INTEGRACIN CONTROLES GENERALES, DE APLICACIN Y REALIZACIN DE

PRUEBAS SUSTANTIVAS. EL PAPEL DEL AUDITOR

Los controles generales se tornan indispensables para asegurar el buen

funcionamiento de los controles de aplicacin. Ambos se complementan
para intentar mitigar los riesgos que afectan a los servicios de TI. La relacin
que existe entre los controles generales y los de aplicacin es fundamental
para asegurar que estos ltimos puedan funcionar correctamente o no sean
eludidos; y garantizar de ese modo la completitud y exactitud del ingreso y
procesamiento de transacciones, en tiempo y forma. Y por las personas
autorizadas.

Los controles generales integrados por los siguientes dominios: la

organizacin del rea de sistemas, la proteccin de activos (seguridad fsica
y lgica), la tercerizacin de actividades, comunicaciones y redes, la
continuidad de las operaciones y al desarrollo/mantenimiento de
aplicaciones, son esenciales para garantizar que los controles de aquellos
aplicativos que dan soporte a los procesos del negocio funcionen de
manera correcta.

A nivel de aplicaciones debe analizarse la criticidad de las mismas dentro

del negocio. Aplicacin crtica seran aquellas que son necesarias para que
el negocio funcione y pueda llevar adelante sus actividades primarias. Estas
pueden ser a nivel operativo como en niveles superiores (para la toma de
decisiones, emisin de reportes, etc.) tambin. Es decir, puede ser cualquier
tipo de aplicacin si es que afecta al funcionamiento del negocio. Al ser tan
importantes para el negocio, es muy importante que tengan sus debidos
controles y por lo tanto llevar adelante las polticas de seguridad necesarias
para protegerlas frente a ataques o posibles fallas que afecten al negocio.

Dentro de una estrategia de continuidad del negocio ante ciertas

situaciones contingentes, estas aplicaciones crticas deberan tener una
disponibilidad del 100% (por ejemplo, autorizaciones de los pagos con
tarjeta). Y en el caso que se materialice un evento con impacto negativo
(riesgo) y la redundancia planeada tambin fall para esa aplicacin,
entonces el tiempo objetivo de recuperacin debera ser lo mnimo posible.
Pero lgicamente esto se define a nivel de estrategia global de la
organizacin y el rea de sistemas debe ir acorde a esos lineamientos.
As se puede observar que existe una relacin entre ambas categoras de
controles. Pueden ser muy efectivos los controles de aplicacin pero, si no
hay una buena administracin en cuanto diseo, implementacin y
actualizacin de los controles generales es mayor la probabilidad que la
efectividad de los primeros se vea mermada y por ende se incremente el
riesgo.

El auditor de sistemas verifica la efectividad de los controles, tanto generales

como de aplicacin, utilizando diversas tcnicas que utiliza en la fase de
pruebas de Cumplimiento. El objetivo en sta instancia es que el auditor
pueda emitir una opinin fundamentada sobre las actividades de control
reales, es decir, lo que ha observado que en la prctica se realiza o cumple.
Y que lgicamente tenga los elementos de prueba (evidencias) vlidos y
suficientes que le permitan respaldar su opinin en un informe.

Ahora bien, tambin existe relacin entre la efectividad de los controles

generales y a nivel aplicacin y la calidad de los datos almacenados. Para
analizar la calidad de los datos es necesario por parte del auditor de
sistemas la realizacin de pruebas sustantivas. Por qu? Por ejemplo,
podran existir controles de aplicacin que se implementaron en un
determinado momento en el tiempo, en la versin operativa de una
aplicacin y existir en la Base de Datos informacin ingresada anteriormente
cuando las validaciones no haban sido implementadas an. Por este motivo
a la hora de realizar los controles de pruebas sustantivas se pueden hallar
datos que no son correctos o informacin redundante que fue cargada en
el sistema anteriormente a que existieran estos controles. Entonces el Auditor
debe analizar estos datos y generar un informe para dejar asentado estas
inconsistencias.

