fbpx

En esta segunda parte del artículo trataremos la importancia de los Controles Generales del Ambiente de Computo (ITGC) y como los controles a nivel aplicación se asientan sobre estos.

En la primera parte de este artículo (Ver en: http://auditool.org/index.php?option=com_content&task=view&id=199&Itemid=31) , hemos visto algunos temas relevantes que tenemos que tener en cuenta al momento de realizar una auditoría; se ha mencionado la importancia cada vez más relevantes de los sistemas en cualquier empresa moderna, y de cómo estos administran el flujo de información. Por consiguiente, la mayoría de la información utilizada para la toma de decisiones, y el balance es una de ellas, es generada por dichos sistemas (p.e.ERP).
 

La auditoría ha evolucionado de una primera época en el cual el enfoque era netamente sustantivo, a uno en el cual se tiende a optimizar el esfuerzo a los fines de obtener y validar la evidencia. Dentro de esta nueva tendencia se encuentra el muestreo estadístico y el realizar la auditoría con un enfoque de cumplimiento.

Un tema no menor a tener en consideración es como realizar un esfuerzo de auditoría que sea eficiente, logrando la mayor relación entre los resultados obtenidos vs. el esfuerzo en horas invertido. Y esto se logra a través del enfoque de auditoría que apliquemos. Un enfoque de cumplimiento en controles nos permitirá entender, evaluar y validar los controles claves existentes en una compañía, y de esta forma realizar las pruebas sustantivas mínimas y necesarias. 

Parte de estos controles claves, estarán soportados por una aplicación (serán tanto controles automáticos, como controles dependientes de los sistemas como p.e. el Listado de Facturación, de Cobranzas, etc.).  Ahora bien, para poder lograr confiar en los controles definidos a nivel de aplicación, deberemos ir un paso hacia atrás, es aquí donde antes de poder confiar en el funcionamiento y controles asociados a cualquier aplicación deberemos ver los Controles Generales del Ambientes de Computo (ITGC), esta dimensión incluye los controles relacionados con:

- Desarrollo de aplicaciones;
- Cambios a Programas;
- Operaciones;
- Acceso de Datos y Programas.

Estos son básicamente los controles asociados al área de sistemas, constituyen el primer escalón en la definición de controles. Los controles sobre las aplicaciones financieras relevantes se asientan sobre estos. ¿Qué significa esto?, que pudimos haber concluido que los controles automáticos asociados a un ciclo particular, por ejemplo RRHH, funcionan. Pero si no realizamos la evaluación de los ITGC, no puedo estar concluyendo que los mismos funcionan de forma uniforme y efectiva a lo largo de un determinado período de tiempo, ¿por qué?:

- porque cualquier persona podría estar modificando la configuración del sistema en cualquier momento, y un control automático que en un momento particular estaba activado, al otro día puede no estarlo,

- porque cualquier persona podría estar accediendo a la Base de Datos utilizada por la aplicación y por consiguiente modificando las mismas, lo que significa que por más que no se pueda modificar la nómina del personal a través de la aplicación, se podrían estar realizando los cambios directamente sobre las tablas que contienen la información.

Estos dos ejemplos, son algunos de los que se nos pueden plantear si no tenemos en consideración los ITGC y por consiguiente representan una limitación importante en nuestra opinión sobre si un control estuvo vigente o no.

Metodológicamente una vez que hayamos realizado las pruebas necesarias sobre esta dimensión, y concluido sobre el nivel de confianza de los mismos, podremos comenzar nuestro análisis sobre los sistemas relevantes que soportan la gestión financiera, productiva, etc., de cualquier empresa.


Explicación de las 4 Dimensiones de ITGC

Como vimos en anteriormente los componentes en los cuales se divide el Ambiente General de Tecnología de la Información (ITGC) son;

- Desarrollo de aplicaciones,
- Cambios a Programas,
- Operaciones,
- Acceso de Datos y programas.

Detallaremos algunos puntos importantes a considerar en cada uno de estos componentes:

Desarrollo de aplicaciones: Este dominio es aplicable en organizaciones donde los desarrollos de programas son significativos, existen proyectos de implementación de sistemas, proyectos de conversión, etc.

Al realizar una auditoría sobre este dominio deberemos tener en consideración entre otros aspectos, las actividades del ciclo de vida del proyecto (p.e. Desarrollo e implementación, análisis y diseño, construcción, selección de aplicativos, pruebas y control de calidad, documentación y capacitación posterior). Para todos los puntos mencionados, deberá existir en primer término la documentación correspondiente, controles asociados, supervisión a fin de garantizar que estos controles son cumplidos, etc.

Otro aspecto relevante es tener en consideración la segregación de funciones, básicamente el acceso a los entornos de desarrollo, prueba y producción. El aspecto típico de este punto, es el control relacionado con que los programadores sólo deben tener acceso al ambiente de desarrollo y nunca a un ambiente productivo.
 

Cambios a Programas: Aquí deberemos tener en consideración todos los aspectos relacionados con la documentación del proceso de cambio es decir:

- Definición de las especificaciones técnicas
- Autorización
- Seguimiento
- Pruebas de Control de Calidad y
- Pasaje en productivo

Esta dimensión tiene algunos aspectos en común con la de Desarrollo de Programas, pero la misma está orientada básicamente a que todo el proceso involucrado en la solicitud de una nueva especificación o desarrollo de programas tenga los mecanismos de seguimiento y control que aseguren que lo solicitado, es lo que finalmente entra en productivo, y que funcione correctamente a fin de no generar impactos negativos en la operatoria de la compañía. Un ejemplo típico es el desarrollo de cualquier reporte, relacionado con lo financiero y que puede ser utilizado para la toma de decisiones. Si no existe un apropiado esquema de control para esta dimensión, podemos estar corriendo el riesgo que la información que provee el reporte sea errónea y por consiguiente esto nos pueda estar llevando a tomar decisiones equivocadas.
 

Operaciones: Esta dimensión toma en consideración la administración general de las operaciones computarizadas, p.e. procesos para controlar operaciones computarizadas y monitoreo de la efectividad de los procesos, este es el caso de los Job Schedule.


Entre los aspectos que consideramos, es la existencia de procedimientos de backup, seguimiento y control de los mismos, existencia de procedimientos de recuperación en caso de desastre (DRP), controles de interfaces, etc.
 

Acceso de Datos y Programas: Por último, en este apartado deberemos tener en consideración la administración de la seguridad, seguridad de datos, seguridad del sistema operativo y seguridad de la red.

Como resumen de lo visto, los Controles Generales del Ambiente de Computo soportan el ambiente de control de cualquier organización, metodológicamente es lo primero que debemos evaluar y validar para luego si, proseguir con nuestra opinión sobre los controles existentes en las aplicaciones financieras relevantes.

No confiar en los controles Generales de TI, implica una limitación muy importante a la hora de poder opinar sobre si los controles automáticos de la aplicación fueron efectivos para un determinado período de tiempo ó bien aún, sobre la exactitud de los reportes que la aplicación genera (Sumas y Saldos, Balance, Facturación, Cobranzas, etc.).

 Javier Fernando Klus

Gerente de Auditoría de una firma internacional de auditoría, especialista en Auditoría Interna, Control Interno, Auditoría, Evaluación de Riesgos, Riesgo Financiero, SOX, Gestión de Riesgo, Gestión de Proyectos, Riesgo Operacional. (Universidades Pontificia Universidad Católica Argentina, Instituto de Auditores Internos, Universidad Politécnica de Madrid, Universidad Argentina de la Empresa). Colaborador de Auditool

Buenos Aires, Argentina