ARCHIVO AUDITOR
3. Archivo Auditor
Esta propuesta consiste en prever durante la etapa
de diseño de las aplicaciones administrativas la programación de operaciones de
grabación de registros específicos y exclusivos para los fines de la auditoría
en correspondencia con el registro de las transacciones que tienen efectos
económico-financieros en la empresa. Los registros destinados a ser pistas de
auditoría se deben grabar en un único archivo del sistema informático, al que
denominamos “Archivo Auditor”. Este archivo está destinado a ser usado con
fines específicos de control, sus registros deberán contener la totalidad de
los datos necesarios para reconstruir las transacciones a las que pretenden
servir como pistas de auditoría.
Las aplicaciones informáticas, en especial, las
afectadas a la gestión administrativa suelen registrar las transacciones que
procesan en forma secuencial, en el orden de su ocurrencia, grabándolas en un
archivo de movimientos o "log de operaciones". Este tipo de archivos
registran las transacciones que han entrado al sistema durante un cierto
período, grabando además de los datos propios de la transacción, otros datos
complementarios necesarios para individualizar posteriormente las operaciones
procesadas, tales como: identidad de la persona que generó la transacción
(operador), fecha-hora, terminal, etc. Sintéticamente, este mecanismo es el que
se propone para el modelo Archivo Auditor.
3.1. Aportes del archivo Auditor
a)
Evitar al auditor la tarea de investigar cómo está construida una
aplicación: esta característica tiende a liberar al auditor de conocer en
profundidad los aspectos técnicos del sistema informático donde reside la
información de la empresa, permitiendo al profesional especializarse en lo que
es su ámbito de actuación y evitando la tentación de opinar sobre aspectos que
no le son propios.
En esta situación, en los casos de una auditoría al
sistema de información contable, la primera tarea del auditor consistiría en
introducir un juego de transacciones y verificar su reflejo en el archivo
Auditor; de esta manera valida también parte del sistema de control interno.
Luego, pasaría a la fase de “auditoría de balance". Esta consistiría en
recoger y
procesar la información del archivo Auditor, obteniendo como resultado
las cifras de los estados contables que se están verificando según sus
cálculos. Por último, sólo le quedaría comparar su “balance” con el que le
entregó la entidad objeto de revisión.
b)
Uniformar y estandarizar los datos que brindan las aplicaciones al
sistema contable: esta característica facilita el
contacto del auditor con el sistema informático, ya que le evita la necesidad
de conocer todas las aplicaciones de la empresa, sólo debe verificar que todos
los programas tributen correctamente al programa colector de registros; el
módulo contable - presente en todos los sistemas de gestión administrativos-
que debe trabajar con registros de formato estándar.
c)
Ampliar la confiabilidad de los datos brindados por el sistema de
información: al disponer de un archivo colector de los movimientos u operaciones
que se realizaron, es posible reconstruir la información y poder compararla con
aquella que deben tener las bases de datos de las aplicaciones. Esto se refiere
a efectuar controles cruzados para evaluar la calidad de la información.
d)
Facilitar el acceso de terceros a los sistemas de la empresa: contar con un archivo Auditor
permite verificaciones más rápidas, sencillas y seguras a los sistemas de
información de la entidad. En especial, aquéllas realizadas por organismos de
control externos ante los cuales los directivos deben responder asegurando la
confiabilidad de la información, por ejemplo: auditorías externas,
instituciones financieras, organismos tributarios, etc.
En los casos de revisión de la contabilidad, el
proceso de control se vería facilitado por la uniformidad del formato de los
datos y por la concentración de toda la información referida a los movimientos
contables de la empresa en un único archivo del sistema informático.
3.2. Requisitos del Archivo Auditor
a)
Adaptar las aplicaciones en producción a los requerimientos del nuevo
archivo: en el caso de aplicaciones en producción, deben modificarse los
programas para que graben, cuando corresponda, la información que producen las
transacciones procesadas por el sistema de gestión de la empresa en el Archivo
Auditor.
En el caso de desarrollo de nuevas aplicaciones, el
problema es más simple; sólo debería preverse tributar los registros
correspondientes respetando el formato uniforme y usar el Archivo Auditor para
colectar dichos registros.
b)
Implementar procedimientos para administrar el nuevo archivo: es importante instrumentar
procedimientos para el copiado periódico del Archivo Auditor, ya que sirve como
resguardo físico de la información. Las copias podrían ser usadas para
reconstruir los datos en casos de pérdida o corrupción, y para cuando sea
necesario comparar la información vigente con la original.
Es conveniente utilizar un medio magnético removible,
como por ejemplo cintas magnéticas, CD-ROM, DVD, etc. La seguridad mejoraría si
se foliaran y precintaran las copias, y su custodia física fuera asumida por
los máximos niveles de la organización.
c)
Proteger acceso a información confidencial de la institución: el tener concentrada la información
de las transacciones, en especial los movimientos contables en un único
archivo, de formato uniforme, es un riesgo que debe ser cuidadosamente
analizado dado que se trata de información confidencial.
4. Servidor de Auditoría
Este
proyecto fue concebido a partir de Seguridad Informática, motivado por ciertos
eventos de operaciones de hackers; luego se amplió y hoy en la práctica se esta
encaminado hacia Auditoría Continua. Básicamente, se ha realizado un sistema
informático que genera Pistas de Auditoría Digitales, haciendo hincapié en los
cambios que se operan directamente sobre la base de datos.
El
sistema tiene la particularidad de trabajar con las tablas (archivos de datos)
más esenciales no generando las tablas de auditorías tradiciones que residen en
la base de datos de gestión, sino que esta concebido como un ambiente
independiente para el auditor lo cual se logra a partir de captar y trabajar
con información obtenida directamente de los archivos logs que genera todo
sistema informático.
Todos los
días a modo de tablero de comando se cuenta al detalle con los eventos que
pueden resultar irregulares ocurridos el día anterior, mostrando en su caso el
detalle del
mismo, tales como: fecha/hora,
usuario que operó, si fue desde la aplicación o directamente de la base de
datos, tipo de operación, dato modificado, dato actual, etc.
A su vez
se entiende que el sistema tiene por finalidad no sólo brindar la información
necesaria para la auditoría sino que también tiende a garantizar a empleados,
clientes, proveedores y terceros que la información que se expone o muestra no
ha sufrido modificación alguna que no sea aquella permitida por los
procedimientos administrativos e informáticos correspondientes de la Empresa.
Héctor Rubén Morales -Jefe Auditoría Interna-EPEC.
Como se dijo, el mecanismo de monitoreo continuo
propuesto es un servidor específico para la función de auditoría conectado a la
red donde corre el sistema de gestión. Para implementar un Servidor de
Auditoría se requiere, entonces, de un computador destinado a colectar los
datos de todas las operaciones que se deseen auditar y almacenar toda la información
que se quiera resguardar de cambios no autorizados.
En la figura siguiente se representa el modelo de
procesamiento actual: servidores conectados en red y especializados por
funciones, a la que se agrega el Servidor de Auditoría.
Esquema de una red de procesamiento con un Servidor
de
Comentarios
Publicar un comentario