.png)
Actualmente, cualquier empresa, ya sea de tamaña chico, mediano o grande; tiene una alta dependencia con respecto a los sistemas. Ya sean sistemas de gestión empresarial, como sistemas que administran el flujo de producción, etc.. Por esta razón en cualquier auditoría, tanto interna como operativa, es necesario tener en consideración el impacto de los mismos.
Por otra parte, la información que actualmente utilizamos para realizar nuestro trabajo de auditoría se encuentra soportada en dichos aplicativos (ya se de gestión: ERP, Bases de Datos, etc.). Un sencillo ejemplo es el caso del Sumas y Saldos o bien del Aging de una compañía, que muchas veces solicitamos a los fines de realizar nuestros procedimientos de auditoría. Ahora bien, toda esta información es generada por aplicaciones, la cuales si no tienen un adecuado marco de control interno definido, harán que la información que proveen sea errónea. Por consiguiente, dado que mucha de esta información el auditor la utiliza a los fines de poder emitir una opinión, corremos el riesgo de emitir una opinión que no se ajuste a la realidad.
Es innegable entonces que los sistemas de información han tomado un aspecto preponderante, que el auditor debe considerar al momento de llevar a cabo la auditoría.
A continuación se exponen, de forma resumida, algunos de los aspectos que se deberán estar teniendo en consideración, a los fines de realizar una auditoría (ya sea realizada por nosotros mismos o bien aspectos que deberemos considerar al momento de revisar el trabajo de otros).
1. Existencia de interfaces: En gran cantidad de empresas el mapa de sistemas con el cual nos encontramos es de una complejidad considerable. Tenemos un gran número de aplicaciones conviviendo entre sí, enviando y recibiendo información. Ahora bien, cuando realizamos el análisis de este mapa de sistemas encontraremos aplicaciones que tienen una mayor relevancia que otras, por ejemplo una aplicación que administra determinadas compras de una empresa y que interfacea (comunica) con los sistemas contables de la compañía, no es lo mismo que una aplicación que administra las hojas de ruta de los camiones de una empresa distribuidora. Ambos aplicativos son relevantes al momento de la operatoria, pero el primero impacta de forma directa en la información contable de la compañía.
Entonces ¿qué debemos tener en consideración al momento de analizarla?, la respuesta es la integridad y exactitud de la información que es enviada o recibida por dicha interface - por integridad entendemos que todas las operaciones que se generaron en dicho aplicativo finalmente serán trasladadas a la contabilidad, por exactitud que los montos y/o tipos de documentos que originaron esas operaciones queden correctamente reflejados en el aplicativo de destino. ¿Cómo garantizamos esto?, básicamente a través de un robusto control de la interface, generalmente relacionado con la existencia de un log que detecte errores, y el control manual posterior de una persona que realice el seguimiento de esos log´s y en caso de existir errores, realice las acciones de seguimiento y corrección necesarias.
2. Segregación de funciones: La segregación de funciones tiene un impacto relevante en todos los aplicativos de una compañía. Muchas veces su impacto no puede ser medido de forma directa, pero es innegable que una inadecuada segregación de funciones puede acarrear el riesgo de errores y/o fraudes dentro de una organización. Por esta razón es necesario analizar la segregación de funciones existentes entre los aplicativos más relevantes dentro de una empresa. El utilizar una matriz de doble entrada con los principales casos de segregación de funciones que la empresa debería cumplir, es un buen comienzo para realizar dicho análisis.
3. Identificación de las aplicaciones relevantes: a los fines de optimizar nuestra auditoría uno de los aspectos fundamentales es definir las aplicaciones relevantes, las cuales; en el caso que nos encontremos dentro del marco de una Auditoría Contable, serán aquellos que impacten de forma significativa en los estados contables de la compañía. Un ejemplo sencillo es el siguiente; si nosotros tenemos un sistema que soporta la registración contable, otro sistema que genera las ventas, otro sistema que administra la carga en buque de productos, otro que lleva la hoja de ruta de los camiones para su distribución. Realizado este análisis de impacto, estaremos tomando para nuestra revisión el sistema que genera la información contable y el sistema que administra las ventas. Ahora bien, profundizando el análisis, seguramente también estaremos analizando las bases de datos que soportan ambos sistemas, y ¿por qué hacemos esto?, básicamente porque la información que se genera en las aplicaciones, es almacenada en dichas bases de datos. Por lo tanto, cualquier modificación no autorizada de datos podría realizarse tanto a nivel del aplicativo de gestión como a través de la edición directa de los datos en la Base de Datos.
4. Controles automáticos definidos en la aplicación: La ventaja de un control automático, es que si se cumplen determinados condiciones en los Controles Generales del Ambiente de Computo (ITGC), podemos garantizar que el control será efectivo en cualquier momento, ya que no dependemos del factor humano para su realización. Estos controles automáticos complementan a los manuales que puede tener definido la compañía, y lo que hará es fortalecer el marco de control interno de la misma.
Un ejemplo concreto de la necesidad de tomar en consideración estos factores es el siguiente ejemplo:
Como Auditores Externos de una compañía, un reporte de relevancia es el Sumas y Saldos. Ahora bien, nuestra compañía tiene un ERP, pero que no tiene integrado el módulo de Ventas, es decir este módulo tiene una interface que lo comunica con el ERP.
Por lo tanto ¿Cómo garantizamos que todas las ventas sean integras y exactas?, precisamente a través del análisis y evaluación de controles sobre la interface.
Adicionalmente, y nuevamente nos hacemos la pregunta; ¿Cómo garantizamos que todas la ventas sean integras y exactas? Evaluando la segregación de funciones, tanto en el aplicativo de origen como en el de destino (No olvidar en este caso la importancia en la auditoría de la evaluación de los asientos manuales generados).
Y por último, nos hacemos la misma pregunta ¿Cómo garantizamos que todas la ventas sean integras y exactas?, entendiendo, evaluando y validando los controles automáticos relevantes (Key Controls) existentes en la aplicación.
Estos aspectos considerados, son sólo un ejemplo de otros varios que tenemos que tener en consideración al momento de analizar un proceso soportado por una aplicación.
Javier Fernando Klus
Gerente de Consultoría de PricewaterhouseCoopers – Buenos Aires – Argentina
Licenciado en Administración de Empresas – MBA - CIA
Y luego Agregar a la pantalla de inicio.