de Tecnologías y sistemas de
Latinoamericana. información (1ª Ed.). México D F, México:
Delgado R, X. (1997). Auditoría Informática.
Alfaomega Grupo Editor.
(1ª ed.). San José, Costa Rica: Editorial
EUNED. Whittington O R y Pany K. (2005). Principios
E c h e n iq u e G , J A . (2 0 01), A u d it or í a de auditoría. (14ª ed.). México D F,
Informática. (2ª ed.). México D F, México: México: McGraw-Hill Interamericana
McGraw Hill. Editores.