1.3.

4 Los mtodos de auditora de una aplicacin informatizada

a) Los juegos de prueba

El juego de prueba consiste en crear un entorno de test, que incluya una copia de los programas en uso y de los ficheros especficos. Entonces, es posible controlar en este entorno el funcionamiento de los programas de una manera profunda, dentro del mnimo de casos de test o comprobacin que han sido suficientemente preparados. Adems, antes de ser una tcnica de auditora, los juegos de prueba son ante todo un medio que permite a los usuarios llevar a cabo la receta de una aplicacin previa a su utilizacin. Tcnica de una gran eficacia, los juegos de prueba son, sin embargo, raramente utilizados en materia de auditora. Su principal inconveniente reside de hecho en la torpeza de su aplicacin, que implica a menudo cambios de trabajo prohibitivos tanto para los informticos, que forman la base del test, como para los auditores, que tienen que tener un conocimiento perfecto del conjunto de las prestaciones del programa. Adems, nombraremos las principales limitaciones de esta tcnica: Permite comprobar los programas, pero no el contenido de los ficheros en uso. Ahora bien, hemos visto que los ficheros pueden detectar anomalas sin que los programas estn equivocados. Difcilmente es posible ser exhaustivo en los casos verificados por el juego de prueba. Esta tcnica raras veces permite detectar las operaciones fraudulentas en la medida en que stas se llevan a cabo, bien por la intervencin directa en los ficheros, o bien por una modificacin temporal de los programas, que no aparecen en el momento de la creacin del software de comprobacin. b) El examen del control del entorno informtico para esta aplicacin Hemos mencionado (en el apartado a de 1.1) la primera preocupacin de un buen control interno del entorno informtico de una empresa, que es, en definitiva, una excelente prueba de la fiabilidad de los programas desarrollados. En otras palabras, uno de los medios bsicos para controlar una aplicacin consiste en controlar la calidad del entorno informtico para esta aplicacin. , En concreto se estudiarn especficamente para la aplicacin auditada:

Los objetivos de la auditora informtica

. 17

mt Los de prueba 1.3 . 4 juegos Los mtodos de auditora de una aplicacin

informatizada El uego de prueba consiste en crear un entorno de test, que incluya una o>cia de
los programas en uso y de los ficheros especficos. Entonces, es posible controlar en este entorno el funcionamiento de los rr _ amas de una manera profunda, dentro del mnimo de casos de test o oomprobacin que han sido suficientemente preparados. Adems, antes de ser una tcnica de auditora, los juegos de prueba son jr:e todo un medio que permite a los usuarios llevar a cabo la receta de u aplicacin previa a su utilizacin. Tcnica de una gran eficacia, losjuegos.de prueba son, sin embargo, rara- Knte utilizados en materia de auditora. Su principal inconveniente reside de Decho en la torpeza de su aplicacin, que implica a menudo cambios de nivK' prohibitivos tanto para los informticos, que forman la base del test, cor*? para los auditores, que tienen que tener un conocimiento perfecto del comunto de las prestaciones del programa. Adems, nombraremos las principales limitaciones de esta tcnica: Permite comprobar los programas, pero no el contenido de los ficheros en uso. Ahora bien, hemos visto que los ficheros pueden detectar anoma-in que los programas estn equivocados. Difcilmente es posible ser exhaustivo en los casos verificados por el juego de prueba. Esta tcnica raras veces permite detectar las operaciones fraudulentas en b medida en que stas se llevan a cabo, bien por la intervencin directa en los ficheros, o bien por una modificacin temporal de los programas, que no aparecen en el momento de la creacin del software de comprobacin.
? i El

examen del control del entorno informtico para esta aplicacin

Hemos mencionado (en el apartado a de 1.1) la primera preocupacin de Sien control interno del entorno informtico de una empresa, que es, en Ipenitiva, una excelente prueba de la fiabilidad de los programas desarrollaEn otras palabras, uno de los medios bsicos para controlar una aplica- oor consiste en controlar la calidad del entorno informtico para esta apli- nn. En concreto se estudiarn especficamente para la aplicacin auditada:

