1) El equipo de procesamientos de datos en Auditoria:
Se refiere al proceso electrónico de datos, que forman parte de la organización de una empresa y que solamente proporcionan servicio a otras divisiones, áreas o departamentos de la misma empresa.
Debe hacer estudios de la viabilidad para la adquisición de equipos de computo electrónico.
El procesamiento electrónico de datos ha producido un impacto muy significativo en el procesamiento de datos. Muchos de los atributos de un sistema PED afectan al auditor y al trabajo que este desempeña.
• Razones para la existencia de la función de Auditoria de Sistemas:
a) La información es un recurso clave en la empresa para:
• Planear el futuro, controlar el presente y evaluar el pasado.
b) Las operaciones de la empresa dependen cada vez más de la sistematización.
c) Los riesgos tienden a aumentar, debido a:
• Pérdida de información
• Pérdida de activos.
• Pérdida de servicios/ventas.
d) La sistematización representa un costo significativo para
• la empresa en cuanto a: hardware, software y personal.
e) Los problemas se identifican sólo al final.
f) El permanente avance tecnológico.
• Confirmación Externa:
La confirmación externa es el proceso de obtener y evaluar evidencia de auditoría a través de una comunicación directa de un tercero, en respuesta a una solicitud de información sobre una partida particular que afecta las aseveraciones hechas por la administración en los estados financieros. Al decidir a qué grado usar las confirmaciones externas, el auditor considera las características del entorno en que opera la entidad que esta siendo auditada y la práctica de los potenciales participantes en el manejo de solicitudes de confirmación directa.
Con frecuencia se usan las confirmaciones externas en relación con los saldos de cuentas y sus componentes, pero no necesitan restringirse a estas partidas. Por ejemplo, el auditor puede pedir confirmación externa de los términos de convenios o transacciones que tenga una entidad con terceros. La solicitud de confirmación se diseña para averiguar si se han hecho modificaciones al convenio, y si es así, cuáles son los detalles relevantes.
• Búsqueda de atributos de calidad:
Organizaciones de todo tipo pueden tener la necesidad de demostrar su responsabilidad con el sistema de gestión de calidad implantado (SGC) y la práctica asociada de Auditoria de calidad se ha tornado como una forma de satisfacer esta necesidad. La intención de estos sistemas es la de ayudar a una organización a establecer y mejorar sus políticas, objetivos, estándares y otros requerimientos de calidad.
El sector de auditoría no puede escapar a las consignas del momento que son lograr cada día mejores niveles tanto en calidad, como en costos, productividad y plazos. El mayor nivel de calidad y en plazos perentorios resulta fundamental. Para ello deben concentrarse la utilización de los recursos de la forma más eficiente posible, mejorando de manera continua los niveles de performance. Los controles deben centrarse en cuestiones o elementos significativos y con un creciente impacto en la organización.
• Normas y estándares de calidad:
Se refiere al conjunto de guías, normas o convenios establecidos por la empresa (o por un ente externo) con la finalidad de definir, simplificar y estandarizar las actividades necesarias para lograr una alta calidad de los productos de software.
ISO
La Organización Internacional para la Estandarización (ISO) es una federación de alcance mundial integrada por cuerpos de estandarización nacionales de 130 países, uno por cada país.
La ISO es una organización no gubernamental establecida en 1947. La misión de la ISO es promover el desarrollo de la estandarización y las actividades con ella relacionada en el mundo con la mira en facilitar el intercambio de servicios y bienes, y para promover la cooperación en la esfera de lo intelectual, científico, tecnológico y económico.
• Verificación del sistema:
Cuando los programadores enlazan sus programas para formar una secuencia, ésta ha de probarse en su conjunto para garantizar que cumplen su cometido. La auditoria deberá verificar, si la preparación de los datos de prueba deberá llevar consigo:
• Recopilación de un conjunto de datos que refleje todas las variantes de los valores y errores que puedan surgir.
• Preparación de una planificación de los resultados que ha de producir el sistema cuando ejecute los datos de prueba.
