Auditoria a Aplicaciones en Funcionamiento

Una de las funciones de la Auditoria de Sistemas es realizar una revisión a las

aplicaciones que se encuentran en funcionamiento en la empresa, pues son estas
las que están expuestas a riesgos por mal manejo de las mismas.

Con la Auditoria de Aplicativos, evaluamos la efectividad de los controles

existentes y sugerir nuevos controles, de tal forma que se pueda minimizar los
riesgos y fortalecer el control de dichas aplicaciones.
Esas Aplicaciones son:
 Captura e ingreso de datos.
 Funciones de procesamiento
 Funciones de almacenamiento
 Funciones de salida de información.

OBJETIVOS
1. Identificar, analizar y evaluar las fortalezas, debilidades, eficacia y efectividad
de:
 El Ingreso (entrada), de los datos al sistema de aplicación en
funcionamiento.
 Las funciones de procesamiento y de almacenamiento en el
sistema de aplicación en funcionamiento.
 Las funciones de salida de la información.
2. Conocer cuáles son las funciones que debe realizar el auditor de los sistemas
de aplicación en funcionamiento.

3. Conocer e identificar las diferentes formas en que encontramos los sistemas de

aplicación, así como también las diferentes técnicas de control a estos.

AMBIENTE DE SISTEMAS DE APLICACIÓN

Los sistemas de aplicaciones procesados por computación se desarrollan en
distintos tipos de ambientes, lo cual crean condiciones y diferentes técnicas de
aplicación de auditoria para cada tipo de situación: actualización instantánea de
archivos, ausencia de evidencias o rastro de auditoria, etc.
Los ambientes en que pueden residir los sistemas de aplicación son los
siguientes:
 Procesamiento general centralizado
 Sistemas integrados
 Sistemas de información para oficina
 Sistemas de punto de venta
 Sistemas de procesamiento cooperativo
 Conexión con archivos de clientes

PROCESAMIENTO GENERAL CENTRALIZADO

El procesamiento general centralizado es el método tradicional de procesamiento
de información. La documentación con datos de entrada se recibe en el Centro de
Procesamiento de Información, en donde se procesan y se obtienen las salidas, y
desde donde se distribuye al usuario. Los esfuerzos de auditoria se concentran en
esta cede central.

SISTEMAS DE INFORMACIÓN PARA OFICINA

La oficina moderna hace uso, cada vez con mayor frecuencia, de herramientas de
computación que implican no solamente el procesador de texto y el correo
electrónico, sino que a veces incluyen también formas de procesamientos de datos
que enlazan microcomputadoras con acceso a la computadora central. Este es un
ambiente que interesa al auditor en virtud de la diversidad de posibles accesos a
información sensible.

SISTEMAS DE PROCESAMIENTO COOPERATIVO

En la situación de los sistemas de procesamiento cooperativo participan, en la

resolución de problemas de información, diversos ambientes, debido a que el
problema se divide en segmentos en el cual cada parte es procesada por
diferentes dispositivos. El propósito es que se utilice el procesador más adecuado
para el tratamiento de cada una de las unidades del sistema total, minimizando,
así, la necesidad de comunicación entre los componentes (los que solo comunican
entre sí los resultados).

CONEXIÓN CON ARCHIVOS DE CLIENTES

La conexión con archivos de clientes es frecuente en las organizaciones Consiste
en almacenar datos sobre nombre, cedula, dirección, teléfono del cliente, entre otras.

SISTEMAS INTEGRADOS
Los sistemas modernos automatizados procuran integrar las diversas operaciones
que forman parte de los procesos administrativos. La integración incluye todas las
áreas o departamentos de la organización, ejemplo: desde las operaciones de
compras de materias primas y pago a proveedores, hasta ventas, facturación y
cuentas por cobrar; pasando por recepción, almacenamiento, trabajo en proceso,
productos terminados, control de inventarios.