t objetivos de la auditora informtica

17

 Los procedimientos de desarrollo y de mantenimiento, o sea, instrumentos, metodologa, normas, documentacin, procedimientos de puesta en marcha. Los procedimientos de uso, o sea, proteccin de acceso, copias de seguridad, preparacin, arranque y control de trabajos en tiempo diferido, procedimientos de recuperacin, seguimiento de incidentes. Las funciones tcnicas, o sea, gestin de red, soporte microinformtico. La organizacin general del servicio y del proyecto. El enfoque dirigido hacia una aplicacin ser incluso ms preciso que un control del conjunto del emplazamiento. Recordemos que el estudio detallado de los mtodos de examen del control interno de la funcin informtica ser tratado en la segunda parte de la obra. El inters principal de este enfoque, adems de que puede ser llevado a cabo en el marco de un presupuesto limitado, radica en que permite extraer presunciones acerca de la calidad de los programas. La ausencia de una metodologa de desarrollo, la debilidad de la documentacin, la falta de un seguimiento de los incidentes, un gran laxismo en las autorizaciones de acceso y una poltica de copias de seguridad o salvaguarda mal definida son tantos signos inquietantes que es muy raro que no se materialicen a travs de graves carencias en la aplicacin. A la inversa, el principal reproche que se podra hacer a este mtodo es que slo suministra suposiciones y jams las carencias detectadas. As, la tcnica de los juegos de prueba pone en evidencia las anomalas seguras en los programas, o sea, el no cumplimiento de las especificaciones funcionales. De igual modo, el empleo del programa de auditora (apartado 3.4 d) permite detectar las incoherencias comprobadas en el contenido de los ficheros. Un control interno que falla por s solo permite presuponer la existencia de tales insuficiencias. En definitiva, el examen del control interno de la funcin informtica por la aplicacin constituye un primer enfoque relativamente poco costoso, pero que merece, por lo general, estar complementado por una o varias tcnicas de auditora. c) Examen del control interno de la funcin tratada Ya hemos subrayado que el control exhaustivo de una aplicacin implica a la vez el control del software desarrollado y el control de la utilizacin que se hace del mismo. Una aplicacin no puede ser considerada como fiable si, a pesar de los programas de calidad, se la utiliza sin sentido comn.

*8

Tcnicas de la auditora informtica

En otras palabras, la implicacin de los usuarios es tan importante que los controles de coherencia apropiados a su nivel son seguramente mejor garante de la fiabilidad del software que la mayora de los controles tcnicos internos al servicio informtico. A pesar de ser una idea muy difundida, los usuarios estn lejos de ser desarmados y tienen en sus manos los medios de detectar la gran mayora de los fallos de un software, cuyo origen se encuentra en un error de programacin o en una mala utilizacin del sistema. Para ello, tambin hace falta que no hayan renunciado a asumir toda la responsabilidad en el momento de la aplicacin de los tratamientos automatizados. Muy a menudo, ya sea por exceso de confianza ante un dios informtico infalible o bien por negligencia (la informatizacin es un excelente pretexto para dejar de asumir sus propias responsabilidades), los usuarios tienen la tendencia a dejar de efectuar el mnimo de controles indispensables de la fiabilidad del conjunto de la aplicacin. Por consiguiente, el auditor informtico basar una parte importante de sus investigaciones en la utilizacin y el control por parte de los usuarios de los tratamientos informticos. Al extremo, y con riesgo de sorprender y decepcionar al lector, se puede considerar que si hubiera que elegir, a la hora de hacer una auditora de una aplicacin, entre trabajar ante el servicio informtico y trabajar ante los servicios de usuarios, la segunda solucin sera indudablemente la ms eficaz. Habiendo hecho esta constatacin, citamos algunos aspectos esenciales en este mbito.

La realizacin por parte del usuario de controles de coherencia que lleva a los tratamientos Ya hemos aclarado este aspecto, el cual ilustraremos con un ejemplo. En materia de software contable, los controles de coherencia del tipo: suma de los asientos registrados = suma de los asientos resultantes en el borrador de registros (listas diarias recapitulativas de los asientos registrados); suma de los asientos listados en los borradores del mes = totalizacin de los asientos en los diarios contables del mes; totalizacin de los asientos listados en los diarios contables del mes = totalizacin de los asientos del mes en los libros de mayor; acumulado de principio de perodo de los asientos del mayor + total de los movimientos del mes = acumulado de principio de perodo siguiente (en dbitos y en crditos); saldo de las cuentas del mayor = saldo de las cuenta del balance;

permitirn detectar la mayora de los errores de diseo, de aplicacin y de utilizacin del software contable. Tambin hace falta que sean utilizados regular y cuidadosamente.

