Академический Документы
Профессиональный Документы
Культура Документы
RESUMEN
16 mmmijBC
Continúa diciendo: la seguridad de los sistemas de control in-
terno y por ende los portadores de riesgo.
El EDI facilita, a partir del uso de una
estructura común de mensajes, la comu-
nicación de informaciones entre sistemas ANÁLISIS DE RIESGOS
informáticos con interdependencia de la
tecnología usada por los emisores y recep- Estos niveles constituyen elementos a
tores de los mensajes. considerar por la auditoría informática, ca-
da uno de ellos se diversifican y constituyen
Los mensajes EDI pueden ser leídos,
verdaderas especialidades en sí mismos
entendidos y explotados sin intervención
y, a su vez, interactúan entre sí adoptando
humana. Permite ELIMINAR EL PAPEL
la forma de una red donde cada uno de-
correspondiente a diversas transaccio-
pende del otro.
nes económicas: pedidos, facturas, ór-
denes de pago. Cada uno en sí mismo incorpora dife-
rentes niveles de riesgo, la interacción de
Adicionalmente, el EDI es indepen-
ellos incremento el efecto multiplicador co-
diente del tamaño del negocio. De hecho,
mo será explicado posteriormente.
para implantar EDI solamente es necesa-
rio disponer de un PC, de un paquete de
• El equipamiento empleado. (1er nivel)
software y de una conexión telefónica.
• La plataforma a utilizar. (2do nivel)
Como se puede observar, esta tenden-
• Los sistemas de comunicación. (Nivel
cia se ha convertido en una revolución com-
opcional)
pletamente irreversible, mientras más se
avance en el tiempo mayor será la inci- • Los sistemas de aplicación elegidos.
dencia sobre los sistemas organizativos de (3er nivel)
las empresas. • La información. (Elemento presente en
todos los niveles.)
En la actualidad un ejemplo de EDI que
crece y se incorpora en todas las activida- • Las personas que utilizan esta infor-
des empresariales es la INTERNET, donde mación. (4to nivel)
se espera que para el presente milenio el
• Los especialistas que atienden esta
volumen de operaciones interempresas
actividad, (interactúan en todos los
sea monumental.
niveles)
Como subdivisión se puede apreciar los
NIVELES DE RIESGOS distintos niveles donde se concentran los
elementos que contribuyen a la exposición
Asociado al triángulo del entorno
de posibles peligros.
informático se presentan, lo que podemos
llamar, niveles de riesgo y constituyen lo que En el análisis de los niveles de riesgo
podemos denominar como riesgo inheren- podemos apreciar:
te a cada ángulo de triángulo explicado.
EL PRIMER NIVEL
SISTEMAS DE COMUNICACIÓN
Comenzamos con los soportes físicos
En el gráfico anterior se ha querido re- (asociado al nivel 1).
saltar de forma abreviada el entorno infor- Que está relacionado con el hardware
mático donde participan de una manera u en toda su expresión, como consecuen-
otra todos los elementos que contribuyen a cia se encuentra sujeto a la fórmula de
¡mMAJOC 17
equilibrio de costo y calidad. En él se en- desde el mism o mome nto de la concepciór.
cuentran los sistemas de almac enam iento de la red; este elemento no puede conver-
(externos e internos), las máqu inas, los tirse en un freno al desarrollo de la activi-
sistemas de respaldo tanto para la energía dad y por ende al inminente movim iento
eléctrica asi como los de información. de equipos, personal y funciones.
Es necesario destacar que esta inversión Const ituye un queha cer diario que
se hace por lo regular una sola vez y debe- por motivos inherentes a la dinám ica de la
mos tener en cuenta que el excesivo abara- empresa se haga necesario modificar el es-
tamiento de los costos de los componentes tado de los accesos al servidor y el diseño
sin tener en cuenta la calidad puede aca- debe estar preparado para el aume nto y/o
rrear graves probl emas muy difíciles de dismi nució n de equip os que acced an al
solucionar con posterioridad. servidor debié ndose constituirse lo sufi-
cientemente capaz de asimilar tales mo-
Los errores que se produ cen por causa
dificaciones sin afectar la dispo nibilid ad
del hardware suelen resistirse a la detección
original.
debid o a que no poseen una cadencia uni-
forme de aparición, por lo regular ocurren Otra propie dad a observar en este tipo
de forma aleatoria resultando en extremo de sistema informática es la respuesta que
difícil de diagnosticar. puede n dar los servidores o la disposición
que se obtuv o al analizar el diseño de la red
Éste debería contar con el análisis de-
para que nunca se detenga al 100% y sea
tallado de los esquemas fundamentales de
posible mantener un nivel mínim o de lo;
una red.
servicios que oferta.
