Auditando Aplicaciones que soportan un Proceso de la Organización

Jorge Salazar Heredia, CISA, CIA

En un artículo anterior (“Aptitudes del auditor interno respecto a las tecnologías de información”) vimos que la auditoría interna basada en riesgos exige la utilización del enfoque basado en procesos de la organización, entendiéndose un proceso como “un conjunto de actividades interrelacionadas, o que interactúan para transformar entradas en salidas”. Un proceso tiene un propósito, un alcance determinado, entradas, salidas, controles y recursos. Recursos de vital importancia para los procesos de la organización son los proporcionados por las tecnologías de información, de manera directa las aplicaciones informáticas que lo soportan.

Por otro lado, los controles de las tecnologías de la información que se aplican en los procesos, pueden ser de dos tipos: controles generales de tecnologías de información y controles de aplicación. En el mismo artículo concluimos que la frontera de los controles de aplicación es la funcionalidad y seguridad intrínseca de la aplicación, y la integridad de los datos contenidos en la base de datos. En base a lo anterior presentamos ahora un esquema de los temas a considerar al realizar una auditoría a una aplicación que soporta un proceso de la organización.

Para empezar, esta revisión debe formar parte de una auditoría que se ejecuta sobre el proceso en cuestión, dentro de cuyo alcance se incluye la aplicación que soporta el proceso. Es recomendable que el auditor a cargo de la revisión sea uno cuya responsabilidad fundamental no es la auditoría de tecnología de la información, primordialmente que conozca el proceso y que tenga destreza en la utilización de técnicas de análisis de datos. De no contar este personal con la experiencia y conocimientos requeridos, la revisión debería realizarse con el apoyo de un auditor de tecnologías de información.

Tal como se mencionó antes, el examen incluye fundamentalmente lo siguiente:

a.    Funcionalidad de la aplicación: con énfasis en los procesos de cambio y modificaciones de la aplicación, los cuales deben contar con la aprobación del líder usuario. Es importante verificar también los procesos de carga de datos y las interfaces con aplicaciones externas.

b.    Seguridad de la aplicación: aplicando el principio del menor privilegio, las opciones disponibles a los usuarios deben corresponder a la función que desempeñan, se debe poner atención a la segregación de funciones y al registro y control de pistas de auditoría.

c.    Integridad de los datos: mediante la revisión de la base de datos con la utilización de una herramienta de análisis de datos. Se debe chequear la validez de la información almacenada, realizar la conciliación de los totales numéricos, existencia de datos inconsistentes por su tipo y longitud, integridad referencial entre tablas relacionadas, etc

En todos los casos, es fundamental que el auditor conozca el proceso de la organización que se encuentra en revisión (mediante el estudio de procedimientos, realización de entrevistas, diagramación de procesos, elaboración de diagramas de flujo, etc.). La funcionalidad y seguridad de la aplicación debe conocerla al nivel del usuario (es de utilidad la revisión de los manuales de usuario y el uso en un ambiente de pruebas del aplicativo). Para la revisión de la integridad de datos al auditor debe tener dominio de técnicas y herramientas de análisis de datos (como ACL o IDEA).

El programa de auditoría podría incluir los siguientes puntos:

1. Autorizaciones de acceso: proceso de otorgamiento de acceso al aplicativo, roles y perfiles correspondientes con las funciones del personal.
2. Segregación de funciones: permisos en el ingreso, revisión y aprobación a lo largo de las actividades ejecutadas en la aplicación.
3. Cambios y nueva funcionalidad de la aplicación: proceso de aprobación del usuario en los niveles apropiados.
4. Ejecución del proceso de control de cambios: pases a producción del aplicativo.
5. Pistas de auditoría: revisión del registro de pistas de auditoría a nivel del aplicativo y de la base de datos.
6. Controles en el ingreso de datos: validaciones de tipo de dato y longitud de campos, uso de listas de selección y botones para restringir contenido de campos, control de datos obligatorios.
7. Controles de integridad de datos: control de la integridad referencial en el ingreso y modificación de datos, protección contra modificaciones no permitidas o no autorizadas.
8. Carga de datos e interfaces externas.
9. Generación y distribución de reportes.

Dependiendo de la evaluación del riesgo y de los controles existentes relacionados a cada punto, el auditor definirá que aspectos son los más importantes a incluir y revisar en la ejecución del plan de auditoría.

¿Te ha gustado el post? ¡Dejamos saber tu opinión a través de un comentario!