En este caso, el auditor debe cubrir en su revisión áreas diversas y flujos de datos
que atraviesan horizontalmente esas áreas; deberá, en tal ambiente, hacer hincapié
en la revisión del control interno por oposición de intereses.

SISTEMAS DE PUNTO DE VENTA O SUCURSALES

Consiste en capturar y registrar datos en el lugar de la transacción y en el momento
en que se ejecutan.
La captura puede efectuarse en la terminal, a través de teclado, scanners o por
medio de tarjetas magnéticas, estas terminales suelen estar conectadas con el
procesador central, o bien pueden constituir en microcomputadoras que registran las
transacciones en el momento de su ejecución, y luego las acumulan, formando lotes,
para su transmisión bajo esa modalidad a la computadora central.
Cada una de las sucursales, proveen reportes importantes el punto de trabajo
principal.

ENTRADA, PROCESO Y SALIDA

En una aplicación debemos tener en cuenta las tres actividades que debe realizar
un sistema de información para poder producir los datos que la empresa requiere
para la toma de decisiones y el control de las operaciones.

En cada una de estas actividades se debe ejercer un control, el cual posteriormente

dará los parámetros para la auditoría.

Estos controles son:

• En un sistema computarizado solamente se ingresen datos completos, exactos,
válidos y autorizados por única vez.
• La actualización de esos datos se efectúa en los momentos en que realmente
corresponda y bajo las mismas condiciones de seguridad arriba señaladas.
 • El procesamiento se realiza a tiempo y cumpliendo con el diseño aprobado del
sistema.
• Los datos se mantendrán protegidos y actualizados.

• Las salidas, resultados de procesamiento, cumplen con las expectativas

formuladas o esperadas.

 Controles en la entrada de datos

 Controles en el procesamiento de los datos
 Controles en la salida de la información

CONTROLES EN LA ENTRADA DE DATOS

Procedimiento de control de entrada de datos

Cualquiera que sea el ambiente en que se procesan los datos, se hace necesario efectuar
el control de ingreso para asegurar que cada transacción a ser procesada cumpla con los
siguientes requisitos:
• Recibir y registrar con exactitud e íntegramente.
• Procesar solamente datos válidos y autorizados.
• Ingresar los datos una vez por cada transacción.
Los controles en el ingreso de datos son preventivos, pues tratan de evitar la producción
de errores exigiendo el ajuste de los datos introducidos a patrones de formato y estructura
(fecha valida, dato numérico, dato dentro de un rango especifico, introducción de dígitos de
chequeo, etc.).

Las pantallas de captura de datos deben ser diseñadas de manera similar consistente con
los documentos fuente.

En el ingreso de los datos, la aplicación debe tener adecuados mensajes de ayuda, con el
fin de facilitar los ingresos de estos.

Restringir el acceso de los usuarios a las diferentes opciones de la aplicación.

Verificar en cada pantalla de captura que el campo de los datos importantes sea de
obligatoria digitación.
En toda la aplicación, cada campo debe tener el formato de datos apropiado.

Para los campos numéricos y campos fecha, implantar controles de limite.

En la captura o modificación de datos críticos debe dejarse una pista (log) donde se
identifique lo siguiente: nombre del usuario, fecha y hora, valor del campo y donde se
realizó la transacción.
Verificar que los logs de la aplicación sean revisados por los responsables para investigar
accesos y manipulaciones no autorizadas.

Al ir ingresando los datos, el sistema debe ir comparando con los registros de los archivos
maestros para determinar la validez de los datos ingresados.

En la capturación numérica, se debe controlar la correcta digitación de cantidades.

La aplicación debe permitir imprimir listados de datos ingresados para que estos sean
revisados por los usuarios, con el propósito de verificar la correcta inclusión de los datos.

La aplicación no debe permitir que los datos de los archivos maestros puedan ser borrados
del sistema. Los números de documentos fuente, no deben permitir ser ingresados para el
procesamiento más de una vez.
Controlar si en el ingreso de los datos hay un rechazo por el sistema; ese dato sea
analizado y corregido por el usuario.

