Este documento describe la auditoría de aplicaciones informáticas. Resume los tipos de controles, herramientas y etapas de la auditoría, incluyendo entrevistas, encuestas, observación, pruebas de conformidad y validación. También cubre el uso del computador para la auditoría y objetivos como evaluar el control de accesos y la satisfacción de los usuarios.
2. Problemática de la Auditoria de una aplicación informática Registrar fielmente la información Permitir la realización de cálculos con la información recaudada Facilitar la realización de consultas Generar informes de diferentes tipos
3. Otras amenazas para el cumplimiento de la finalidad Posibilidad de fallos de elementos que intervienen en el proceso informatico Software multiple Computador central Dispositivos perifericos Transmision de datos Servidores – Modems – lineas de comunicación El acceso a entornos abiertos como la internet
4. Control Interno En el terreno de una aplicación informática el control interno se materializa en controles de dos tipos Controles Manuales Controles Automáticos
5. Clasificación de Controles Estos controles suelen clasificarse según su finalidad en: Controles Preventivos Controles Detectivos Controles Correctivos Este tipo de controles suele ser usado en: En las transacciones de recogida o toma de datos En todos los procesos de información que la aplicación realiza En la generación de informes y resultados de salida
6. Herramientas de uso mas común en la auditoria de una aplicación Entrevistas Encuestas Observación del trabajo realizado por los usuarios Pruebas de conformidad Pruebas substantivas o de validación Uso del computador
7. Entrevistas Las personas a entrevistar deben ser aquellas que puedan aportar significativamente La entrevista debe ser preparada con rigurosidad de cara a sacar el mejor provecho Para ello es indispensable escribir el guion de temas y apartados a tratar Ha de ser concertada con los interlocutores con antelación suficiente Las jefaturas de las personas a entrevistar deben estar informadas de las actuaciones previstas Durante el desarrollo de la entrevista, el auditor tomará las anotaciones imprescindibles.
8. Encuestas Preparación de un cuestionario Conviene que todas las preguntas vayan seguidas de un espacio para observaciones Aunque no puede ni debe exigirse la identificación personal del encuestado, si debe hacerse de la organización a la que pertenece
9. Observación del trabajo realizado por los usuarios Es conveniente observar como algún usuario hace uso de aquellas transacciones mas significativas por su volumen o riesgo. Este método es muy útil para el auditor, ya que deja ver que aunque una aplicación funcione bien; puede que no tenga el nivel óptimo de efectividad esperado. Es indispensable aprovechar estas observaciones para solicitar simulaciones de situaciones previsibles de error para comprobar si la respuesta del sistema es la esperada.
10. Pruebas de conformidad Son actuaciones orientadas específicamente a comprobar que determinados procedimientos, normas o controles internos, particularmente los que merecen confianza de estar adecuadamente establecidos, se cumplen o funcionan de acuerdo con lo previsto y esperado. La evidencia de incumplimiento puede ser puesta de manifiesto a través de informes de excepción. Los testimonios de incumplimiento no implica evidencia pero, si parten de varias personas, es probable que la organización asuma como validos dichos testimonios
11. Pruebas substantivas o de validación Este tipo de pruebas están destinadas a detectar la presencia o ausencia de errores o irregularidades en procesos, actividades, transacciones o controles internos integrados en ellos. Están especialmente indicadas en situaciones en las que no hay evidencia de que existan controles internos relevantes, suficientes como para garantizar el correcto funcionamiento del proceso o elemento considerado. Los siguientes son algunos de los tipos de errores que pueden ser considerados para este tipo de pruebas: Transacciones omitidas Duplicadas Inexistentes indebidamente incluidas Registradas sin contar con las autorizaciones establecidas Incorrectamente clasificadas o contabilizadas en cuentas diferentes a las procedentes Transacciones con información errónea, desde su origen o por alteración posterior
12. Infinidad de recursos pueden ser utilizados para detectar indicios, en primera instancia, de posibles errores; indicios cuya presencia deberá llevar a profundizar en la investigación para constatar la existencia real de anomalías Análisis de ratios Conciliaciones con partidas Informes de excepción producidos por la propia aplicación Otros recursos clásicos utilizados para la detección de errores o sus indicios son de ejecución manual. Normalmente se aplican sobre muestras, estadísticas y no estadísticas.
13. Ejemplos de estos recursos de ejecución manual son: Arqueo Inventario Inspección Comprobación con los documentos soporte de la transacción (facturas, albarán, etc.) Confirmación de saldos por parte de terceros (clientes, proveedores)
14. Uso del computador El uso del computador constituye una de las herramientas mas valiosas en la realización de la auditoria de una aplicación informática. Computadores personales Computador o computadores sobre los que se explota la aplicación objeto de auditoria Existen en el mercado infinidad de productos de software concebidos para facilitar la tarea del auditor.
