WIXLIB

Vilma Alvarez Inniagoque utilizaban diferentes tipos de sistemasy los resultados que se obtuvieron demostraron que la auditoría continua reducelos tiempos de ejecución, auúque losautores recalcan que previo a la implementación de una auditoría continua, laDirección y los involucrados deben conocer cuáles van a ser los módulos del sistemaque se evaluarán, para definir los responsables en atender las debilidades identificadas (Hunton, Mauldin, & Wheeler, 2008).El presente estudio tiene como objetivorealizar una comparación entre el recursohumano utilizado, el tiempo invertido y laefectividad de los resultados entre lametodología de auditoría continua y laauditoría tradicional de sistemas, esto serealizará mediante la elaboración e implementación de un modelo de auditoría continua dentro de las empresas seleccionadaspara el estudio.Esta comparación permitirá dar aconocer cuál de las metodologías es másefectiva y cuál de ellas contribuye demanera oportuna a la mitigación de losriesgos tecnológicos.Marco TeóricoAuditoría de sistemas.De los diversos conceptos que existende auditoría de sistemas, Downling (2009)la define como una serie de exámenesperiódicos o esporádicos de un servicioinformático ya sea hardware, software,instalaciones y personal, cuya finalidad esanalizar y evaluar la planificación, elcontrol, la eficacia, la seguridad, laeconomía y la adecuación de la infraestructura de TI de la empresa. Por otra parte,según Groomer & Murthy (1989) la auditoría de sistemas es la revisión técnica,especializada y exhaustiva que se realiza alos sistemas computacionales, software einformación utilizados en una empresa,sean individuales, compartidos yio deredes, así también abarca la revisión de lasinstalaciones, telecomunicaciones, mobi-liario, equipos periféricos y de más componentes.Riesgo tecnológico.El riesgo tecnológico en términos deauditoría puede ser definido como la probabilidad que la información almacenada enlos sistemas pueda contener errores importantes que pasen sin ser detectados duranteel transcurso de la auditoría (Jans, Alles, &Vasarhelyi, 2013). Del mismo modo Dzeng(1994) definió que el riesgo tecnológicoestá influenciado por el riesgo inherente yel riesgo de control. El primer tipo deriesgo es el nivel de riesgo natural delproceso que será auditado y para el segundo tipo de riesgo es la existencia de un errormaterial que no sea evitado ni detectadooportunamente por el sistema de controlinterno.Por consiguiente, la gestión de riesgoses el proceso de identificar las vulnerabilidades y las amenazas para los recursos deinformación utilizados por una organización para lograr los objetivos de negocio,y decidir qué contramedidas -proteccioneso controles- tomar, para reducir el riesgo aun nivel aceptable, basándose en el valordel recurso de información para la organización (Henrickson, 2009).Auditoría continua.Según Braun & Davis (2003), define laauditoría continua como un proceso comprensivo de auditoría que permite a losauditores dar cierto grado de seguridad enrelación con información continua generada simultáneamente, o muy poco tiempodespués de que dicha información sea revelada. Por otro lado, de acuerdo a Singh,Best, & Mula (2013), en una auditoríacontinua, los datos que fluyen a través delsistema de un cliente se monitorean y analizan de manera continua usando mecanismos integrados dentro del sistema. Lasexcepciones a las reglas definidas por elauditor provocarán alarmas, proveyendo34INVESTIGATIO No. 8, Samborondón, septiembre 2016, pp. 31-49 Universidad Espíritu Santo - UEESISSN: 1390-6399