Dentro del área de control de entrada de datos se localizan los siguientes

Puntos de Control:
 Transacciones en línea o tiempo real.
 Usuario y operador.
 Terminal o dispositivo de entrada de datos

Punto de control: Transacciones en línea o tiempo real

Disponer de mecanismos de control que minimicen la exposición a riesgos derivados de

amenazas como las siguientes:

 Ingreso de transacciones que no cumplan con lo establecido por las regulaciones

vigentes.

 Ingreso de transacciones erróneas o incompletas.

 Deterioros o degradación a la base de datos.
 Asegurar la exactitud, razonabilidad y legalidad de las transacciones en línea.
 Asegurar la consistencia de los datos de las transacciones.
 Cerciorar que sólo transacciones aprobadas sean admitidas en las operaciones en
línea. Asegurar que no exista la posibilidad de perder la transmisión de
transacciones.
 Asegurar la eficacia de los mecanismos de detección de errores y de prácticas de
corrección de los mismos.
 Asegurar que los mecanismos de transacciones en línea provean de pistas de
auditoría para pruebas posteriores y que los mismos sirvan como medio de
evidencia ante requerimientos legales o regulatorios.
 Minimizar el riesgo de que se produzcan interrupciones durante la transmisión de
transacciones.
 Identificar y registrar a los operadores autorizados para ingresar las transacciones
aprobadas.
 Desplegar en pantalla formatos específicos para orientar al operador acerca de la
validez de los datos que debe ingresar.
 Aplicar diálogos interactivos de control.
 Evitar el ingreso, como dato, de fechas inexistentes.
 Mantener un conteo de transacciones ingresadas para comparar con la
información recibida en la central.
 Prever la formulación de informes gerenciales diarios sobre tipos de transacciones
desarrolladas.
 Mantener continuidad en el procedimiento en línea en caso de inoperatividad de
alguna terminal.
 Verificar el debido entrenamiento por parte de los usuarios y operadores de los
sistemas en línea y en tiempo real.
 2. Punto de control: usuario y operador de entrada de datos.
Los objetivos de este punto de control se apoyan en la necesidad de:
 Minimizar la posibilidad de que se cometan errores humanos durante la
transmisión de entrada de datos.
 Asegurar q las funciones que ejecutan los operadores de datos sobre áreas
reservadas se ajustan a las políticas y prácticas de control de la organización.
 Restringir la posibilidad de ingresos de datos, consulta y actualización de archivos
a personas exclusivamente autorizadas e identificadas.
 Desactivar la terminal desde la que se hayan intentado, frecuentemente, accesos
no autorizados o erróneos.
 Asegurar el mantenimiento confidencial de las claves de encriptación de datos y
contraseñas.
 Asegurar el mantenimiento confidencial de las claves de encriptación de datos y
contraseñas.
 Facilitar y simplificar la tarea del operador.
 Utilizar opciones limitadas en los módulos del sistema conforme a las funciones de
cada. Introducir el software rutinas del bloqueo.
 Desactivar terminales después de tres intentos fallidos de ingreso de datos.
 Efectuar control de duplicación.

3.Punto de control: Terminal o dispositivo de entrada de datos

Objetivos:
 Asegurar, por medio de operadores autorizados y desde lugares autorizados.
 Asegurar la continuidad de las actividades.
 Mantener la confidencialidad y privacidad de los datos agrupados y transmitidos
para su procesamiento dentro de un ambiente protegido.
 Resguardar con seguridad el área destinada a los servidores.
 Asegurar el dispositivo de entrada de datos pueda ser identificado.
 Asegurar que antes de efectuar una conexión e iniciar una sesión de transmisión
de datos, se verifique que la respectiva terminal sea autentica.
 Asegurar la autenticidad y legitimidad del operador/usuario
 Asegurar que la terminal, por medio del software de la computadora central, tenga
la capacidad de aceptar o rechazar transacciones en conformidad con las reglas
establecidas.
 Evitar la exposición de códigos de encriptación.
 Evitar que personas extrañas quieran obtener conocimiento de información
confidencial.
 Utilizar el software establecido.
 Manejar el personal no autorizado.
 Establecer límites de tiempo para el mantenimiento.
 Verificar si todas las terminales quedan fuera de servicio al finalizar la jornada
laboral.
 CONTROLES EN EL PROCESAMIENTO DE LOS DATOS