La existencia de con troles jerrquicos

Los objetivos de la auditora informtica

19

La existencia de controles jerrquicos en las operaciones tratadas constituye un elemento esencial de control interno del conjunto de los ciclos de la empresa. Ya hemos ilustrado (apartado 1.3.1) la necesidad de procedimientos informticos que permitan la corroboracin o el control de los datos registrados, por parte de un superior jerrquico del operador, o sea: Listas-resumen de registros, detalladas o por exclusin, para control a posteriori. Procedimiento de autorizacin en tiempo real de determinados movimientos, previamente a su validacin (control a priori).

La existencia de una buena separacin defunciones Ya hemos ilustrado igualmente este aspecto del control interno (apartado 1.3.1). Por lo general, se distingue en la actividad de una empresa:

Operaciones relativas a la realizacin del fin social. Operaciones relativas a la conservacin del patrimonio. Operaciones relativas al tratamiento contable. El cuidado de una buena separacin de funciones permite atribuir a personas distintas, para un mismo proceso de la empresa, la responsabilidad de los trabajos relativos a algunos de estos tres tipos de operaciones. En el caso especfico de los sistemas informatizados, el respeto de esta separacin de funciones ser controlado por la aplicacin de sistemas de autorizacin de acceso a los tratamientos mencionados a continuacin.

La existencia de procedimientos satisfactorios de autorizacin de acceso

Una aplicacin no puede ser considerada como fiable si cualquiera que pertenezca o, peor an, sea ajeno a la empresa, tiene la posibilidad de conectarse con sta y de consultar o poner al da los datos bsicos. Ms all de los riesgos de operaciones fraudulentas o dolosas que son fciles de imaginar, existe, de hecho, un riesgo importante de errores cometidos con toda buena fe y cuyo autor ser a menudo difcil de localizar.

Volveremos, por supuesto, ampliamente, en el resto de la obra sobre la problemtica de las autorizaciones de acceso, que pueden ser controladas por medio de diferentes tcnicas, de las cuales la utilizacin de palabras clave es, hoy da, la ms difundida.

La capacidad y la integridad del personal

La capacidad y la integridad, tanto de los informticos como de los usuarios, constituye naturalmente un elemento esencial de la fiabilidad de las aplicaciones.

La continuidad de la va de revisin

La nocin de continuidad de la va de revisin de un sistema de informacin (se habla a menudo de pista de auditora, del trmino anglosajn audit
LA N OC I N DE V A D E REVIS I N
Extracto de la subseccin IV del Plan General de Contabilidad Francs 4" Debe ser posible, en cualquier momento, reconstruir a partir de datos definidos a continuacin, los elementos contables, listados e informaciones sometidos a verificacin o localizar a partir de estas cuentas, listados e informaciones los datos introducidos. As, cualquier saldo le cuenta debe poder ser justificado por un extracto de los asientos de los cuales procede, a partir de otro sabio de esta misma cuenta. Cada uno de estos asientos debe traer consigo una referencia que permita la identificacin de los datos correspondientes. Extracto del Reglamento nv 90-08 del 25 de julio de 1990 del Comit de Reglamentacin Raneara En lo concerniente a la informacin incluida en las cuentas publicadas, el sistema de control interno debe garantizar la existencia de un conjunto de procedimientos, llamados pista de auditora, que permta: a) reconstruir en orden cronolgico las operaciones; b) justificar toda informacin por medio de un dato original a partir del cual debe ser posible remontar por una va continua al documento de sntesis y recprocamente; c) explicar la evolucin de los saldos de un extracto al otro por la conservacin de los movimientos que hayan afectado a las partidas contables. Las informaciones contables que figuren en las situaciones destinadas a la Comunidad bancaria, as como aquellas (pie son necesarias para el clculo de las normas de gestin establecidas en aplicacin le articulo 33 (6") de la ley del 24 de enero de 1984 revisada, deben respetar, por lo menos, los dos primeros aspectos a y 6 de la pista de auditora. En este caso, se conservan los elementos constitutivos de la pista de auditora relativos al extracto peridico ms reciente y al ltimo clculo de algunas de las normas de gestin.