Una vez verificada la preparación de los datos de prueba, el auditor se preocupará de la calidad de la verificación de los resultados, la oportunidad de las pruebas y que las mismas no han provocado corrupciones en las rutinas y/o archivos.
La capacidad de revisión y corrección de la computadora puede utilizarse para descubrir, en la preparación del material de entrada, errores que no habían sido advertidos por la revisión humana.
Las verificaciones programadas para determinar la validez de los datos de entrada o fuente son:
1. Verificación de existencia.
2. Verificación de combinación.
3. Verificación de totalidad.
4. Verificación de razonabilidad.
Las verificaciones de existencia se usan para determinar si un cierto código (clave) de transacción continua es valido.
Las verificaciones de combinación se usa en aquellas transacciones en las cuales diversos sectores o campos del registro se relacionan lógicamente entre sí.
Las verificaciones de totalidad tienen por objeto asegurar que la entrada tenga él número total de datos prescritos en todas las categorías de información.
Las verificaciones de razonabilidad se usan para probar los campos de registro y ver si no se han excedido ciertos límites predeterminados.
2) Conceptos básicos para operar el computador en función de Auditoria:
• Datos de pruebas:
Comúnmente llamada lotes de prueba. Se ensaya la aplicación con datos de prueba contra resultados obtenidos inicialmente en las pruebas del programa para detectar resultados no válidos. Los datos de prueba deben representar la aplicación que se examina con todas las posibles combinaciones de transacciones que se lleven a cabo en situaciones reales. Esta técnica se utiliza en la fase de prueba del programa, antes de ser enviada a producción y cuando se llevan a cabo modificaciones a un programa, por tanto, los programas utilizados para digitar los datos de prueba deben ser los mismos que se encuentran en producción y que se utilizan para procesar los movimientos diarios.
Pruebas integrales: Permite examinar el proceso de la aplicación en su ambiente normal de producción, pues se procesan datos de prueba en la misma aplicación en producción junto con los datos reales, para lo cual se crea una compañía de prueba con fines de auditoría dentro de la aplicación, lo cual permite disponer de los mismos archivos maestros. Los resultados de la prueba se comparan contra resultados pre calculados o predeterminados para examinar la lógica y precisión de los procesos. Se presenta un proceso de información simultáneo para comparar contra resultados predeterminados.
• Registros extendidos:
Técnica muy particular y útil para los auditores que han desarrollado ciertas destrezas en el análisis de datos; y, consiste en la conservación histórica de todos los cambios que haya sufrido una transacción en particular, convirtiéndose en un LOG de auditoría.
Se incluye en algún tipo de registro información significativa sobre las transacciones o el sistema, que luego pude ser consultada por el auditor.
Agregar un campo de control a un registro - Software de Auditoría.
• Rastreo:
Mediante esta técnica se establece el orden en que han sido ejecutadas las rutinas durante una determinada transacción, lo cual permite evaluar si el orden secuencial en que se va ejecutando cada una de las etapas del procesamiento electrónico de datos coincide con los procesos institucionales preestablecidos.
• Etiquetado:
Durante la toma de un inventario físico, generalmente las etiquetas o tiquetes de conteo de inventario serial mente numerados se adhieren a cada lote de bienes. El diseño de la etiqueta o tiquete de conteo y los procedimientos para utilizados tienen por objeto prevenir varios problemas comunes: a) omisión accidental de bienes en el conteo y b) doble conteo de bienes.
Muchas compañías utilizan equipos o grupos de dos empleados para contar los inventarios. A cada equipo se le proporciona una secuencia de etiquetas numeradas serial mente y se le exige devolver al supervisor de inventario físico cualquier etiqueta anulada o no utilizada.
El conteo real, el diligenciamiento de las etiquetas de inventario y su retiro son realizados por los empleados del cliente. Aunque las etiquetas de inventario estén aún adheridas a los bienes, los auditores pueden hacer esos conteos de prueba como lo consideren apropiado en cada circunstancia. Los auditores harán una lista en sus papeles de trabajo de los números de las etiquetas de los cuales se efectuaron conteos de prueba. Los empleados del cliente sólo recogerán (retirarán) por lo general las etiquetas del inventario después que los auditores indiquen que están satisfechos con la precisión del conteo.
