Carlos Andrés Reyes Andrade Luis Alejandro Rodríguez Registrar fielmente la información Permitir la realización de cálculos con la información recaudada Facilitar la realización de consultas Generar informes de diferentes tipos Posibilidad de fallos de elementos que intervienen en el proceso informatico • Software multiple • Computador central • Dispositivos perifericos • Transmision de datos • Servidores – Modems – lineas de comunicación El acceso a entornos abiertos como la internet En el terreno de una aplicación informática el control interno se materializa en controles de dos tipos • Controles Manuales • Controles Automáticos Estos controles finalidad en: suelen clasificarse según su • Controles Preventivos • Controles Detectivos • Controles Correctivos Este tipo de controles suele ser usado en: • En las transacciones de recogida o toma de datos • En todos los procesos de información que la aplicación realiza • En la generación de informes y resultados de salida Entrevistas Encuestas Observación del trabajo realizado por los usuarios Pruebas de conformidad Pruebas substantivas o de validación Uso del computador Las personas a entrevistar deben ser aquellas que puedan aportar significativamente La entrevista debe ser preparada con rigurosidad de cara a sacar el mejor provecho Para ello es indispensable escribir el guion de temas y apartados a tratar Ha de ser concertada con los interlocutores con antelación suficiente Las jefaturas de las personas a entrevistar deben estar informadas de las actuaciones previstas Durante el desarrollo de la entrevista, el auditor tomará las anotaciones imprescindibles. Preparación de un cuestionario Conviene que todas las preguntas vayan seguidas de un espacio para observaciones Aunque no puede ni debe exigirse la identificación personal del encuestado, si debe hacerse de la organización a la que pertenece Es conveniente observar como algún usuario hace uso de aquellas transacciones mas significativas por su volumen o riesgo. Este método es muy útil para el auditor, ya que deja ver que aunque una aplicación funcione bien; puede que no tenga el nivel óptimo de efectividad esperado. Es indispensable aprovechar estas observaciones para solicitar simulaciones de situaciones previsibles de error para comprobar si la respuesta del sistema es la esperada. Son actuaciones orientadas específicamente a comprobar que determinados procedimientos, normas o controles internos, particularmente los que merecen confianza de estar adecuadamente establecidos, se cumplen o funcionan de acuerdo con lo previsto y esperado. La evidencia de incumplimiento puede ser puesta de manifiesto a través de informes de excepción. Los testimonios de incumplimiento no implica evidencia pero, si parten de varias personas, es probable que la organización asuma como validos dichos testimonios Este tipo de pruebas están destinadas a detectar la presencia o ausencia de errores o irregularidades en procesos, actividades, transacciones o controles internos integrados en ellos. Están especialmente indicadas en situaciones en las que no hay evidencia de que existan controles internos relevantes, suficientes como para garantizar el correcto funcionamiento del proceso o elemento considerado. Los siguientes son algunos de los tipos de errores que pueden ser considerados para este tipo de pruebas: •Transacciones omitidas •Duplicadas •Inexistentes indebidamente incluidas •Registradas sin contar con las autorizaciones establecidas •Incorrectamente clasificadas o contabilizadas en cuentas diferentes a las procedentes •Transacciones con información errónea, desde su origen o por alteración posterior Infinidad de recursos pueden ser utilizados para detectar indicios, en primera instancia, de posibles errores; indicios cuya presencia deberá llevar a profundizar en la investigación para constatar la existencia real de anomalías • Análisis de ratios • Conciliaciones con partidas • Informes de excepción producidos por la propia aplicación Otros recursos clásicos utilizados para la detección de errores o sus indicios son de ejecución manual. Normalmente se aplican sobre muestras, estadísticas y no estadísticas. Ejemplos de estos recursos de ejecución manual son: Arqueo Inventario Inspección Comprobación con los documentos soporte de la transacción (facturas, albarán, etc.) Confirmación de saldos por parte de terceros (clientes, proveedores) El uso del computador constituye una de las herramientas mas valiosas en la realización de la auditoria de una aplicación informática. • Computadores personales • Computador o computadores sobre los que se explota la Existen aplicación objeto de auditoria en el mercado infinidad de productos de software concebidos para facilitar la tarea del auditor. Se puede utilizar herramientas que no son necesariamente diseñadas para esta función pero de las cuales se pueden obtener resultados similares y que pueden estar disponibles en la organización como por ejemplo: Lenguaje SQL Recogida de información y documentación sobre la aplicación Determinación de los objetivos y alcance de la auditoria Planificación de la auditoria Trabajo de campo, informe e implantación de mejoras Conclusiones Para cubrir esta etapa del trabajo de auditoria resulta útil confeccionar unas guías que nos permitan seguir una determinada pauta en las primeras entrevistas y contengan la relación de documentos a solicitar todos aquellos que ayuden a: • Ayuden una primera visión global del sistema • Conocer la organización y los procedimientos de los servicios que utilizan la aplicación • Describir el entorno en el que se desarrolla la aplicación •Entender el entorno de software básico de la aplicación •Asimilar la arquitectura y características lógicas de la aplicación • Conocer las condiciones de explotación y los riesgos