Los ohjeti vos de la auditora informtica

21

trai) corresponde a la necesidad de conectar los datos introducidos en este sistema y las informaciones obtenidas. En otras palabras, la aplicacin debe suministrar los elementos necesarios para la validacin de los datos resultantes de las cadenas de proceso. Ya hemos dado (apartado 1.3.1.) un ejemplo de listado necesario para la continuidad de la va de revisin, o sea, el de la lista mensual de movimientos de existencias en un software de gestin de existencias. Otro ejemplo ser ilustrado con la ayuda de una cadena de gestin del inmovilizado. Si el importe de la dotacin para amortizaciones del ejercicio se suministra sin justificacin, es imposible controlar esta dotacin y habr prdida de la va de revisin. Por el contrario, si esta dotacin viene totalizada en un listado que incluya, lnea a lnea, las amortizaciones del ejercicio se puede detectar que:
Todas las inmovilizaciones pertenecientes a la empresa, y slo ellas, han sido tomadas en consideracin. El clculo de las dotaciones es correcto. Mencionamos a ttulo de ilustracin que en Francia la nocin de va de revisin ha sido consagrada sin que el trmino sea explcitamente empleado por el plan contable 1982, y ms recientemente, bajo el trmino de pista de auditora, por el comit de reglamentacin bancaria.

La existencia de validaciones regulares del contenido de los ficheros

Los ficheros controlados por una aplicacin informatizada contienen ciertos datos cuyo contenido es susceptible de ser objeto de una validacin. De este modo, las existencias son controladas peridicamente durante los inventarios fsicos1 y los saldos de las cuentas de terceros, clientes y proveedores, son implcitamente ratificados por la ausencia de litigios. d) La utilizacin de los programas de auditora Hemos vuelto a recuperar voluntariamente el trmino de software de auditora que es empleado corrientemente y, por desgracia, la mayora de las veces de forma abusiva. Por lo general, esta tcnica tiene como objetivo desarrollar programas informticos cuyo objetivo es controlar la fiabilidad de las aplicaciones auditadas. Los lenguajes de programacin, particularmente adaptados al desarrollo rpido de peticiones de anlisis de ficheros, han sido a veces bautizados de forma abusiva como software de auditora. En realidad, algunos de estos lenguajes tienen otros objetivos bsicos y slo son utilizados como accesorios en materia de programacin: lenguajes de infocentro para el anlisis rpido de los ficheros por los usuarios;
1 Igual que las inmovilizaciones (a intervalos ms distanciados).

202

Tcnicas de la auditora informtica

 lenguajes de desarrollo rpido de programas de edicin destinados a los informticos para la obtencin de listados poco complejos. Los lenguajes de programacin tradicional (COBOL, etc.) permiten adems el desarrollo de programas de auditora. Solamente el tiempo de programacin que implica su utilizacin (el Cobol es el de mayor difusin, pero tambin de lejos el ms indiscreto de los compiladores) los hacen poco adaptados a este tipo de funcin. Citemos por ltimo que algunos lenguajes han merecido la denominacin de software de auditora por la asociacin a sus funciones bsicas de mdulos (rutinas) especficamente destinadas a fines de auditora, tales como: muestreo, anlisis estadstico, etc. Concretamente, los objetivos buscados por el diseo y la realizacin de programas de auditora son variados y pueden ser distribuidos en dos categoras:

Los programas de seleccin para anlisis de ciertos registros existentes en los ficheros

Los tipos de seleccin son en s mismos diversos. En algunos casos, se trata de un simple muestreo, o sea, seleccin por control de una factura entre 1000, seleccin de las compras ms significativas por su importe, etc. Aun as, algunas veces estos registros detectan informaciones que, aunque no sean necesariamente errneas, justifican una bsqueda complementaria por su carcter excepcional, como por ejemplo, edicin de las ventas en las que el porcentaje de comisin al cliente sea superior a un determinado lmite, edicin del inmovilizado adquirido con anterioridad a una cierta fecha. En otros casos, por ltimo, las selecciones corresponden a anomalas, que son resultado de un error de programacin o de una mala aplicacin de los procedimientos: estado de existencias negativas, estado de ventas con prdidas, lista de los cdigos de artculos que figuran en el fichero de facturacin y no aparecen en el fichero de referencias de artculos.

Los programas de validacin de informaciones que provienen de la aplicacin

El objetivo del auditor ser aqu dar validez al software para ciertos tratamientos importantes, escribiendo por lo general un programa que contenga las mismas funciones que aquel que est siendo auditado. Aunque este enfoque puede parecer sorprendente, permite a veces detectar errores bien inesperados. De este modo, la nueva redaccin de un programa de evaluacin de existencias conducir a un valor total de 1.251.0. 00 pesetas mientras que el programa oficial d un total de 1.151.0. 00 pesetas En este caso, el control realizado habr puesto en evidencia una falta de capacidad de una zona de trabajo del programa oficial. En esta zona, que consta de cinco cifras significativas, un artculo cuyo valor total era de 106.000 pesetas haba sido valorado slo por 6.000 pesetas. Ahora bien, en presencia de un fichero
Los objetivos de la auditora informtica 23

muy voluminoso, que representa un listado en papel de varias decenas de pginas, este error podra muy bien pasar desapercibido en controles manuales. Por supuesto que la reescritura para el control de ciertos programas no puede ser ms que una tcnica restringida. Su generalizacin conduce, en efecto, a redactar nuevamente la aplicacin auditada.
* * *