Aplicación de un Modelo de Auditoria Continua Utilizando JD Edwards Enterprise0necomunicación al auditor en relación concualquier deterioro o anomalía potencialdentro del sistema.En definitiva, la auditoría continuapuede centrarse en cualquier tipo de información para la toma de decisiones, no sólola presentación de informes de los estadosfinancieros o temas comunes de auditoría.Incluso podría informar sobre indicadoresno financieros del desempeño de unaempresa (Alles, Kogan, & Vasarhelyi,2008).relación entre los objetivos y resultadosbajo condiciones reales y ha sido abordadacon este tipo de enfoque en el que se indicaque el propósito se ha logrado bajo lascondiciones reales del lugar donde serealizó. Por otra parte, Al Durgam &Duffliaa (2013) definen la efectividadcomo aquella aptitud que permite llegar alos objetivos trazados, así mismo se refieren a la efectividad como la ejecución completa de todo un proceso que concluye conel resultado esperado.JI) Edwards EnterpriseOne.Técnicas de auditoría asistidas porcomputador - CAAT.En términos generales, las CAATpueden entenderse como cualquier tecnología que ayuda a los auditores de sistemas en la automatización de sus tareas(Alles, Brennan, Kogan, & Vasarhelyi,2006). Entonces, el software de análisis dedatos tiene la capacidad de extraer datos dediferentes tipos de archivo o directamentede las tablas de los motores de base dedatos. Estos sistemas pueden ser utilizadosdurante las auditorias en cualquier plataforma tecnológica independiente de la compatibilidad con los sistemas. Algunas de lascaracterísticas son: consultas de datos, laestratificación de datos, extracciones demuestras, identificación de la secuenciaque falta, análisis estadísticos y cálculos(Jans, Lybaert, & Vanhoof, 2010).JD Edwards EnterpriseOne es una suitede software de planificación de recursosempresariales con más de 80 módulos deaplicaciones que permiten dar respaldo adiversos conjuntos de procesos de negociosy soluciones clave de distintos sectoresindustriales como einpaque de bienes deconsumo, fabricación, intensivos de activosy servicios (Rourke & Hickman, 2011).EnterpriseOne fue originalmente desarrollado por JD Edwards, una compañh avendedora de ERP que lanzó su primeraversión en el año de 1997 bajo el nombre deJD Edwards One World, el nombre delERP cambió a EnterpriseOne cuando lacompañía fue adquirida por PeopleSoft enel 2003 y finalmente Oracle obtuvo latecnología de JD Edwards cuando adquirióPeopleSoft en el año 2005 (Schwimer &Oreen, 2012).En resumidas cuentas, la utilización eimplementación de hei-ramientas de análisis de datos permite realizar con mayorrapidez y efectividad las auditorías a lossistemas, debido a que estas herramientaspermiten detectar posibles registros fraudulentos en la información almacenada en lasbases de datos (Pathak, Chaouch, &Srirain, 2005).MetodologíaEsta investigación se considera que esde tipo experimental, debido a que se elaborará e implementará un modelo de auditoría continua en la infraestructura tecnológica de cada empresa seleccionada enla ciudad de Guayaquil. El sistema que seha escogido para realizar el análisis deeste estudio es el ERP de Oracle JDEdwards EnterpriseOne ya que en laciudad de Guayaquil 18 empresas dediversos sectores lo utilizan, ocupando elEfectividad.De acuerdo a Organ & Stapleton(2015), la efectividad corno concepto es la35INVESTIGATIO No. 8, Samborondón, septiembre 2016, pp. 31-49 Universidad Espíritu Santo - UBESISSN: 1390-6399

Vilma Mvarez Intriago48% del mercado ecuatoriano conrelación a los demás BR? implementadosen la ciudad. Wetteman & Moxie (2015)expone en su matriz de evaluación deERPs que JD Bdwards BnterpriseOne seencuentra como líder en confiabilidad yusabilidad con respecta a otros sistemasERP. Así mismo, Nucleus Research(2011) señala en su estudio de las estrategias de los BR? por medio de entrevistasa profundidad a las organizaciones medianas en crecimiento, la decisión deadquirir JD Bdward EnterpriseOne comoBRP en lugar de SAP tomando en consideración factores como costos, flexibilidad, flincionalidad y complejidad. Porotro lado, Endurance America (2015)compara en su estudio, escenarios denegocios donde evalúa la funcionalidad,flexibilidad y fácil uso de navegación dedistintos BR?, ubicando a JD Edward enel cuadrante de mayor porcentaje conrespecto a otros BR?.La unidad de análisis la constituyenlas cuatro empresas guayaquileñas quefueron inicialmente encuestadas, las cualesmantienen en común las siguientes características: utilizan JD Bdwards BnterpriseOne como BR?, tienen entre 500 a 