Veamos otros ejemplos de estas relaciones:

En caso que no se hayan diseado e implementado controles de

acceso fsico al DataCenter de la entidad, puede suceder que un
intruso logre acceder a las instalaciones, y robar los servidores que
alojan los datos del core de la entidad. Por lo tanto, aunque existan
controles a nivel de aplicativos que logren restringir el acceso no
autorizado de usuarios, en este caso igualmente se podra acceder a
la informacin crtica de la entidad, violando el principio de
confidencialidad. O en el caso que no exista copia de resguardo,
afectarse tambin la integridad de los datos.
 En caso que no haya una correcta separacin de funciones, sta
falencia en uno de los principios de control interno, podra generar
que se otorguen a diversos usuarios permisos para acceder a
determinados items de informacin no acorde a su puesto y que stos
realicen operaciones no permitidas (por ejemplo, autorizar ellos
mismos las transacciones que iniciaron. Hacer las operaciones de
maker y checker). Puede ello suceder por cambios en las
funciones de empleados, sean de modo permanentes o termporales.

Si no existen procedimientos documentados de desregistracin de

usuarios, podra suceder que empleados que ya han sido
desvinculados de la organizacin realicen transacciones no
autorizadas afectando por ejemplo, la integridad de los datos. O
afectar la confidencialidad (dado que la persona al no pertenecer
ms a la organizacin) ya no est autorizada a leer datos de la
organizacin.

Aun cuando la informacin almacenada en el Datacenter cumpla

con los requisitos de confiabilidad, integridad y disponibilidad gracias
a los controles de aplicacin implementados, si no se exige el
cumplimiento del diseo e implementacin de un plan de
contingencias existe un riesgo alto de que se afecte la informacin en
caso de una contingencia.

La informacin puede ser afectada si cuando se ejecuta el

procedimiento de administracin de cambios no se tiene una copia
de respaldo o back ups definidos, ya que puede haber una falla al
momento de hacer el deploy (implementacin o despliegue) en el
ambiente productivo, su funcionamiento no ser el esperado y
afectarse la calidad de los datos. Como as tambin la disponibilidad
del servicio de procesamiento de datos por interrupcin del mismo
afectando la operatoria del usuario final y por ende del
 funcionamiento del negocio. Esto se agrava si la aplicacin es
considerada crtica.

Una organizacin puede tener un control de accesos muy efectivo a

un aplicativo (ejemplo, un ERP de la organizacin), donde nadie
puede acceder a los datos de los clientes si no posee un nombre de
usuario y una contrasea valida. Pero a nivel de controles generales,
con lo que tiene que ver con la Seguridad Lgica, la Base de datos
de donde se nutre el ERP, tiene un usuario Root Admin. Donde
cualquiera puede tener acceso e ingresando con ese usuario extraer
los datos de los clientes. Por este motivo es muy importante que a la
hora de planificar e implementar los controles en una organizacin se
mantenga una relacin simtrica entre los controles generales y los
controles de aplicacin. Y exista una buena politica y procedimientos
para la configuracin de servidores y ciertos parmetros que por
defecto se generan al instalar el sistema operativo, o la creacin de
una base de datos, para mencionar algunos ejemplos.

Si una falla en el control general compromete la seguridad fsica y

omite cierta posibilidad de que un siniestro provoque la "cada" de un
servidor (con "cada" se refiere a que las aplicaciones alojadas en ese
servidor (mail, aplicaciones, base de datos) se interrumpan por alguna
causa y no se pueda prestar por parte de sistemas el servicios
relacionado, pudindose lgicamente verse imposibilitado o limitado
el acceso al aplicativo por ejemplo, o al servidor de correo
electrnico. Por ms de que los controles de aplicacin hayan sido
exitosos, no tendrn efecto si el acceso al aplicativo no es posible en
el momento en que es necesario ingresar o procesar determinada
transaccin (o lote de transacciones). Por ejemplo, no se pueden
ingresar determinadas transacciones en el momento correcto
(ejemplo, un depsito bancario, una transferencia, etc.).

En relacin al desarrollo de aplicaciones, tanto cuando se terceriza

como cuando se realiza internamente, la falta de separacin de los
ambientes de desarrollo, testing, y produccin (y preproduccin)
puede llevar a la no deteccin e ingreso de errores en las aplicaciones
 cuando se implementa una versin de un software directamente en
ambientes productivos, afectando la confiabilidad de la informacin.
O al ingreso de lneas de cdigo no autorizados o no testeados
correctamente, o eludidos los controles que deben realizarse en sta
ltima rea, la de testing.

Una empresa posee los procesos de compras y pagos correctamente

diseados. Se solicitan todos los formularios requeridos (solicitud,
pedido de cotizaciones, orden de compra, aprobacin fsica de la
misma, remito, factura y aprobacin de la factura). Existen distintas
instancias de aprobacin y se necesita la firma de los gerentes para
ejecutar el pago. Sin embargo, en la compaa existen varios usuarios
que poseen acceso a crear, aprobar y pagar una factura. Todo el
proceso diseado del control podra quedar anulado si estos usuarios
ejecutaran sus permisos juntos. O podra darse el caso de una
incorrecta asignacin de permisos a quien autorizar imposibilitndole
realizar esa operacin en el momento en que es necesaria realizarse.

