AUDITORÍA DE SISTEMAS AUDITORÍA DE SISTEMAS

CAPÍTULO 6CAPÍTULO 6

AUDITORÍA DE SISTEMAS DE AUDITORÍA DE SISTEMAS DE APLICACIÓN INSTALADOSAPLICACIÓN INSTALADOS

Los componentes Los componentes de los sistemas de aplicación instalados de los sistemas de aplicación instalados comprenden:comprenden:

- Funciones de captura e ingreso de datos, - Funciones de procesamiento de esos datos, - Funciones de almacenamiento y -- Funciones de salida de información.

El objetivo de este capítulo es identificar, analizar y evaluar las fortalezas, debilidades, eficacia y efectividad de las mismas

Las tareas principales del auditor de estos sistemas de aplicación se Las tareas principales del auditor de estos sistemas de aplicación se enuncian a continuación.enuncian a continuación.

1. Obtener una comprensión profunda de cada aplicación a través del examen de la documentación y de la investigación, a fin de elaborar las estrategias para el desarrollo de pruebas de auditoría.2. Evaluar los controles incorporados a las aplicaciones para identificar sus fortalezas y, en el caso, sus debilidades; definir, en consecuencia, los objetivos de control.3. Probar los controles existentes para evaluar su funcionalidad, utilizando adecuados procedimientos de auditoría.4. Evaluar el ambiente de control para determinar si se han alcanzado los objetivos del mismo al analizar los resultados de las pruebas.5. Analizar la eficiencia y eficacia de las operaciones que componen la aplicación, comparándolas con estándares de programación y considerando a la tecnología y procedimientos utilizados.6. Verificar el grado de cumplimiento, a través de la aplicación, de los objetivos de la gerencia (formulados en el momento de definición del sistema).

AMBIENTE DE SISTEMAS DE APLICACIÓNAMBIENTE DE SISTEMAS DE APLICACIÓN

Los sistemas de aplicaciones procesados por computación se desarrollan en distintos tipos de ambientes, lo cual crea condiciones y diferentes técnicas de aplicación de auditoría para cada tipo de situación: actualización instantánea de archivos, ausencia de evidencias o rastros de auditoría, etc.

Los ambientes en que pueden residir los sistemas de aplicación son los siguientes:

1. Procesamiento general centralizado1. Procesamiento general centralizadoEs el método tradicional de procesamiento. Se realiza en el centro de cómputo. Los esfuerzos de auditoríaauditoría se concentran en esta sede central.

2. Sistemas de información para oficina2. Sistemas de información para oficinaIncluyen formas de procesamiento de datos que enlazan microcomputadoras con acceso a la computadora central. Este es un ambiente que interesa al auditor auditor en virtud de la diversidad de posibles accesos a información sensible.

3. Sistemas integrados3. Sistemas integradosLos sistemas modernos automatizados procuran integrar las diversas operaciones que forman parte de los procedimientos administrativo-contables. La integración incluye desde las operaciones de compras de materias primas y pago a proveedores, hasta ventas, facturación y cuentas a cobrar; pasando por recepción, almacenamiento, trabajo en proceso, productos terminados, control de inventarios.

En este caso, el auditor el auditor debe cubrir en su revisión áreas diversas y flujos de datos que atraviesan horizontalmente esas áreas; es importante la revisión del control interno

4. Sistemas de Punto de Venta4. Sistemas de Punto de VentaCaptura y registra datos en el lugar de la transacción y en el momento en que se ejecutan. La captura puede efectuarse en la terminal, a través de scanners (lectura óptica de código de barras), tarjetas magnéticas, tarjetas de débito automático en cuenta del comprador).

Estas terminales suelen estar conectadas con el procesador central a los efectos de actualización instantánea de inventarios y control financiero.