Al comparar sus conteos de prueba con las etiquetas de inventario, los auditores están alerta de errores no solamente en las cantidades, sino también en los números de partes, descripciones, unidades de medida y todos los demás aspectos del artículo inventariado. Para los conteos de prueba de inventario de bienes en proceso, los auditores deben asegurarse de que el porcentaje o etapa de terminación indicada en la etiqueta de inventario sea el apropiado.
Si los conteos de prueba realizados por los auditores indican discrepancias, los bienes son inmediatamente recontados de nuevo por los empleados del cliente, y el error es corregido. Si se encuentra un número excesivo de errores, el inventario de todo el departamento o aun de toda la compañía debe ser contado nuevamente.
Los clientes que utilizan un equipo de computador pueden facilitar el conteo y resumen del inventario a través de etiquetas de inventario que puedan ser leídas por una máquina. Con anterioridad al inventario físico, deben codificarse las etiquetas con números de etiqueta, números de partes, descripciones y precios unitarios. Después del inventario físico. se ingresa la información de las etiquetas al computador, el cual multiplica la cantidad por el precio unitario para cada renglón del inventario e imprime un resumen completo del inventario.
• Recopilar y comparar:
La recopilación de material de evidencia es un paso clave en el proceso de la auditoría, el auditor de sistemas debe tener conocimiento de cómo puede recopilar la evidencia examinada. Algunas formas son las siguientes:
• Revisión de las estructuras organizacionales de sistemas de información.
• Revisión de documentos que inician el desarrollo del sistema, especificaciones de diseño funcional, historia de cambios a programas manuales de usuario, especificaciones de bases de datos, arquitectura de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarán en documentos, si no en medios magnéticos para lo cual el auditor deberá conocer las formas de recopilarlos mediante el uso del computador.
• Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria.
• Observación de operaciones y actuación de empleados, esta es una técnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditoría.
• Auto documentación, es decir el auditor puede preparar narrativas en base a su observación, flujo gramas, cuestionarios de entrevistas realizados. Aplicación de técnicas de muestreo para saber cuando aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras.
• Utilización de técnicas de auditoría asistida por computador CAAT, consiste en el uso de software genérico, especializado o utilitario.
Luego de recopilar evidencia de auditoría, el siguiente paso es evaluar la información recopilada con la finalidad de desarrollar una opinión. Se han de comparar los objetivos de los sistemas desarrollados con las operaciones actuales, para ver si el estudio de la ejecución deseada corresponde al actual.
• Sistema de control y revisión de Auditoria:
El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos y de costes.
Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos:
• Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoría Informática de Seguridad.
• Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoría Informática de Datos.
• Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados.
Revisión de Centros de Cómputo:
Consiste en revisar los controles en las operaciones del centro de procesamiento de información en los siguientes aspectos:
1.-Revisión de controles en el equipo
Se hace para verificar si existen formas adecuadas de detectar errores de procesamiento, prevenir accesos no autorizados y mantener un registro detallado de todas las actividades del computador que debe ser analizado periódicamente.
2.- Revisión de programas de operación
Se verifica que el cronograma de actividades para procesar la información asegure la utilización efectiva del computador.
3.- Revisión de controles ambientales
Se hace para verificar si los equipos tienen un cuidado adecuado, es decir si se cuenta con deshumidificadores, aire acondicionado, fuentes de energía continua, extintores de incendios, etc.
4.- Revisión del plan de mantenimiento
Aquí se verifica que todos los equipos principales tengan un adecuado mantenimiento que garantice su funcionamiento continuo.
5.- Revisión del sistema de administración de archivos
Se hace para verificar que existan formas adecuadas de organizar los archivos en el computador, que estén respaldados, así como asegurar que el uso que le dan es el autorizado.