• Seguridad
Estas características se analizarán di-
• Capac idad de modificación (aume nto rectamente en proporción al efecto que ten-
o disminución) ga una interrupción en la imagen de la em-
• Respu esta de los servi dores ante presa y el costo que esto acarrea.
posibles contingencias.
Independiente de la calidad de los equi-
La seguridad abarca todos los aspec- pos debemos contar con los técnicos que
tos en los cuales el sistema pueda ser inte- se encarguen de la instalación que por lo
rrump ido mediante una falla ya sea eléc- regular están separados en dos ramas o ver-
trica, de los equipos, del sistema operativo tientes, los asociados con el hardware que
o de las aplicaciones. corren con la adecuación y prueb a de los
equipos prevenía (es bastante usual que las
Debe n observarse las posib ilidad es
comp añías que vende n hardware brinden
dispo nibles para afrontar un intent o de
la posibilidad de ensamblar componentes
acceso ilegal, una caída de voltaje, que se
para formar un equip o que reúna las ca-
deteriore una tarjeta de la red o que se inu-
racterísticas que dema nda el cliente).
tilice una línea física de conexión, por men-
cionar algunos ejemplos. Resulta casi imper ativo la existencia
de espec ialista s que sean capac es de
Adem ás, debem os tener en cuenta la
situac ión física de los equip os y funda- producir un equip o que a partir de unos
mentalmente del o de los servidores, co- comp onent es básicos tenga la posib ilidad
mo se ejecuta la salvaguarda y las posibili- de incorporarle elementos a sugerencia del
dades reales de su restauración. cliente. Y por otro lado se rrequiere espe-
cialistas de software que generen los sis-
La capacidad de modificación consti- temas operativos con que vienen los equipos
tuye un elemento que debe estar presente del suministrador.
18 lammijot
También asociado de manera muy di- garantizan que ningún novato pueda in-
recta a las compañías que venden equi- cursionar en este mundo.
pos están los especialistas que tienen que
Las facilidades que incorporan los nue-
garantizar la reparación y el «manteni-
vos sistemas operativos impulsan a los co-
miento» de éstos.
nocedores a desarrollar intentos de auto-
En este nivel, que podemos calificar de matización de tareas aisladas, trayendo
primario, contamos con reglas de seguri- por consecuencia los aumentos de riesgos
dad de acceso que deben ser vigiladas y antes mencionados.
cumplimentadas.
gmwujK 19
denominarse estratégicos debido a que desarrollará el trabajo posterior de esta
siempre requieren de un porcentaje ma- actividad una vez automatizada.
yor de atención.
Cuando nos situamos ante el tercer ni- Con una buena herramienta se puede
vel vemos que está constituido por el o los hacer un sistema malo y viceversa, pero está
sistemas de la aplicación en cuestión de que desgraciadamente muy relacionado con la
se trate y que conviven en el mismo soporte profesionalidad de quién la utiliza y de la
físico que los sistemas descritos en el nivel exigencia y autoestima de estas personas.
anterior; pero, hay que tener en cuenta que
El 90% de las aplicaciones que están
le incorporan un nivel de riesgo propor-
relacionadas con aplicaciones del control
cionado por la pericia o previsión de los
interno con bases de datos y cuando obser-
que confeccionaron el sistema y si se
vamos detenidamente herramientas como
auxiliaron o no de especialistas en control
FOXPRO, DBASE y se comparan con otras,
interno informático y de entendidos de la
podemos notar que la diferencia es abis-
actividad en específico.
mal tanto desde el punto de vista de la inte-
Éste constituye un paso en cual se suele gridad de los datos (transacciones) así como
incluir un poco que en pedestal de la igno- del control de acceso.
rancia se erige la estatua del atrevimiento
Para describir un ejemplo analicemos
porque nos encontramos ante una dis-
una transferencia entre dos cuentas que está
yuntiva. Es decir, los especialistas en la ac-
constituida de al menos dos operaciones
tividad que queremos automatizar cono-
programáticamente independientes.