5. Intercambio Electrónico de Datos5. Intercambio Electrónico de Datos

6. Transferencia Electrónica de Fondos6. Transferencia Electrónica de Fondos

7. Cajeros automáticos7. Cajeros automáticos

PROCEDIMIENTOS DE CONTROL DE PROCEDIMIENTOS DE CONTROL DE ENTRADA DE DATOSENTRADA DE DATOS

La mayoría de las transacciones de procesamiento electrónico de datos comienza con procedimientos de entrada de datos. En términos generales, cualquiera sea el ambiente en que se procesan los datos, se hace necesario efectuar el control de ingreso para asegurar que cada transacción a ser procesada cumpla con los siguientes requisitos:

- Se debe recibir y registrar con exactitud e íntegramente.- Se deben procesar solamente datos válidos y autorizados.- Se deben ingresar los datos una vez por cada transacción.

Dentro del Dentro del área de control de entrada de datos área de control de entrada de datos se localizan los siguientes se localizan los siguientes Puntos de Puntos de Control:Control:1. Transacciones en línea.2. Usuario u operador.3. Terminal o dispositivo de entrada de datos.

Punto de Control: transacciones en líneaPunto de Control: transacciones en líneaLos objetivos generales de este Punto de Control se apoyan en la necesidad de:1. Disponer de mecanismos de control que minimicen la exposición a riesgos Disponer de mecanismos de control que minimicen la exposición a riesgos derivados deamenazas como las siguientes:- Ingreso de transacciones que no cumplan con lo establecido por las regulaciones vigentes.- Ingreso de transacciones erróneas o incompletas.- Ingreso de transacciones que no estén expresamente autorizadas por la organización - Ajustes indebidos a transacciones.- Deterioros o degradación de la base de datos.-Carencia de pistas de auditoría.-2. Asegurar la continuidad de las actividades Asegurar la continuidad de las actividades mediante vías alternativas de entrada de datos.

Los objetivos generales anteriores Los objetivos generales anteriores se traducen en los siguientes objetivos específicosse traducen en los siguientes objetivos específicos::

1. Asegurar la exactitud, razonabilidad y legalidad de las transacciones en línea.

2. Asegurar la consistencia de los datos de las transacciones, en cuanto a estructura, integridad, rango, fecha de ocurrencia.

3. Cerciorar que sólo las transacciones aprobadas sean admitidas en las operaciones en línea.

4. Asegurar que no exista posibilidad de perder la transmisión de transacciones. (control de totales para cada terminal y actividad )

5. Asegurar la eficacia de los mecanismos de detección de errores y de las prácticas de corrección de los mismos.

6. Asegurar que los mecanismos de transacciones en línea provean de pistas de auditoría para pruebas posteriores

7. Minimizar el riesgo de que se produzcan interrupciones durante la transmisión de transacciones.

Las Las técnicas de control técnicas de control aplicables a los objetivos indicados más arriba consisten enaplicables a los objetivos indicados más arriba consisten en:

1. Identificar y registrar todos los tipos de transacciones aceptadas por el sistema.

2. Identificar y registrar a los operadores autorizados para ingresar las transacciones aprobadas.

3. Desplegar en pantalla formatos específicos para orientar al operador acerca de los datos que debe ingresar en cuanto a dimensión (cantidad de dígitos o caracteres), secuencia, rango o límites de los valores a ingresar.

4. Exhibir rangos de validez de los datos de manera que sirvan de orientación también al operador. Por ejemplo, el código de artículo debe estar comprendido entre el número mil y el tres mil inclusive, debiendo rechazar otro código fuera de ese rango. Igual con los montos. Por ejemplo, los importes de sueldos básicos no deben superar los tres mil dólares, si ocurre el sistema lo rechaza.

5. Evitar el ingreso, como dato, de fechas inexistentes. Por ejemplo, día superior a 31, mes superior a 12 o fechas legal mente no laborables.

6. Mantener un conteo de transacciones ingresadas para conciliar el total de la cantidad de éstas con un total obtenido por vía separada.

7. Establecer procedimientos específicos para administrar la corrección de errores detectados en el ingreso de datos y para asegurar su reingreso al proceso. Mantener registros de datos rechazados y que están pendientes de corrección.