Si no hay una correcta separacin de ambientes, casi carecera de

sentido realizar el testeo sobre el acceso a datos de un aplicativo. Esto
se debe a que si por ejemplo un desarrollador puede modificar los
parmetros del sistema productivo para que le permita ejecutar o
ingresar a determinada funcin que no debera, la configuracin de
accesos ya no tendra validez.

LA TAREA DEL AUDITOR

El auditor a partir del conocimiento de los procesos crticos del negocio,

analiza cuales son los servicios esenciales de TI que le prestan apoyo. El
auditor realiza el relevamiento de los controles generales en primera
instancia verificando la existencia, suficiencia y adecuacin. Luego verifica
que los mismos se cumplan. En base a sus hallazgos ya tendr un primer
indicio sobre la calidad esperada de los controles a nivel de aplicacin,
dado que los primeros generan el apoyo o sustento de los segundos. Y de
ste modo podr determinar la estrategia de auditora a aplicar para la
prueba de controles. Es decir, si no existe por ejemplo una metodologa
aceptable y utilizada por todos los programadores, podra darse el caso que
cada equipo de desarrollo realice sus actividades segn su leal saber y
entender.

Luego realiza el relevamiento y evaluacin de los controles de aplicacin.

Por ejemplo, para un sistema de ventas, y utilizando alguna de las tcnicas
disponibles, verificar que si una venta de determinado monto se realiza a
crdito el sistema solicite una autorizacin de un usuario con perfil superior.
Esto se corresponde con una regla del negocio que se implementa a nivel
de aplicacin. El auditor verifica si ese control se cumple o no. Lo informa.
Que el control se cumpla no implica que en el archivo histrico
transaccional todas las transacciones de ventas a crdito de ese monto, se
haya producido la autorizacin para poder finalizar la transaccin. Podra
haber sucedido que algn usuario ingresando directamente a la base de
datos hubiera modificado algn dato para finalizar la transaccin
(produciendo la autorizacin) o bien, tambin podra suceder que al
momento de realizacin de las pruebas de controles en los aplicativos se
verifique el correcto funcionamiento, pero el auditor est realizando sus
pruebas sobre una versin X de la aplicacin. Podran haber existido
versiones anteriores donde no estaba ese control implementado y por ende,
existira probabilidad que existiera en la base de datos transacciones sin la
autorizacin respectiva. Por estas razones que se expusieron a modo de
ejemplo, el auditor siempre luego de finalizar las pruebas de cumplimientos
de controles, contina con las pruebas sustantivas, donde directamente se
aboca al anlisis de los datos almacenados en la base de datos.

Siguiendo con el ejemplo mencionado en prrafo anterior, el auditor

analizar todos los registros de ventas, cuya condicin haya sido a crdito,
por un monto determinado y verificar si en ellas se encuentra la
autorizacin por parte de otro usuario (quien autoriza).

Pero lo importante es que se reflexione sobre la relacin que existe entre las
actividades que realiza el auditor verificando = Controles generales
(Relevamiento y Pruebas de Cumplimiento + Controles de Aplicaciones
(Relevamiento y Pruebas de Cumplimiento) + Calidad de los Datos. (Pruebas
Sustantivas)

Del resultado de la realizacin de pruebas de cumplimientos sobre los

controles el auditor podr replanificar sus actividades con relacin a la
naturaleza, oportunidad y alcance de los procedimientos de auditora a
aplicar en la ltima instancia. Ser ms alta la probabilidad que los datos no
sean ntegros, completos y exactos si no existen controles a nivel de
aplicacin y por ende, el auditor podra tener que reforzar las pruebas
sustantivas.

De esta manera se refleja claramente la relacin que hay entre las distintas
etapas de pruebas y la importancia de cada una, ya que si bien de ser
efectivos los controles generales de IT, aseguran un marco de control estable
y eficiente, esto no significar que los aplicativos y dems procesos de la
organizacin se encuentren operando de manera efectiva. De all
provendrn las posteriores pruebas en aplicativos para asegurar que stos
funcionan correctamente a un momento o perodo dado, y finalmente es
importante asegurar que la informacin con la que se cuenta es ntegra,
completa y exacta, motivo por el cual se realizan las pruebas sustantivas en
esta tercera etapa.