15. Se puede utilizar herramientas que no son necesariamente diseñadas para esta función pero de las cuales se pueden obtener resultados similares y que pueden estar disponibles en la organización como por ejemplo: Lenguaje SQL
16. Etapas de la auditoria de una aplicación informática Recogida de información y documentación sobre la aplicación Determinación de los objetivos y alcance de la auditoria Planificación de la auditoria Trabajo de campo, informe e implantación de mejoras Conclusiones
17. Recogida de la información y documentación sobre la aplicación Para cubrir esta etapa del trabajo de auditoria resulta útil confeccionar unas guías que nos permitan seguir una determinada pauta en las primeras entrevistas y contengan la relación de documentos a solicitar todos aquellos que ayuden a: Ayuden una primera visión global del sistema Conocer la organización y los procedimientos de los servicios que utilizan la aplicación Describir el entorno en el que se desarrolla la aplicación Entender el entorno de software básico de la aplicación Asimilar la arquitectura y características lógicas de la aplicación Conocer las condiciones de explotación y los riesgos que se pueden dar Conocer las condiciones de seguridad de que dispone la aplicación Disponer de información relativa
18. Determinación de los objetivos y alcance de la auditoria En la preparación del plan de trabajo se debe tratar de incluir: La planificación de los trabajos y el tiempo a emplear Las herramientas y los métodos El programa de trabajo detallado Identificación y clasificación de los objetivos principales Determinación de subobjetivos para cada uno de los objetivos generales Asociación, a cada subobjetivo de un conjunto de preguntas y trabajos a realizar
27. Evaluar el nivel de satisfacción de los usuarios del sistema, tanto de la línea operativa como de las organizaciones de coordinación y apoyo con respecto a la cobertura ofrecida a sus necesidades de información Nivel de cobertura de funcionalidades implementadas respecto al total de las posibles y deseables en opinión de los usuarios, incluyendo en el concepto de funcionalidad la posibilidad de obtención de informes de gestión y de indicadores de seguimiento de las actividades de la organización usuaria. Nivel de satisfacción con el modo de operar las diferentes funcionalidades soportadas por la aplicación, incluyendo los diseños de pantallas e informes de salida, mensajes y ayudas: identificación de mejoras posibles. Nivel de satisfacción con los tiempos de respuesta de la aplicación y con la dotación de equipos informáticos y sus prestaciones. Nivel de satisfacción con la herramienta de usuario para procesar información de la aplicación, en el caso de disponer de ella.
28. Emitir opinión sobre la idoneidad del sistema de control de accesos de la aplicación. Evaluar la eficacia y seguridad del sistema de control de accesos diseñado. (controles referentes a la identificación de usuario y palabra de paso y posibles intentos reiterados de acceso no autorizado.) Analizar si la asignación de operaciones y funcionalidades permitidas a cada uno de los perfiles de usuario diseñados responde a criterios de necesidad para el desempeño del trabajo y segregación de funciones. Comprobar que las asignaciones de perfiles a usuarios responden a los puestos que ocupan y se evita la asignación de perfiles a usuarios únicos en cada centro operativo. Verificar el grado de fiabilidad de la informacion
29. Planificación de la auditoria La auditoria de una aplicación informática, como toda auditoria, debe ser objeto de una planificación cuidadosa. En este caso es de crucial importancia acertar con el momento mas adecuado para su realización: No conviene que coincida con su periodo de implantación por otra parte el retraso excesivo en el comienzo de la auditoria puede alargar el tiempo de exposición a riesgos. Hay que establecer el ámbito de actuación Para la selección de los centros de actuación, conviene solicitar a las misma organización que los proponga
30. Trabajo de campo, informe e implantación de mejoras La etapa de realización del trabajo de campo consiste en la ejecución del programa establecido. En esta etapa conviene usar menos “papeles de trabajo” en sentido literal, físico, potenciando la utilización de PCs portátiles. El informe de la auditoria, recogerá las características del trabajo realizado y sus conclusiones y recomendaciones o propuestas de mejora. en la implantación de mejoras identificadas en la auditoria, simplemente la situación optima a alcanzar es conseguir que la organización auditada asuma las propuestas de actuación para implantar las recomendaciones como objetivos de la organización.
31. Auditoria informática de EIS/DSS y aplicaciones de simulación Trata sobre la auditoria informática (A1) de los “ExecutiveInformationSystems/DecisionSupportSystems”, y las Aplicaciones de Simulación. Aunque se trata de aplicaciones informáticas cuantitativamente minoritarias, su uso creciente, su importancia relativa y otras características las hacen particularmente interesantes para el auditor informático.
32. SID[EIS] / SAD[DSS] Los Sistemas de Informacion a la Direccion –SID[EIS]- y los Sistemas de Ayuda a la Decisión –SAD[DSS]- han venido suponiendo en la historia de la Informatica de Gestion un “Santo Grial” o “manto de Penelope”: un anhelo aun no suficientemente realizado.
33. Antecedentes de los SID[EIS] Las prestaciones de la informática de gestión a lo largo de sus diversos estados evolutivos: Informatización Administrativa(Nóminas y Contabilidad) en la década de los sesentas Sistemas de Información en los setentas, etc. No han podido o no han sabido aportar al Directivo la información adecuada (oportunidad, actualidad, nivel de agregación, etc.) que requería. Ya en la decada de los setenta aparecen los MIS(“Management InformationSystem”).
34. Aparición de los SID A mediados de los años ochenta comenzaron a proliferar paquetes, aplicaciones y textos de SID, con planteamientos variados, muchos de los cuales no han quedado retenidos en las actuales tendencias. Entre esos planteamientos, uno –cuyas trazas permanecen- es el de bajar de rango al MIS, que devendría una herramienta para mandos medios, dejando espacio por arriba para el mas noble SID.