8. Suministrar pistas de auditoría de actividad. Por ejemplo, mantener al final de cada archivo importes de control en los que se registre lo siguiente: importe inicial; importe de la transacción (sumando o restando); importe total del archivo después de procesada la transacción.

9. Mantener en las terminales logs que sirvan como pistas de auditoría para posibilitar lareconstrucción de transacciones desde todas las estaciones de usuarios.

10. Mantener registros de mensajes enviados y recibidos, identificados por un número de serie.

11. Verificar que en las transacciones contables los débitos balanceen con los créditos.

PROCEDIMIENTOS PARA EL CONTROL DEL PROCEDIMIENTOS PARA EL CONTROL DEL PROCESAMIENTOPROCESAMIENTO

Existen diversas razones para programar controles sobre el procesamiento; una de ellas es que un programa puede ser modificado indebidamente, ya sea en forma intencional o accidental, mientras los datos son procesados.

El auditor no debe confiar en que una vez controlados los datos de entrada, controlados los archivos y probados los programas, no puedan ocurrir errores de procesamiento que den por resultado salidas incorrectas. Los programas de computación pueden contener errores.

Fuentes de erroresFuentes de errores en los programas de aplicación en los programas de aplicación

1. Errores de codificación1. Errores de codificaciónAI escribir las instrucciones, el programador puede cometer errores de codificación, los cuales son detectados durante el proceso de compilación cuando el programa es traducidodel lenguaje simbólico (humano) al lenguaje absoluto (de máquina). Por lo tanto, es difícil encontrar este tipo de errores cuando un programa pasa de la fase de prueba a la fase de producción (operación de rutina).

Fuentes de erroresFuentes de errores en los programas de aplicación en los programas de aplicación (continuación))

2. Errores u omisiones en el diseño lógico del procesamiento 2. Errores u omisiones en el diseño lógico del procesamiento Un buen diseño debe contemplar la totalidad de condiciones de procesamiento que puedan presentarse. Sin embargo, en algunos casos se vuelve imposible probar con anticipación todos los juegos de combinaciones posibles dentro de un programa complejo, y con el paso del tiempo puede presentarse una situación no prevista.

Por ejemplo, en un sistema de Control de Inventario es lógico suponer que el campo "existencia" no pueda ser nunca negativo, sin embargo puede ocurrir por un error

3. Modificaciones incorrectas al programa3. Modificaciones incorrectas al programaToda modificación a un programa debe ser probada y aprobada. Sin embargo, en programas complejos, una modificación puede quedar incompleta si no se prevé el impacto que la misma puede ocasionar sobre otra parte del programa (por efecto de la interacción) o sobre otros programas asociados.

Controles incluidos en los programas Controles incluidos en los programas para detectar errores de procesamientopara detectar errores de procesamiento

Los programas de aplicación deben prever la posibilidad de detectar errores de procesamiento y, en ese caso, deben indicar el error a través de mensajes dirigidos, en primera instancia al operador. Estos mensajes, o bien las instrucciones al operador contenidas en el Manual de operaciones o en las ayudas (helps) visibles en pantalla, deben especificar un procedimiento de corrección.

A continuación se analizarán algunos de los tipos de controltipos de control que comprueban el procesamiento de la computadora.

1. Importe totales predeterminados1. Importe totales predeterminados

Se trata de incluir en el procesamiento, al comienzo de la corrida, un importe total que deberá ser conciliado al final del procesamiento de todas las partidas procesadas. La conciliación puede ser efectuada automáticamente por el mismo programa; ello aseguraría que el procesamiento ha sido correcto y completo, al menos en cuanto a la cantidad de ítems procesados.

2. Controles de razonabilidad y de límites de importes calculados por programa2. Controles de razonabilidad y de límites de importes calculados por programa

Los programas deben comprobar la razonabilidad de un cálculo aritmético efectuado durante el procesamiento, comparando el resultado obtenido en cada operación con límites- fijos o flexibles predeterminados.