cen a profundidad la materia que será
objeto de computarizar, pero no conocen Hay que disminuir de una cuenta, que
las técnicas elementales de control y segu- constituye una operación, y aumentar en
ridad; por otra parte los especialistas en in- la otra, pero que como sistema es una úni-
formática dominan estas últimas pero no ca operación de «todo o nada». Es decir si
tienen el dominio de la especialidad que en el justo momento que se rebaja de una
conlleva la actividad. cuenta sucede una interrupción la opera-
ción queda incompleta y a efectos del sis-
Esto nos sitúa en una zona o terreno tema introduce un error que ya proporcio-
donde la falta de observación del trabajo na un desbalance.
en grupo puede acarrearnos serias difi-
cultades; en los procesos sencillos se reco- Otro ejemplo se observa en los procesos
mienda que el personal que automatiza- asociados con la afectación de un registro
rá la actividad antes ejecute la tarea de que transaccional y la actualización de un
se trate. Esto no es posible en sistemas maestro si sucede una alteración del
complejos porque conllevaría un excesivo proceso en ese momento puede ocurrir que
consumo de tiempo y debería cuidarse cuando comprobamos ha actualizado un
además que este especialista fuese el que fichero y otro no.
20 ÍOTÍWIMIfW
Esto se logra solamente si nos cerciora- y un administrador de bases de datos, han
mos, que la operación ha sido completa si permitido que usuarios con poca o ninguna
no es así no se procedería a efectuar el paso experiencia informática elaboren infor-
primario. Resulta difícil de garantizar por maciones a su gusto y que además posean
programa si la plataforma del software un nivel de presentación impresionante.
(sistema operativo más la herramienta de
A partir de esta base programática las
programación) no brinda posibilidades al
posibilidades que brinda la computadora
respecto ya que sería necesario para lograr
para acercar cada vez el usuario final a su
un efecto similar efectuar una programa-
trabajo son incontables.
ción de muy bajo nivel la cual acarrea que
el tiempo ahorrado en programar la aplica- Se abren los procesadores de texto con
ción en cuestión se pierde en garantizar la diccionarios incorporados, el diseño en to-
seguridad y la integridad de la información. das sus facetas es ampliamente abordado
por las técnicas actuales, la composición y
Encontramos otro nivel de especialistas
administración musical. Es prácticamente
que desarrollan su trabajo en el campo de
imposible enumerar todos los campos en
las aplicaciones donde el mercado se en-
los cuales una aplicación específica permite
cuentra más repartido y en el que podemos
a un usuario no profesional desarrollar un
encontrar diferentes niveles de integración
programa o grupo de instrucciones que
encontrándonos que en algunas materias
satisfaga su demanda.
se desarrollan excelentes sistemas que per-
miten recoger todas las variantes posibles,
para mencionar un ejemplo: CUARTO NIVEL
;:iPFfUMjpc 21
Esto se lleva a cabo por dos razones validación, que si se elaboran bien no de-
muy poderosas: una que seguiremos te- berán contener errores conceptuales.
niendo a un personal que necesita intérpre-
tes para la computación y otra que cuando • Más difícil de encontrar
alcanza un nivel de complejidad en nuestro C o m o mencionamos en el punto an-
negocio el uso de las computadoras se hace terior una vez constituidos como informa-
indispensable contar con un grupo de espe- ción maestra y por ende pasadas las prue-
cialistas que atiendan de forma casi simul- bas preliminares si se introduce un error,
tánea todos los niveles que mencionamos éste resulta más complejo para detectarlo.
en los puntos anteriores, destacándose una
actividad muy importante en lo que respecta • Mayor impacto posterior
a los administradores de la información.
Hay que tener en cuenta que si en la
definición de una información maestra se
C o m o se puede observar en el gráfico
comete un error, éste va a ser reproducido
hay usuarios que consultan información no
cada vez que utilizamos estos datos.
determinando esta función un riesgo aña-
dido por sí mismo, pero por el contrario exis- Pongamos como ejemplo un sistema
ten usuarios que modifican información contable que permite al definir sus cuentas,
estando divididos en dos tipos: enmarcar la naturaleza de las mismas y
que por error se defina un activo con natura-
• Información maestra por lo regular
leza acreedora, todas las operaciones que
única. se hagan al saldo de esta cuenta serán
• Información repetitiva, denominada erróneas y en la medida que transcurra
transacciones. el tiempo se multiplicarán los efectos del
error inicial.
