¿CÓMO REALIZAR UNA AUDITORÍA A LOS SISTEMAS DE INFORMACIÓN DE UNA ORGANIZACIÓN?
Estándar
09 NOVIEMBRE 2018
Actualmente, cualquier empresa, ya sea de tamaña chico, mediano o grande; tiene una alta dependencia con respecto a los sistemas. Ya sean sistemas de gestión empresarial, como sistemas que administran el flujo de producción, etc.. Por esta razón en cualquier auditoría, tanto interna como operativa, es necesario tener en consideración el impacto de los mismos.
Por otra parte, la información que actualmente utilizamos para realizar nuestro trabajo de auditoría se encuentra soportada en dichos aplicativos (ya se de gestión: ERP, Bases de Datos, etc.). Un sencillo ejemplo es el caso del Sumas y Saldos o bien del Aging de una compañía, que muchas veces solicitamos a los fines de realizar nuestros procedimientos de auditoría. Ahora bien, toda esta información es generada por aplicaciones, la cuales si no tienen un adecuado marco de control interno definido, harán que la información que proveen sea errónea. Por consiguiente, dado que mucha de esta información el auditor la utiliza a los fines de poder emitir una opinión, corremos el riesgo de emitir una opinión que no se ajuste a la realidad.
Es innegable entonces que los sistemas de información han tomado un aspecto preponderante, que el auditor debe considerar al momento de llevar a cabo la auditoría.
A continuación se exponen, de forma resumida, algunos de los aspectos que se deberán estar teniendo en consideración, a los fines de realizar una auditoría (ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros).
1. Existencia de interfaces: En gran cantidad de empresas el mapa de sistemas con el cual nos encontramos es de una complejidad considerable. Tenemos un gran número de aplicaciones conviviendo entre sí, enviando y recibiendo información. Ahora bien, cuando realizamos el análisis de este mapa de sistemas encontraremos aplicaciones que tienen una mayor relevancia que otras, por ejemplo una aplicación que administra determinadas compras de una empresa y que interfacea (comunica) con los sistemas contables de la compañía, no es lo mismo que una aplicación que administra las hojas de ruta de los camiones de una empresa distribuidora. Ambos aplicativos son relevantes al momento de la operatoria, pero el primero impacta de forma directa en la información contable de la compañía.
Entonces ¿qué debemos tener en consideración al momento de analizarla?, la respuesta es la integridad y exactitud de la información que es enviada o recibida por dicha interface – por integridad entendemos que todas las operaciones que se generaron en dicho aplicativo finalmente serán trasladadas a la contabilidad, por exactitud que los montos y/o tipos de documentos que originaron esas operaciones queden correctamente reflejados en el aplicativo de destino. ¿Cómo garantizamos esto?, básicamente a través de un robusto control de la interface, generalmente relacionado con la existencia de un log que detecte errores, y el control manual posterior de una persona que realice el seguimiento de esos log´s y en caso de existir errores, realice las acciones de seguimiento y corrección necesarias.
2. Segregación de funciones: La segregación de funciones tiene un impacto relevante en todos los aplicativos de una compañía. Muchas veces su impacto no puede ser medido de forma directa, pero es innegable que una inadecuada segregación de funciones puede acarrear el riesgo de errores y/o fraudes dentro de una organización. Por esta razón es necesario analizar la segregación de funciones existentes entre los aplicativos más relevantes dentro de una empresa. El utilizar una matriz de doble entrada con los principales casos de segregación de funciones que la empresa debería cumplir, es un buen comienzo para realizar dicho análisis.
3. Identificación de las aplicaciones relevantes: a los fines de optimizar nuestra auditoría uno de los aspectos fundamentales es definir las aplicaciones relevantes, las cuales; en el caso que nos encontremos dentro del marco de una Auditoría Contable, serán aquellos que impacten de forma significativa en los estados contables de la compañía. Un ejemplo sencillo es el siguiente; si nosotros tenemos un sistema que soporta la registración contable, otro sistema que genera las ventas, otro sistema que administra la carga en buque de productos, otro que lleva la hoja de ruta de los camiones para su distribución. Realizado este análisis de impacto, estaremos tomando para nuestra revisión el sistema que genera la información contable y el sistema que administra las ventas. Ahora bien, profundizando el análisis, seguramente también estaremos analizando las bases de datos que soportan ambos sistemas, y ¿por qué hacemos esto?, básicamente porque la información que se genera en las aplicaciones, es almacenada en dichas bases de datos. Por lo tanto, cualquier modificación no autorizada de datos podría realizarse tanto a nivel del aplicativo de gestión como a través de la edición directa de los datos en la Base de Datos.
4. Controles automáticos definidos en la aplicación: La ventaja de un control automático, es que si se cumplen determinados condiciones en los Controles Generales del Ambiente de Computo (ITGC), podemos garantizar que el control será efectivo en cualquier momento, ya que no dependemos del factor humano para su realización. Estos controles automáticos complementan a los manuales que puede tener definido la compañía, y lo que hará es fortalecer el marco de control interno de la misma.