Los programas de computación deben ser sometidos a pruebas antes de ser lanzados a
producción rutinaria, y los datos de entrada también deben ser controlados antes de
ingresar a un procesamiento, el auditor debe revisar las condiciones bajo las cuales se
realiza el procesamiento interno.

Programar controles sobre el procesamiento tiene sus razones; una de ellas es que un
programa puede ser modificado indebidamente (con intención o accidentalmente).

Los controles que comprueban el procesamiento de la computadora son:

1.Importe totales predeterminados

En el procesamiento se incluye una corrida, un importe total que deberá ser
conciliado al final del procesamiento de todas las partidas procesadas.

2. Controles de razonabilidad y de límites de importes calculados por programa Los

programas deben comprobar la razonabilidad de un cálculo aritmético efectuado durante el
procesamiento, comparando el resultado obtenido en cada operación con límites fijos o
flexibles predeterminados.

3.Prueba de sumas horizontales

Es un método de control cruzado que consiste en llegar a un total neto final
por dos caminos diferentes. Si las cifras finales obtenidas a través de estos dos
caminos no coinciden, se deberá indicar el error en el procesamiento.

CONTROLES EN LA SALIDA DE LA INFORMACIÓN

La información de salida de un procesamiento computarizado se refleja en listados o
tabulados impresos en papel o formularios continuos.

A continuación, se explicarán algunos de los controles de salida más habituales.

1. Custodia de los formulario críticos o negociables, estos son los formularios en

blanco que serán destinados para ser impresos por computadora.
2. Conciliación entre formularios salidos del inventario y aquellos procesados
(impresos). Una persona ajena a quien genere la impresión deberá conciliar y
fundamentar las razones de las diferencias por errores de impresión, mutilaciones,
etc.
3. Conciliación de importes totales contenidos en las salidas: El encargado del
Control de Datos deberá conciliar los importes totales de salida con los respectivos
importes totales de datos de entrada.
4. Control de distribución y verificación de recepción: mantener la confidencialidad
de la información reservada.
5. Tiempo de retención de informes: La política de retención deberá determinar los
tiempos fijados desde el punto de vista legal y desde la normativa interna de la
empresa.
6. Información de salida para corrección de errores:
Los programas prevén métodos de detención de errores, en estos casos, los
errores se imprimen en un listado o bien se muestran por pantalla, pero lo
realmente importante es verificar que los mismos queden registrados en
almacenamiento transitorio hasta tanto se verifique su corrección y reingreso al
proceso.
 TAREAS DEL AUDITOR DE SISTEMAS DE APLICATIVOS EN
FUNCIONAMIENTO
Las tareas principales del auditor de sistemas de aplicación en funcionamiento
son:
1. Obtener una comprensión profunda de cada aplicación a través del examen de
la documentación y de la investigación.
2. Evaluar los controles incorporados a las aplicaciones para identificar sus
fortalezas y en el caso, sus debilidades, y definir, en consecuencia, los objetivos de
control.
3. Probar los controles existentes para evaluar su funcionalidad, utilizando
adecuados procedimientos de auditoría.
4. Evaluar el ambiente de control para determinar si se han alcanzado los
objetivos del mismo al analizar los resultados de las pruebas.
5. Analizar la eficiencia y eficacia de las operaciones que componen la aplicación.
6. Verificar el grado de cumplimiento, a través de la aplicación, de los objetivos de
la gerencia.