Para cada tipo enunciado con anterio-
ridad se confirma: • Tiene menor control de seguridad
22 fuifiMHiyw
• Los especialistas q u e atienden la o de otro tipo, podemos afirmar que el
actividad informática: sistema carece de continuidad.
tnmiMijoc 23
de una empresa, ya que resulta difícil de Informática contamos con el análisis de in-
disponer de un sistema automatizado que dicadores que pueden resultar de gran uti-
contenga los elementos necesarios para el lidad en las diferentes etapas del proceso
control de dicha empresa. de una Auditoría.
24 HWVMMJK
aunque la empresa cumpla los planes de de que tiene una rotación alta debido a que
ventas y de rentabilidad puede ir a la quiebra la empresa tiene acceso al comer- ció al
si no está pendiente de sus Cuentas por detalle y por lo tanto tendrá diferen-tes
Cobrar. Esto tiene que estar avalado por un observaciones.
sistema-auto matizado lo suficientemen te
ágil que permita la toma de decisiones por El sistema para el caso de que el dinero
la dirección de la entidad. esté en Banco deberá contemplar aspectos
relacionados con el manejo financiero de
2. PARTICIPACIÓN DE LOS INVENTARIOS la empresa, analizar en dependencia del
caso de que se trate de un buen control de
TOTAL DE INVENTARIOS/TOTAL Plazos Fijos, Cuentas de Banco, venci-
DE ACTIVOS mientos de documentos de pagos y control
de cartas de crédito.
Este indicador nos muestra el peso
que tiene dentro de los activos las cuentas Si además influye en este indicador la
de inventario, que unido a los conceptos actividad minorista debemos analizar un
de cantidad de item o artículos, productos, buen sistema de cobros, si es preciso un
sistema de cajas registradoras con la consi-
servicios y el volumen real del valor, nos
guiente conexión on line o una central.
dan una idea de la seriedad del módulo de
control de inventario que como mínimo de- 4. ACTIVOS FIJOS
be contar con la rebaja o el aumento de las
cantidades en físico y en valor, proporcio-
TOTAL DE ACTIVOS FIJOS /TO-
nando la existencia real con el almacén.
TAL DE ACTIVOS
Además debe tener los mecanismos míni-
mos indispensable s para que el almacén
Por igual representa el peso de los acti-
recepcione las cantidades y poder aumen-
vos fijos dentro del total de activos de la
tar de forma automática y al unísono las
compañía y tendremos en cuenta que si es
existencias y los compromisos de pago a
un indicador fuerte y además analizamos
los suministradores.
el volumen en cantidad e importe arrojado
que son considerables, es preciso que se
Si además este análisis se conjuga
cuente con un buen sistema que propor-
con el indicador de Rotación de Inventa-
cione el registro y control de estos activos.
rio debe brindar la posibilidad a la esfera
comercial de conocer de forma muy ágil PASIVOS
los productos que contengan poco movi-
miento, sin movimiento y por ende los Al igual que en los activos mediante un
que tienen buena salida. ligero análisis de participación podemos
inferir la necesidad de d e t e r m i n a d o s
3. PARTICIPACI ÓN DEL EFECTIVO EN
sistemas automatizado s para el control y
BANCO
efectividad de estos pasivos.
lüIPUKAMíyOC 25
y cantidad de proveedores. Resulta muy 4. Determinar:
importante que mantengamos una vigi-
• Tipo y alcance del trabajo a realizar.
lancia de nuestros compromisos de pagos
debido a que este aspecto va a constituir la • Fecha de realización del trabajo.
imagen de nuestra empresa.
• Fijación de honorarios.
Se puede agregar varios indicadores 5 Envío de propuesta inicial y firma del
asociados a estos análisis y para cada uno contrato.
de ellos existe un razonamiento y un nivel
de automatización a medir. ^
FASE PRELIMINAR
I. FASE CONTRACTUAL
• Control del software
• Inventario detallado de equipos vs.