Ventajas e inconvenientes de la gestin El principal inters de este proceso radica en dar resultados concretos y en cifras. Adems, cuando los programas de control son bastante numerosos y variados, la proporcin de anomalas detectadas dar una primera imagen de la calidad de la aplicacin. Pero, sobre todo, estos programas pueden ser completamente compilados. Imaginemos por ejemplo que el objetivo sea controlar el seguimiento por los vendedores de la poltica comercial. Los programas puestos en prctica sern entonces del tipo:

Edicin de descuentos especiales acordados para ciertos clientes. Edicin de descuentos especiales acordados sobre determinados artculos. Edicin de clientes sobre los cuales el margen es insuficiente. Edicin de los vendedores que realicen mrgenes insuficientes. Etctera.

Imaginemos ahora que el objetivo sea controlar el seguimiento del procedimiento de entrega y de facturacin. Los programas puestos en prctica sern entonces por ejt mplo: edicin de albaranes de entrega antiguos no facturados; edicin de facturas en las cuales el precio unitario difiere de forma notable del que figura en el fichero de lista de precio; etctera. El inconveniente del proceso es el contrapeso de su ventaja, o sea, slo puede suministrar informaciones parcelarias. De hecho, incluso cuando se utilizan lenguajes de programacin sofisticados (con o sin rutinas de auditora), cada control necesita el desarrollo de un programa especfico. Por lo tanto, es indispensable definir claramente los objetivos buscados, con el fin de evitar poner en prctica un alud de tests costosos e intiles.

1.3.5 Los principales grupos de aplicaciones

Exceptuadas deliberadamente las aplicaciones de tipo cientfico o industrial (control de procesos, etc.) debido a su carcter, estudiaremos de una manera ms detallada, en la tercera parte de la obra, las modalidades de control de las principales aplicaciones de gestin informatizada de la empresa. Estas son:

202

Tcnicas de la auditora informtica

Contabilidad general, analtica y auxiliar. Gestin de existencias. Gestin comercial. Gestin de compras. Gestin de inmovilizado. Remuneracin y gestin del personal.

1.4 UTILIZACIN DEL INSTRUMENTO INFORMTICO EN EL MARCO DE UNA MISION DE AUDITORIA

Abusando del lenguaje, designamos a menudo con el trmino de auditora informtica el desarrollo de programas de control en el marco de una auditora contable o de una auditora operativa. En realidad, la informtica no es ms que un instrumento puesto al alcance del auditor para llevar a cabo su tarea principal: la auditora contable tiene como objetivo la comprobacin de la regularidad y correccin de las cuentas de la empresa y la auditora operativa pronunciarse sobre la fiabilidad y la eficacia de un ciclo de la empresa (aprovisionamientos, ventas, produccin, etc.)

Los objetivos de la auditora informtica

25

El entorno de produccin P. : Son satisfactorios los procedimientos de puesta en explotacin del software? V. : Controlar por sondeo la coherencia entre las versiones fuente y objeto del software que est siendo utilizado. P. : Se edita y archiva sistemticamente el diario de a bordo? V. : Pedir el diario de a bordo de una jornada tomada al azar. P. : Se analiza con regularidad el contenido de los discos para suprimir ficheros intiles? V. : Seleccionar algunos ficheros que figuren en el espacio disco y asegurarse de que todava estn en uso. P. : Se salvaguardan con regularidad el conjunto de los ficheros y software necesarios para el desarrollo y la explotacin? V. : Seleccionar algunos ficheros en una o varias aplicaciones y asegurarse de ue exista una versin de seguridad. uando la cantidad lo justifique, hay un software de gestin de las cintas o de los cartuchos? V. : Seleccionar algunas cintas mencionadas en el software y verificar que se encuentren en sitio seguro (y eventualmente que sus contenidos sean verdaderamente los indicados), despus seleccionar algunas cintas de los lugares de almacenaje y verificar si estn incluidas en el software. P. : Se ha previsto un procedimiento que permita un rearranque en un emplazamiento exterior en un plazo satisfactorio? V. : Verificar que el procedimiento haya sido probado hace menos de 6 meses. Pedir el informe del test.