2000empleados en su nómina, mantienen un altovolumen transaccional en los sistemas,cuentan con un departamento de Auditoríade sistemas establecido y tienen una infraestructura tecnológica robusta que permitesoportar las operaciones de negocio.través de métodos de auditoría de sistemastradicionales como por ejemplo: muestreo,levantamiento de procesos, revisión dedocumentación, entre otros; con relación alos resultados y recursos utilizados en laimplementación de un modelo de auditoríacontinua.Como primer paso se mantuvo entrevistas con la gerencia general de cada unade las empresas para establecer un factorcomún de necesidades, así mismo conocercuáles son las principales debilidades delsistema y las áreas del sistema que representan mayor prioridad de revisión bajo laperspectiva de ellos. Bn base a esta información se obtuvo conocimiento de laspruebas de auditoría que se deberíanrealizar al BR? y considerarlas al momentode elaborar el diseño del modelo de auditoría continua.Seguidamente, se recolectó la información sobre la infraestructura tecnológicarelacionada con: la capacidad de los recursos del servidor, versión del motor de basede datos y políticas de seguridad implementadas en el BR?.Como siguiente paso, se realizaronsolicitudes a la gerencia de auditoría desistemas de cada empresa para obtener losresultados de las últimas auditorías realizadas al BR?, así como el detalle de los tiempos y recursos utilizados.Una vez recolectada la informaciónantes mencionada se procede a desarrollar através de una herramienta de análisis dedatos, un modelo de auditoría continuaajustado a las necesidades de cada empresa,sin embargo para obtener resultadoshomogéneos y así poder compararlos, seescogieron siete módulos de JD EdwardsEnterpriseOne en base al volumen detransacciones y que a su vez estén implementados en las empresas a ser evaluadas.Los módulos que se escogieron fueron lossiguientes: maestros de datos fijos, ventas,La población objeto de estudio estádefinida por el total de información almacenada en los módulos del BR? JDBdwards EnterpriseOne de cada empresa ylos resultados obtenidos por cada departamento de Auditoría de Sistemas en el año2015.La metodología que se utilizará parallevar a cabo los objetivos de este artículose basará en un estudio comparativo dondese contrastarán los resultados obtenidos a36INVESTiGATIO No. 8, Samborondón, septiembre 2016, pp. 3 1-49 Universidad Espíritu Santo - UEESISSN: 1390-6399

Aplicación de un Modelo de Auditoría Continua Utilizando JD Edwards Enterprise0ncdel riesgo tecnológico desde la perspectivade la gerencia general, se realizó una breveencuesta en cuatro compañías de la ciudadde Guayaquil. El objetivo de la encuestatenía dos finalidades, primeramente eraconocer los principales problemas detecnología que se presentan a partir de seisámbitos y finalmente saber desde el puntode vista de la gerencia general cual es elnivel de prioridad en términos de revisiónque los auditores de sistemas le dan a losseis ámbitos previamente encuestados.compras, cuentas por cobrar, cuentas porpagar, recursos humanos, inventario. Esimportante mencionar que el modelo deauditoría continua será implementado enun ambiente alterno al de producción parano afectar las operaciones cotidianas decada empresa, con esto se podrá obtener ymedir los resultados obtenidos sin afectaciones de rendimiento en la infraestructura.Finalmente se expone de manera cuantitativa: la cantidad de resultados obtenidos, el tiempo invertido y la informaciónanalizada por ambos métodos, para evidenciar cuál de ellos es más efectivo.Como se puede apreciar en la Figura 1,los principales problemas que se presentandentro de las empresas están relacionadosal ERP y para la gerencia general es mandatono que los auditores de sistemas enfoquen sus revisiones en el correcto funcionamiento del mismo, por lo cual dentro delplan anual de auditoría se debe incluir larevisión del funcionamiento de los módulos del ERP.Análisis y Presentación de ResultadosDebido a que el riesgo tecnológicopuede variar dependiendo de la culturaorganizacional