Un ejemplo concreto de la necesidad de tomar en consideración estos factores es el siguiente ejemplo:
Como Auditores Externos de una compañía, un reporte de relevancia es el Sumas y Saldos. Ahora bien, nuestra compañía tiene un ERP, pero que no tiene integrado el módulo de Ventas, es decir este módulo tiene una interface que lo comunica con el ERP.
Por lo tanto ¿Cómo garantizamos que todas las ventas sean integras y exactas?, precisamente a través del análisis y evaluación de controles sobre la interface.
Adicionalmente, y nuevamente nos hacemos la pregunta; ¿Cómo garantizamos que todas la ventas sean integras y exactas? Evaluando la segregación de funciones, tanto en el aplicativo de origen como en el de destino (No olvidar en este caso la importancia en la auditoría de la evaluación de los asientos manuales generados).
Y por último, nos hacemos la misma pregunta ¿Cómo garantizamos que todas la ventas sean integras y exactas?, entendiendo, evaluando y validando los controles automáticos relevantes (Key Controls) existentes en la aplicación.
Estos aspectos considerados, son sólo un ejemplo de otros varios que tenemos que tener en consideración al momento de analizar un proceso soportado por una aplicación.
Importancia de los Controles Generales del Ambiente de Computo (ITGC) y como los controles a nivel aplicación se asientan sobre estos.
La auditoría ha evolucionado de una primera época en el cual el enfoque era netamente sustantivo, a uno en el cual se tiende a optimizar el esfuerzo a los fines de obtener y validar la evidencia. Dentro de esta nueva tendencia se encuentra el muestreo estadístico y el realizar la auditoría con un enfoque de cumplimiento.
Un tema no menor a tener en consideración es como realizar un esfuerzo de auditoría que sea eficiente, logrando la mayor relación entre los resultados obtenidos vs. el esfuerzo en horas invertido. Y esto se logra a través del enfoque de auditoría que apliquemos. Un enfoque de cumplimiento en controles nos permitirá entender, evaluar y validar los controles claves existentes en una compañía, y de esta forma realizar las pruebas sustantivas mínimas y necesarias.
Parte de estos controles claves, estarán soportados por una aplicación (serán tanto controles automáticos, como controles dependientes de los sistemas como p.e. el Listado de Facturación, de Cobranzas, etc.). Ahora bien, para poder lograr confiar en los controles definidos a nivel de aplicación, deberemos ir un paso hacia atrás, es aquí donde antes de poder confiar en el funcionamiento y controles asociados a cualquier aplicación deberemos ver los Controles Generales del Ambientes de Computo (ITGC), esta dimensión incluye los controles relacionados con:
– Desarrollo de aplicaciones;
– Cambios a Programas;
– Operaciones;
– Acceso de Datos y Programas.
Estos son básicamente los controles asociados al área de sistemas, constituyen el primer escalón en la definición de controles. Los controles sobre las aplicaciones financieras relevantes se asientan sobre estos. ¿Qué significa esto?, que pudimos haber concluido que los controles automáticos asociados a un ciclo particular, por ejemplo RRHH, funcionan. Pero si no realizamos la evaluación de los ITGC, no puedo estar concluyendo que los mismos funcionan de forma uniforme y efectiva a lo largo de un determinado período de tiempo, ¿por qué?:
– porque cualquier persona podría estar modificando la configuración del sistema en cualquier momento, y un control automático que en un momento particular estaba activado, al otro día puede no estarlo,
– porque cualquier persona podría estar accediendo a la Base de Datos utilizada por la aplicación y por consiguiente modificando las mismas, lo que significa que por más que no se pueda modificar la nómina del personal a través de la aplicación, se podrían estar realizando los cambios directamente sobre las tablas que contienen la información.
Estos dos ejemplos, son algunos de los que se nos pueden plantear si no tenemos en consideración los ITGC y por consiguiente representan una limitación importante en nuestra opinión sobre si un control estuvo vigente o no.
Metodológicamente una vez que hayamos realizado las pruebas necesarias sobre esta dimensión, y concluido sobre el nivel de confianza de los mismos, podremos comenzar nuestro análisis sobre los sistemas relevantes que soportan la gestión financiera, productiva, etc., de cualquier empresa.
Javier Fernando Klus, MBA, CIA.
Gerente de Auditoría de una firma internacional de auditoría, especialista en Auditoría Interna, Control Interno, Auditoría, Evaluación de Riesgos, Riesgo Financiero, SOX, Gestión de Riesgo, Gestión de Proyectos, Riesgo Operacional. (Universidades Pontificia Universidad Católica Argentina, Instituto de Auditores Internos, Universidad Politécnica de Madrid, Universidad Argentina de la Empresa).
No hay comentarios.:
Publicar un comentario