Una breve introducción de cómo auditar controles de aplicación

En un contexto en el cual las empresas cada vez más dependen de los sistemas como medio para alcanzar los
objetivos definidos, el auditor interno cada vez más debe interiorizarse del funcionamiento de dichas aplicaciones...

En un contexto en el cual las empresas cada vez más dependen de los sistemas como medio para alcanzar los
objetivos definidos, el auditor interno cada vez más debe interiorizarse del funcionamiento de dichas aplicaciones, de
los riegos que las mismas acarrean así como la forma de monitorear y mitigar dichos riesgos.
Bajo este razonamiento, un aspecto principal a la hora de analizar el control interno dentro de una organización es
poder diferenciar que es “Un control de aplicación” vs. “Controles generales del ambiente de computo”.

En primer término, los “Controles de aplicación” son aquellos controles que son aplicables para un determinado
proceso de negocio o aplicación, entre ellos podemos encontrar la edición de registros, segregación de funciones,
totales de control, logs de transacciones y reportes de errores.

El objetivo principal de los controles de aplicación es asegurar:

• Que el ingreso de los datos es exacto, completo, autorizado y correcto

• Que los datos son procesos en tiempo oportuno

• Los datos son almacenados de forma adecuada y completa

• Que las salidas del sistema son adecuadas y completas

• Que registros son mantenidos para realizar un seguimiento de las entradas y eventuales salidas del sistema.

En este sentido pueden existir distintos tipos de controles de aplicación como ser:

Controles de Ingreso: Los cuales son utilizados para mantener la integridad de los datos que son ingresados al
sistema,

Controles de Procesamiento: Estos controles, principalmente automáticos proveen una manera automática de
asegurar que el procesamiento de las transacciones es completa, adecuado y autorizado.

Controles de salida: Básicamente estos controles direccionan a que operaciones fueron realizadas con los datos. Y
comparando también básicamente las salidas generadas con los ingresos realizados.

Controles de integridad: Estos controles permitan verificar la integridad y consistencia de los datos procesados.

Logs: Principalmente utilizados como “Audit Trail”, permiten a la gerencia identificar hechos inusuales para posterior
investigar los mismos.

Adicionalmente como otra clasificación podemos estar encontrando los controles preventivos, básicamente asociados
a los controles automáticos de una aplicación. Y los controles detectivos, principalmente asociados a controles de
aplicación y manuales posteriores.

Por otro lado tenemos los controles generales del ambiente de cómputo (ITGC). Estos controles aplican a todos los
sistemas, controles y datos.

Los más comunes controles ITGC son:

• Acceso lógico sobre infraestructura, aplicaciones y datos,

• Controles sobre el desarrollo y ciclo de vida de los aplicativos,
• Controles sobre cambios a programas,
• Controles sobre seguridad física en los centros de cómputos,
• Backup de sistemas y controles de recuperación de datos,
 • Controles relacionados con operaciones computarizadas.

Un aspecto importante a considerar para el Auditor Interno, es que la confianza que tengamos sobre los Controles de
aplicación estará directamente asociada con la confianza que depositemos en los ITGC. El segundo aspecto a
considerar es la complejidad del ambiente de sistemas que tengamos.

Un ambiente menos complejos, tendrá un menor volumen de transacciones, y no tendremos un gran número de
controles inherentes o configurables en que la gerencia pueda confiar. Un ambiente más complejo requerirá por parte
del Departamento de Auditoría Interna, una mayor evaluación de riesgos, un mayor conocimiento de los procesos y de
las aplicaciones que lo soportan.

Ejemplo de un enfoque de evaluación de riesgo

En un ejemplo de un método de evaluación de riesgos de control deberemos considerar los siguientes aspectos:

1. Definir el universo de aplicaciones, bases de datos y tecnología de soporte que utilizan los controles de
aplicación,

2. Definir los factores de riesgo asociados con cada aplicación. Por ejemplo:

¿Es control clave?

¿El diseño es efectivo?
¿Es un software pre configurado o bien desarrollo propio?
¿La aplicación soporta más de un proceso crítica?
¿Cuál es la frecuencia de los cambios de la aplicación?
¿Cuál es la complejidad de los cambios?
¿Cuál es el impacto financiero?
¿Cuál es la efectividad de los ITGC?

Todos estos elementos ponderados terminarán dando para cada aplicación un total que determinará el ranking del
nivel de riesgo para cada aplicación, considerando tanto factores cuantitivos como cualitativos, como por ejemplo:

-Controles con Bajo, medio o alto impacto ó

-Por ejemplo 1= Control fuerte a 5= inadecuado control

Una vez rankeada todas las aplicaciones, y evaluado los resultados, debemos generar un plan de acción basado en la
evaluación de riesgos enunciada anteriormente, que tienda a mitigar los riesgos asociados con las aplicaciones que
tuvieron un mayor score en el ranking.