14.2.3 La auditora de la aplicacin

Hemos citado en la primera parte de la obra la diversidad de los objetivos que se busca en el marco de una auditora de aplicacin y que son: Auditora de la adecuacin del software desarrollado a las necesidades especificadas en el pliego de condiciones. Auditora de la adecuacin del pliego de condiciones a las necesidades de un control interno satisfactorio (posibilidad de controles jerrquicos y de una separacin de funciones, continuidad de la va de revisin, etctera). Auditora de la adecuacin del pliego de condiciones a las necesidades de una gestin eficaz (se verificar que todas las prestaciones necesarias para la optimizacin de la actividad de los usuarios hayan sido previstas). Auditora de la utilizacin del software (se verificar, por ejemplo, que los controles de explotacin adaptados hayan sido aplicados, que las protecciones de acceso previstas sean efectivas, etc.). Auditora de la calidad tcnica de los mtodos de desarrollo empleados y del software realizado. Auditora del control interno de la funcin informtica para esta aplicacin (calidad del software, los procedimientos de explotacin). Etctera.

202

Tcnicas de la auditora informtica

Hemos subrayado igualmente la dificultad que encuentra el auditor para dar respuesta a estos objetivos, y la complementariedad de los diferentes medios a su alcance, los cuales pasamos a enumerar a continuacin:

La entrevista

Adems de las entrevistas con los responsables del desarrollo y de la explotacin de la aplicacin, se programarn igualmente entrevistas con los principales usuarios involucrados.

Los controles de la documentacin Segn los objetivos exactos de la misin, harn referencia, por ejemplo, a:

Los documentos previos al desarrollo de la aplicacin (esquema gua, estudio previo, estudio detallado). La documentacin de estudio. La documentacin de explotacin. Los manuales para los usuarios. Los manuales de procedimientos. Los programas mismos. No obstante, notaremos que, salvo estudio a fondo, el auditor, la mayora de las veces, slo podr pronunciarse sobre el aspecto formal de estos documentos, pero no sobre el fondo de su contenido.

Juegos de prueba

Esencialmente permiten controlar la adecuacin del software desarrollado en el pliego de condiciones. En cambio, no aportan ninguna ayuda a la evaluacin de la calidad del pliego de condiciones. Adems, su principal inconveniente estriba en la carga de trabajo importante que implican, tanto para los auditores como para los auditados.

El desarrollo de software de auditora Los programas permitirn llevar a cabo los controles: bien sobre el contenido de algunos ficheros, verificando la coherencia de los datos; o bien en la fiabilidad de algunos procesos, desarrollando software que tenga funciones ms o menos similares.

La direccin de la misin de auditora

203

Si bien no permiten pronunciarse sobre la fiabilidad del conjunto de la aplicacin, por lo menos suministran los resultados concretos. Las anomalas eventualmente detectadas son, en este sentido, indicadores valiosos. El captulo 15 estar dedicado en particular a la utilizacin del software de auditora. r* -< La realizacin de cdigos de control de los procesos Si bien el diseo de estos cdigos es, en principio, de incumbencia de los servicios de usuarios, algunos controles simples dan al auditor una primera idea de la coherencia de los procesos. De este modo, en materia de contabilidad, el auditor podr confrontar: Las cuentas'generales y las auxiliares. Los diarios, los libros de mayor y los balances.

14.3 LA VALORACIN JDEL VOLUMEN DE INTERVENCION

La apreciacin de la carga de trabajo a tener en cuenta para realizar la misin presenta el problema crucial de la necesidad de un compromiso entre la bsqueda de un coste de intervencin mnimo y la realizacin de unas investigaciones lo ms completas posibles. De antemano, conviene tener bien claro que, aunque la carga de realizacin de una aplicacin, que responda a las necesidades claramente definidas en un pliego de condiciones, es fija e incompresible, la carga de realizacin de una auditora informtica est en funcin del programa de trabajo y puede tambin modularse, por lo menos dentro de ciertos lmites. El objeto de este apartado es definir los dos lmites razonables: __ Un lmite inferior por debajo del cual es razonablemente imposible llevar a cabo una apreciacin motivada. Un lmite superior ms all del cual la aportacin marginal de las investigaciones complementarias a las conclusiones de la auditora es demasiado limitada para que tengan algn inters.

202

Tcnicas de la auditora informtica