3) Ventajas y desventajas del uso del computador en auditoria:
Además de los programas generalizados de auditorías disponibles, muchos auditores crean su propia aplicación informática para llevar a cabo trabajos de auditoría especializados. De esta manera se pueden diseñar procedimientos que se adapten a las peculiaridades del sistema de la empresa y aumenten la eficiencia de la auditoría.
Señalan L. Zavaro y C. Martínez en su libro Auditoría Informática que las TAAC se pueden llevar a cabo con la utilización de un sistema informático de auditoría, ya sea de propósito general o específico. El sistema de auditoría de propósito general, puede trabajar con diferentes estructuras de bases de datos como es el caso del IDEA y el ACL; en cambio los sistemas específicos que adoptan el clasificador de “hechos a la medida” sólo pueden ser empleados sobre una estructura de bases de datos determinada.
En el presente trabajo se expondrán un grupo de opciones de análisis y consultas que se diseñaron manualmente y que luego formaron parte de un sistema de propósito específico, por lo que es necesario mencionar las ventajas y desventajas de este tipo de aplicación:
Ventajas
• Diseño de procedimientos específicos al Sistema Informático empleado para el registro de operaciones.
• No presenta limitaciones relacionadas con el lenguaje de consulta que emplea.
• Permite la verificación de controles de aplicación, tales como: Secuencia, Integridad, Rango, Validez, Fecha, etc.
• Se pueden confeccionar varios reportes para ser empleados en procedimientos posteriores.
• Permite organizar datos, consolidarlos y totalizarlos en función de los objetivos perseguidos por el auditor.
• Se puede simular en paralelo los procedimientos a partir de los mismos datos de entrada, para comparar los resultados obtenidos con los ficheros de salida de la aplicación auditada.
Desventajas
• Elevado costo de desarrollo.
• Limitado número de reportes y consultas.
• Son dependientes del sistema en uso en la entidad auditada.
• Necesidad de mantenimiento del sistema debido a las modificaciones que habrá tenido la aplicación en los exámenes subsiguientes o por cambio de aplicación.
El análisis anterior difiere al realizado por L. Zavaro y C. Martínez, donde sólo señalan al sistema de propósito específico una ventaja, que coincide con la primera señalada anteriormente y lo colocan en un lugar secundario. Sin embargo, como se aprecia la existencia de cinco ventajas más de gran importancia, este tipo de aplicación ocuparía un lugar semejante a los de propósito general.
A los efectos de este trabajo se considera que los programas de propósito específico tienen seis ventajas y cuatro desventajas, como se señaló anteriormente, por lo que resulta más provechoso a los fines del auditor interno, no siendo de igual forma con los auditores externos los que utilizan generalmente los de propósito general, a los cuales L.Zavaro y C.Martínez le encuentran las ventajas y desventajas siguientes:
Ventajas:
• Los costos que debe enfrentar ante las modificaciones de las aplicaciones son menores.
• Poseen características individuales y únicas, tendiendo a ser similares en cuanto a concepto y propósitos.
• Poseen una amplia gama de funciones dirigidas a la verificación del procesamiento y los controles.
Desventajas:
• Limitaciones relacionadas con el lenguaje de consulta que emplea.
Con el incremento de las tecnologías de punta y la necesaria generalización de las aplicaciones informáticas de auditoría, el auditor tradicional debe enfrentarse al cambio, por lo que tendrá que vencer los retos que este cambio representa; entre ellos pueden señalarse los siguientes:
• Nueva Técnica Informática, su auditabilidad e impacto en los procedimientos y controles.
• Adaptar conceptos clásicos de control a la nueva tecnología.
• Desarrollo de nuevas técnicas y herramientas para obtener evidencias.
• Aprovechar en su trabajo las ventajas de las Técnicas Informáticas.
• Necesidad de pistas de auditorías más sofisticadas.
• Desarrollar nuevas habilidades para coordinar con otros especialistas.
BIBLIOGRAFIA
• L. Zavaro y C. Martínez libro Auditoría Informática.
• José Antonio Chenique Gracia. Libro Auditoria Administrativa.
• J. W. Cook y G. M. Winkle libro titulado “Auditoria”
• W. Tomes. Poster Auditoria de sistemas electrónicos