y a diversos factores propios de cada región, con el propósito deobtener un entendimiento sobre el enfoque Mayores Problemas1 Prioridad Auditores TI80%80%6060%40%20%20%0%5%5% 0% i.0%o 0%/Almouena,ninnfude nf. .pnld.d de aSI,tnrnn ERPComunicacionesmf.Camput di loainuia,lo,Ninguna de IncOntcrioreÁmbitoFigura 1. Resultado de Encuesta a Gerentes GeneralesEl proceso de diseño del modelo deauditoría continua consistió inicialmenteen definir los módulos de JD EdwardsEnterpriseOne que se iban auditar. Basadasen las entrevistas realizadas con la gerenciageneral y la gerencia de auditoría de sistemas se evidenciaron los módulos másrepresentativos, los cuales .fueron: maestros de datos fijos, inventarios, recursoshumanos, ventas, compras, cuentas porpagar y cuentas por cobrar.Para definir la información que se vaimportar de la base de datos del ERP semantuvieron reuniones con la gerencia deauditoría de sistemas y se obtuvieron laspruebas que comúnmente se realizan alauditar los módulos del ERP. En base a la37INVESTIGATIO No. 8, Samborondón, septiembre 2016, pp. 31-49 Universidad Espíritu Santo - UEESISSN: 1390 - 6399

Vilma Mvarcz Intriagoinformación obtenida, la auditoría continua - de bodega para los inventarios. Después enrealizó un total de 26 pruebas sobre los examinar el cálculo de los intereses aplicaregistros almacenados en los siete módulos do a clientes y proveedores para las cuentasseleccionados.por cobrar y cuentas por pagar y finalmenteen comprobar los valores pagados enLa información que se utilizó en la audi- nómina con relación a los días trabajadostoría continua se extrajo directamente del en el mes para Recursos Humanos.servidor de JD Edwards EnterpriseOne através de consultas SQL previamente elaPor otra parte, se utilizaron herramienboradas, las cuales se almacenaron en jobs tas de análisis de datos para realizar prue-tareas programadas- para que se ejecu- bas que involucraron información entretaran con una periodicidad definida y evitar módulos. Esto se llevó a cabo utilizandoque se dependa que alguien las ejecute.las ffincionalidades de unión y correlaciónque este tipo de software ofrece. InicialLas sentencias SQL que se ejecutaron mente, se realizó la verificación de queen el servidor de JD Edwards Enterprise- todas las ventas estuvieran relacionadas aOne generaron un archivo por cada módulo un egreso de inventario. Luego, se comproque se iba a evaluar en la auditoría continua bó que todas las compras estuvieranexceptuando las tablas de maestros de datos relacionadas a un ingreso de inventario.fijos, donde se generaron un archivo por Finalmente, se revisó que no se les hayacada maestro que se iba a auditar, por lo pagado valores a exempleados.que inicialmente se tuvieron diez archivos.En la Figura 2 se detalla el esquemaPara esta investigación se utilizó como utilizado para importar la informaciónsoftware de análisis de datos a IDEA de la desde el Servidor de JD Edwards Entercompañía Caseware. Inicialmente se rea- priseOne, posteriormente la revisión en lalizaron pruebas de integridad a la infor- herramienta de análisis de datos y lamación, las mismas que consistieron en presentación final de los resultados.detectar duplicidad y saltos de secuenciaUna de las características principalessobre los campos de las tablas importadas.de la auditoría continua es su frecuentePosterior a la revisión de integridad, se ejecución, por lo que constantemente serealizó un análisis de la razonabilidad de van a ejecutar las mismas acciones delos cálculos llevados a cabo por el sistema. manera reiterativa. Para automatizar esteEsta prueba se realizó creando campos proceso es necesario entender que por cadavirtuales a través de la herramienta de prueba realizada en la herramienta de análianálisis de datos y recalculando los campos sis de datos se genera un archivo con losresultados finales y una vez concluida laque se estuvieron revisando.fase de realización de pruebas se procede aelaborarun script en un lenguaje deLas pruebas que se realizaron para laauditoría continua consistieron primero, en programación compatible con la herraverificar la correcta aplicación de IVA' y mienta. En el caso de la herramienta IDEA,porcentaje de retención para las ventas y el lenguaje de programación que se va acompras. Luego en confirmar el cálculo utilizar para elaborar el script se llamadel costo aplicado a los ingresos y egresos IDEAScript.En esta investigación el usuario deberáingresar la fecha de inicio y la fecha final1 IVA: Imp ucr,, al Val,,; A,zrcgad.38INVESTIGATIO No. 8, Samborondón, septiembre 2016, pp. 3 1-49 Universidad Espíritu Santo - UEESISSN: 1390- 6399