que se pueden dar • Conocer las condiciones de seguridad de que dispone la aplicación • Disponer de información relativa En la preparación del plan de trabajo se debe tratar de incluir: La planificación de los trabajos y el tiempo a emplear Las herramientas y los métodos El programa de trabajo detallado • • • Identificación y clasificación de los objetivos principales Determinación de subobjetivos para cada uno de los objetivos generales Asociación, a cada subobjetivo de un conjunto de preguntas y trabajos a realizar • Desarrollo de temas como: Modos de captura y validación Soporte de los datos a capturar Controles sobre los datos de entrada Tratamiento de errores Controles sobre los tratamientos Pistas para control y auditoria Salvaguardias • Tests de confirmación, tests sobre los datos y resultados 1. Emitir opinión sobre el cumplimiento de los objetivos, planes y presupuestos contenidos en el Plan de Sistemas de Información sobre la aplicación a auditar 1. Cumplimiento de los plazos previstos en cada una de las fases del Proyecto: Estudio previo, diseño, programación, pruebas, conversión en su caso, plan de formación e implementación. 2. Cumplimiento de los presupuestos previstos en cada una de las fases enumeradas y para cada uno de los conceptos manejados: equipos, software, contratación exterior, personal propio, etc. 3. Cumplimiento de las previsiones de coste de funcionamiento normal de la aplicación y de su mantenimiento al nivel de desglose adecuado. 2. Evaluar el nivel de satisfacción de los usuarios del sistema, tanto de la línea operativa como de las organizaciones de coordinación y apoyo con respecto a la cobertura ofrecida a sus necesidades de información 1. 2. 3. 4. Nivel de cobertura de funcionalidades implementadas respecto al total de las posibles y deseables en opinión de los usuarios, incluyendo en el concepto de funcionalidad la posibilidad de obtención de informes de gestión y de indicadores de seguimiento de las actividades de la organización usuaria. Nivel de satisfacción con el modo de operar las diferentes funcionalidades soportadas por la aplicación, incluyendo los diseños de pantallas e informes de salida, mensajes y ayudas: identificación de mejoras posibles. Nivel de satisfacción con los tiempos de respuesta de la aplicación y con la dotación de equipos informáticos y sus prestaciones. Nivel de satisfacción con la herramienta de usuario para procesar información de la aplicación, en el caso de disponer de ella. 3. Emitir opinión sobre la idoneidad del sistema de control de accesos de la aplicación. 1. 2. 3. 4. Evaluar la eficacia y seguridad del sistema de control de accesos diseñado. (controles referentes a la identificación de usuario y palabra de paso y posibles intentos reiterados de acceso no autorizado.) Analizar si la asignación de operaciones y funcionalidades permitidas a cada uno de los perfiles de usuario diseñados responde a criterios de necesidad para el desempeño del trabajo y segregación de funciones. Comprobar que las asignaciones de perfiles a usuarios responden a los puestos que ocupan y se evita la asignación de perfiles a usuarios únicos en cada centro operativo. Verificar el grado de fiabilidad de la informacion La auditoria de una aplicación informática, como toda auditoria, debe ser objeto de una planificación cuidadosa. En este caso es de crucial importancia acertar con el momento mas adecuado para su realización: No conviene que coincida con su periodo de implantación por otra parte el retraso excesivo en el comienzo de la auditoria puede alargar el tiempo de exposición a riesgos. Hay que establecer el ámbito de actuación Para la selección de los centros de actuación, conviene solicitar a las misma organización que los proponga La etapa de realización del trabajo de campo consiste en la ejecución del programa establecido. • En esta etapa conviene usar menos “papeles de trabajo” en sentido literal, físico, potenciando la utilización de PCs portátiles. El informe de la auditoria, recogerá las características del trabajo realizado y sus conclusiones y recomendaciones o propuestas de mejora. en la implantación de mejoras identificadas en la auditoria, simplemente la situación optima a alcanzar es conseguir que la organización auditada asuma las propuestas de actuación para implantar las recomendaciones como objetivos de la organización. Trata sobre la auditoria informática (A1) de los “Executive Information Systems/Decision Support Systems”, y las Aplicaciones de Simulación. Aunque se trata de aplicaciones informáticas cuantitativamente minoritarias, su uso creciente, su importancia relativa y otras características las hacen particularmente interesantes para el auditor informático. Los Sistemas de Informacion a la Direccion – SID[EIS]- y los Sistemas de Ayuda a la Decisión –SAD[DSS]- han venido suponiendo en la historia de la Informatica de Gestion un “Santo Grial” o “manto de Penelope”: un anhelo aun no suficientemente realizado. Las prestaciones de la informática de gestión a lo largo de sus diversos estados evolutivos: •Informatización Administrativa(Nóminas y Contabilidad) en la década de los sesentas •Sistemas de Información en los setentas, etc. No han podido o no han sabido aportar al Directivo la información adecuada (oportunidad, actualidad, nivel de agregación, etc.) que requería. Ya en la decada de los setenta aparecen los MIS(“Management Information System”). A mediados de los años ochenta comenzaron a proliferar paquetes, aplicaciones y textos de SID, con planteamientos variados, muchos de los cuales no han quedado retenidos en las actuales tendencias. Entre esos planteamientos, uno –cuyas trazas permanecen- es el de bajar de rango al MIS, que devendría una herramienta para mandos medios, dejando espacio por arriba para el mas noble SID.