En operaciones de facturación de productos relativamente homogéneos, el programa puede prever un cálculo adicional que permita comprobar si el precio resultante queda dentro de un marco de referencia razonable o estándar. Si ese precio se aleja del porcentaje de un precio promedio, un mensaje de error deberá denunciar la excepción.

El auditor de sistemas deberá controlar la efectividad de este método. Otra forma de comprobación es efectuando los mismos cálculos que ejecuta el programa pero fuera del sistema, tomando muestras de operaciones y comparando ambos resultados para determinar si el procesamiento realiza su función correctamente.

3. Prueba de sumas horizontales3. Prueba de sumas horizontales

Se trata de un método de control cruzado. Consiste en llegar a un importe neto final por dos caminos diferentes. Si las cifras finales obtenidas a través de estas dos rutas no coinciden, se indicará algún error en el procesamiento. Imagínese, a modo de ejemplo, una corrida de computación para cálculo de nómina de empleados (remuneraciones). Para simplificar el ejemplo, supongamos el cálculo de tres sueldos netos a los que se le aplicará el mismo tipo de deducciones, pero con diferentes importes:

PROCEDIMIENTOS PARA EL CONTROL DE LAS PROCEDIMIENTOS PARA EL CONTROL DE LAS SALIDAS SALIDAS

El avance tecnológico ha introducido modificaciones en las tendencias de las modalidades de salidas, y los despliegues de mensajes en pantalla se han convertido en la forma más frecuente de expresión, en vez de listados o tabulados impresos en papel o formularios continuos

A continuación se explicarán algunos de los controles de salida más habituales.A continuación se explicarán algunos de los controles de salida más habituales.

1. Custodia de los formularios críticos o negociables1. Custodia de los formularios críticos o negociablesLos formularios en blanco que serán destinados para ser impresos por computadora deben estar protegidos adecuadamente contra robos o daños. También deberán mantenerse adecuados registros sobre la existencia y uso de los mismos, y cumplirse con planes de recuentos físicos periódicos.

2. Conciliación entre formularios salidos del inventario y aquellos procesados 2. Conciliación entre formularios salidos del inventario y aquellos procesados (impresos)(impresos)Una persona ajena a quien genere la impresión deberá conciliar y fundamentar las razones de las diferencias por errores de impresión, mutilaciones, etc.

3. Conciliaciones de importes totales contenidos en las salidas3. Conciliaciones de importes totales contenidos en las salidas

El encargado de Mesa de Control o de la sección Control de Datos debe conciliar los importes totales de salida con los respectivos importes totales de datos de entrada al proceso asociado con esa salida.

AAl auditor de sistemas l auditor de sistemas le interesará verificar en el diseño del sistema la existencia de pistas de auditoría que permitan el rastreo del procesamiento de las transacciones en caso de ausencia de balanceo.

4. Control de distribución y verificación de recepción4. Control de distribución y verificación de recepción

El control de distribución obedece a la necesidad de mantener la confidencialidad de la información reservada.

Debido a que en la actualidad la mayoría del procesamiento de información pasa por procesos computarizados, es necesario diferenciar los informes confidenciales de los generales. Por otra parte, será necesario, en todos los casos, cerciorarse de la recepción de los mismos por parte de los usuarios.

5. Tiempo de retención de informes5. Tiempo de retención de informes

La política de retención deberá determinar los tiempos fijados desde el punto de vista legal y desde la normativa interna de la empresa.

6. Información de salida para corrección de errores6. Información de salida para corrección de errores

Normalmente los programas prevén métodos de detección de errores, lo cual no implica necesariamente que los procesos se interrumpan por esa circunstancia.

En estos casos, los errores se imprimen en un listado o bien se muestran por pantalla, pero lo importante es verificar que los mismos queden registrados en almacenamiento transitorio hasta tanto se verifique su corrección y reingreso al proceso (en cuyo caso se depurarán del archivo en suspenso).

El auditor revisará el procedimiento que utiliza el usuario para corregir y retornar los datos al proceso.