Aplicación de un Modelo de Auditoría Continua Utilizando JD Edwards EnterpriseOnetiempos que se invertirían en caso quedecidan adoptar un modelo de auditoríacontinua para ejecutar las revisionesperiódicas a los módulos del ERP.de revisión de la información, mientras máscorto sea el período de revisión, con mayorfacilidad se ejecutará la auditoría continuaya que requerirá de menos informaciónpara su procesamiento. Para la elaboracióndel script es importante identificar lastareas que se van ejecutar repetitivamente yque no dependen de una interacción directacon el usuario, por otra parte es importantedefinir cuáles son las tareas o acciones quedependen del ingreso del usuario ya queesto afecta el rendimiento de la auditoríacontinua.Para obtener el tiempo promedio deejecución en diferentes períodos derevisión, se ejecutó la auditoria continua demanera individual por módulo como sepuede apreciar en la Tabla 3.Para los casos de las tablas de Maestrosde Datos Fijos, Cuentas por Cobrar y Cuentas por Pagar los tiempos de ejecución sonindistintos al período de revisión, ya que seextrae el 100% de la información almacenada en estos módulos.Posterior a la obtención de los resultados de la auditoría continua, se procedió amedir los tiempos promedio de ejecuciónen base al período de información a revisar,esto se realizó para dar a conocer a laGerencia de Auditoría de Sistemas losId. oe.tt. -M.nt4. Ae nde,P.abat de Slw.t?o. deDoLo. 0,0.fl.eDas de Ornard. C.d. Coe4d.-Frada, OC (on,çwM.t100 d. DK.I.lo,d. Coee (I.ctron.osor ra. poCobra,td. dfl.Pr d.t0. 4. Canta. poePa.-d. 10 d*44 (O'-5Ct.tlt. por (dOtarPr.004t d t.dae.4OI.)Figura 2. Diagrama de proceso del modelo de auditoría continua.Los resultados expuestos en la Figura 3incluyen el tiempo de todo el ciclo deejecución, empezando desde la extraccióndirecta del servidor de JD Edwards Enter-priseOne, luego por el procesamiento de lainformación en la herramienta de análisisde datos y finalmente la carga de los resultados obtenidos en Qlikview.39INVESTIGATIO No. 8, Sainborondón, septiembre 2016, pp. 31-49 Universidad Espíritu Santo - UEESISSN: 1390 - 6399

Vilma Álvarez Intriago45403530o25201510542:T1 semana1 mes-,8Ui trimestre10,58,5525 8,254,54,5 4,54,5.,, ,.3 ,,'-u--oVentasCompras45- i semestre i añoRecursos Cuentas Cuentas InventarioHumanos por Cobrar por PagarMódulosFigura 3. Tiempo de ejecución de la Auditoría Continua por MóduloDentro de los objetivos de esta investigación se encuentra la comparación de lainversión de tiempo que implica llevar acabo una auditoría de sistemas de maneratradicional con relación al tiempo que tomala ejecución de una auditoría continua. Dellevantamiento inicial que se realizó a lasempresas escogidas, se identificó que todasmantienen un esquema de trabajo similaren lo que respecta a la ejecución de auditorías de sistemas, ya que estas se realizanindividualmente por módulo.En base a lo antes expuesto se solicitóa cada Gerencia de Auditoría de Sistemasun detalle de los tiempos incurridos por elpersonal del departamento en las últimasauditorías realizadas a los módulos de JDEdwards EnterpriseOne.Para realizar la comparación en condiciones similares, la auditoría continua seejecutó en los mismos períodos evaluadospor el p

Análisis del DBMS, Revisión de DRP y BCM. En este artículo, se implementa un modelo de auditoría continua a cuatro empresas de Guayaquil que utilizan JD Edwards Enterprise-One como ERP y se evalúa los resultados obtenidos en comparación a una auditoría tradi-cional de sistemas.