En esta segunda parte del artículo trataremos la importancia de los Controles Generales del Ambiente de Computo (ITGC) y como los controles a nivel aplicación se asientan sobre estos.
En la primera parte de este artículo (ver artículo), hemos visto algunos temas relevantes que tenemos que tener en cuenta al momento de realizar una auditoría; se ha mencionado la importancia cada vez más relevantes de los sistemas en cualquier empresa moderna, y de cómo estos administran el flujo de información. Por consiguiente, la mayoría de la información utilizada para la toma de decisiones, y el balance es una de ellas, es generada por dichos sistemas (p.e.ERP).
La auditoría ha evolucionado de una primera época en el cual el enfoque era netamente sustantivo, a uno en el cual se tiende a optimizar el esfuerzo a los fines de obtener y validar la evidencia. Dentro de esta nueva tendencia se encuentra el muestreo estadístico y el realizar la auditoría con un enfoque de cumplimiento.
Un tema no menor a tener en consideración es como realizar un esfuerzo de auditoría que sea eficiente, logrando la mayor relación entre los resultados obtenidos vs. el esfuerzo en horas invertido. Y esto se logra a través del enfoque de auditoría que apliquemos. Un enfoque de cumplimiento en controles nos permitirá entender, evaluar y validar los controles claves existentes en una compañía, y de esta forma realizar las pruebas sustantivas mínimas y necesarias.
Parte de estos controles claves, estarán soportados por una aplicación (serán tanto controles automáticos, como controles dependientes de los sistemas como p.e. el Listado de Facturación, de Cobranzas, etc.). Ahora bien, para poder lograr confiar en los controles definidos a nivel de aplicación, deberemos ir un paso hacia atrás, es aquí donde antes de poder confiar en el funcionamiento y controles asociados a cualquier aplicación deberemos ver los Controles Generales del Ambientes de Computo (ITGC), esta dimensión incluye los controles relacionados con:
– Desarrollo de aplicaciones;
– Cambios a Programas;
– Operaciones;
– Acceso de Datos y Programas.
Estos son básicamente los controles asociados al área de sistemas, constituyen el primer escalón en la definición de controles. Los controles sobre las aplicaciones financieras relevantes se asientan sobre estos. ¿Qué significa esto?, que pudimos haber concluido que los controles automáticos asociados a un ciclo particular, por ejemplo RRHH, funcionan. Pero si no realizamos la evaluación de los ITGC, no puedo estar concluyendo que los mismos funcionan de forma uniforme y efectiva a lo largo de un determinado período de tiempo, ¿por qué?:
– porque cualquier persona podría estar modificando la configuración del sistema en cualquier momento, y un control automático que en un momento particular estaba activado, al otro día puede no estarlo,
– porque cualquier persona podría estar accediendo a la Base de Datos utilizada por la aplicación y por consiguiente modificando las mismas, lo que significa que por más que no se pueda modificar la nómina del personal a través de la aplicación, se podrían estar realizando los cambios directamente sobre las tablas que contienen la información.
Estos dos ejemplos, son algunos de los que se nos pueden plantear si no tenemos en consideración los ITGC y por consiguiente representan una limitación importante en nuestra opinión sobre si un control estuvo vigente o no.
Metodológicamente una vez que hayamos realizado las pruebas necesarias sobre esta dimensión, y concluido sobre el nivel de confianza de los mismos, podremos comenzar nuestro análisis sobre los sistemas relevantes que soportan la gestión financiera, productiva, etc., de cualquier empresa.
Auditoría+ 