Denominada así debido a que en este
software sontrol de antivirus
período se establecen los primeros víncu-
los con el cliente potencial encaminados • Acceso a las computadoras
a conocer de forma abreviada los princi-
• Acceso a locales donde se encuen-
pales rasgos mediante los cuales se pue-
tran los equipos
dan determinar la magnitud del riesgo al
que se encuentra sometido el cliente y por ^ Descripción del control interno admi-
ende el estimado de tiempo que se requiere nistrativo.
para elaborar un dictamen de la situación • Organigrama de la actividad
informática.
• Esquema computacional
1. Contacto inicial con el cliente. • Cruce de los puntos anteriores
2. Investigación preliminar. • Balance de carga y capacidad
3. Cálculo del riesgo de Auditoría. • Alcance de los sistemas implantados
26 ommijoc
• Determinar suficiencia del equipa- CONCLUSIONES
miento
Como se ha podido observar a lo largo
• Necesidad de automatización
del trabajo realizado, no encontramos con-
10. Evaluación del control interno diciones en las empresas actuales que de-
• Sistemas instalados finan aspectos a los cuales nuestros audi-
tores se tienen que enfrentar irremediable-
• Actividades y funciones
mente; existen característica s propias
• Procedimient os organizativos y/o inherentes a entidades en particular en lo
manuales del sistema informativo que a equipamiento y personal que labora
computaciona l alrededor de ellas.
• Uso de cuestionarios
Por otra parte consideramos como un
• Ficheros traza con cruzamiento de tema poco probable que en la actualidad
puestos de trabajo y claves de el mayor porciento de los auditores de cuen-
acceso. tas puedan convertirse en informáticos y,
• Uso flujogramas en una medida menor, que puedan operar
herramientas como las que se utilizan en
• Chequeo de salvaguardas las técnicas asistidas por computadora.
• Chequeo de claves de acceso y
accesos remotos (teniendo en cuen- Y también resulta en menor medida que
ta que para algunos sistemas ope- los auditores utilicen computadoras ya sean
rativos no tienen diferencias) personales o de mesa, siendo una práctica
común que elaboren sus informes y tablas
• Evaluación de la confiabilidad de la y posteriormente una operadora con alguno
información de los paquetes de tratamiento de texto y
• Destacar puntos débiles y fuertes hojas de cálculo sea la que confeccione el
(incluir apuntes para el Memorán- dictamen en forma automatizada.
dum de revisión interna.
Como planteamos en el desarrollo del
trabajo, las características de formación del
III FASE FINAL informático le hacen difícil pensar como un
contador y en la mayoría de los casos no se
explican cómo funcionan las cuentas por
11. Preparación del informe y Memorán-
su naturaleza y cuándo es que aumentan
dum de revisión interna
por el DEBE y disminuyen por el HABER,
12. Discusión con el cliente de ambos por la única y sencilla razón de que quieren
documentos aplicar la lógica y no siempre es posible.
13. Entrega informe final (dictamen) y
Es más frecuente encontrarse a conta-
Memorándum de revisión interna.
dores que trabajan como informáticos,
Destacar iguales términos que para los debido a la bondad de los nuevos sistemas
informes de Auditoría de Balances: de programación, que a informáticos que
se desempeñen como contadores.
• Confiable
Esta experiencia no constituye una
• Con salvedades
práctica exclusiva en cualquier país, ni de
• No confiable nuestra profesión y nos la encontramos en
los despachos de abogados y auditores de
otros países que plantean que estos pro-
Facturación - Cobro. gramas resultan una camisa de fuerza y que
mmuMijoc 27
les resta iniciativa en el trabajo; esta situa- la auditoría informática, como su nombre
ción en gran medida se relaciona con indica, no puede ser desarrollada por una
aquellos profesionales que hacen rechazo sola persona, debe ser abordada por un
a la computación, esto se manifiesta en casi equipo que al menos tenga profesionales de
todas las profesiones donde la informática ambas especialidades. Además, debemos
está presente. darnos la tarea de preparar a los actuales
auditores de cuentas o balances mediante
Las razones detalladas anteriormente la asimilación de los conceptos y herra-
constituyen las causas fundamentales para mientas aportadas en este trabajo que le
el análisis de la profesión del auditor infor- permitan tener una visión más exacta del
mático y la posible formación de un profe- entorno que auditan y puedan comprender,
sional con esas características, por lo que trasmitir y dialogar en un lenguaje similar a
a mi criterio se puede reafirmar el concepto los informáticos.
mostrado en el desarrollo del trabajo de que
28 summijoi!