Sistemas de Tecnología de Información (TI) y su efecto en la auditoría de

estados financieros.

¿Por qué es Importante la TI?

• Por ser un elemento crítico para el éxito y la supervivencia de las organizaciones.

• Por la creciente dependencia en información y en los sistemas que proporcionan dicha

información.

• Por la escala, el costo de las inversiones actuales y futuras en información así como en
tecnología de información.

Efectos de la TI en el examen del control interno

Otras consideraciones:

¿Por qué reviste importancia hoy en día la TI?

 Fraudes.

 e-comerce.

 Seguridad en la información (accesos no deseados).

 Fuga de información.

 Pérdidas monetarias.

¿Por qué la importancia de dichos efectos?

Por la importancia que han adquirido los sistemas de TI en la información contable,

por el volumen de operaciones procesadas en ellos,
así como por la pérdida de huellas visibles y concentración de funciones contables que f
recuentemente se dan en un ambiente de este tipo, el auditor debe conocer, evaluar y,
en su caso, probar el sistema de
TI como parte fundamental del estudio y evaluación del control interno.

Así como documentar adecuadamente sus conclusiones sobre su efecto en la informació

n financiera y el grado de confianza que depositará en los controles.
El alcance al efectuar el examen del control interno establecido en la TI,
dependerá de la importancia que las aplicaciones en el proceso de la información financi
era.

La TI, por su complejidad y su constante evolución,

requiere para el estudio y evaluación de su control interno de personal con entrenamien
to técnico y capacidad profesional adecuados,
que muchas de las veces se transforman en uso de especialistas.

El impacto que eventualmente pueda tener una deficiencia o desviación de control inter
no en el área de TI puede ser menos evidente y, sin embargo,
tener mayor repercusión en errores en los estados financieros que pasen inadvertidas.

Lo anterior significa que el auditor está obligado a efectuar su revisión utilizando todos l
os elementos que le permitan asegurarse de que la información financiera a dictaminar
se procesa adecuadamente, ya sea de forma interna o externa.

En primer lugar, debe mencionarse que,

para que el control interno funcione en una empresa determinada,
es necesario que su estructura organizacional esté diseñada para que quienes son respon
sables del establecimiento de los procedimientos de control y de su supervisión, tengan
la autoridad necesaria para hacer cumplir sus objetivos.
Esto es particularmente importante en el área de la TI,
ya que ocasionalmente estas funciones en las empresas serán nuevas o recientes y quiz
á no se les haya asignado un nivel adecuado en la estructura de organización.

Los controles generales se enfocan a la organización general del departamento y a las fu

nciones de quienes intervienen en el desarrollo de sistemas; esto es,
el medio ambiente en que se desarrollan los sistemas. Los controles de aplicación o esp
ecíficos se refieren a los establecidos en la operación del computador que incluye la ent
rada, el proceso y la salida de datos, o sea,
que todos los datos se procesen una sola vez oportunamente (entrada),
sujetos a un proceso de validación (proceso) y que sean la
base para producir información confiable y completa (salida).

Todo lo anterior se traduce en vigilar, entre otros aspectos, los siguientes:

 Administración de la tecnología de información.

 Seguridad física y lógica.

 Continuidad del negocio.

  Administración de cambios.

 Desarrollo de sistemas.

 Pruebas especificas de control interno.

Cuando se tiene TI en la propia empresa,

la revisión del estudio y evaluación de control interno, deberá dirigirse principalmente a
los siguientes aspectos:

Controles generales

Pre-instalación

Se refiere al estudio de viabilidad y selección de equipo que debe (o que debió)

efectuarse previo a la adquisición de un equipo de cómputo,
así como el acondicionamiento físico y medidas de seguridad en
el área donde se localiza el equipo y a la capacitación de personal y
adquisición o desarrollo de sistemas.

Organización del departamento de TI

Comprende la correcta estructura organizacional del departamento,

principalmente la adecuada segregación de labores, la definición de políticas,
funciones y responsabilidades, así como la asignación de personal competente.

Control del desarrollo de sistemas

Se debe contar con estudios preliminares que justifiquen las aplicaciones,

así como con definición de los estándares para el diseño, programación,
prueba y mantenimiento de los sistemas.
Estos estudios y los estándares definidos por la empresa deben quedar documentados a
decuadamente.

Al desarrollar nuevos sistemas, puede ser necesario llevar un paralelo,

por el tiempo necesario, el sistema anterior y el nuevo.

Es necesario que, en la definición de los estándares para el desarrollo de sistemas,

se incluyan los procedimientos que aseguren que el sistema a desarrollar ha sido autoriz
ado por un funcionario responsable; además,
que en el propio desarrollo exista una intervención activa del que va a ser usuario del s
istema y de quien lo va a auditar,
esto último con el objeto de establecer desde esta etapa,
los controles necesarios y las pistas de auditoría.
En la definición de estándares,
también deben incluirse los procedimientos de autorización de cambios.

Control de la documentación

Necesidad de que todos los programas,

la operación y los procedimientos relativos estén adecuadamente documentados y actual
izados.
Es conveniente que se tenga un respaldo actualizado de esta documentación fuera de la
s instalaciones del centro de cómputo, así como la historia de los cambios efectuados.

Control de la operación

Comprende la creación de
un medio ambiente que garantice efectividad en la producción de la sección de operacio
nes y proporcione la seguridad física suficiente sobre los registros que se mantienen en
el centro de cómputo,
así como el establecimiento de controles adecuados que eviten el acceso de personal no
autorizado.

Esto es especialmente critico cuando existe teleproceso distribuido (terminales remotas).

Es muy importante también contar con una razonable seguridad contra la destrucción ac
cidental de los registros durante el proceso y asegurar la continuidad de la operación y,
en su caso, la recaptura de datos; asimismo,
prevenir y detectar la manipulación fraudulenta de datos durante los procesos por el per
sonal del departamento de TI y prevenir el mal uso de la información.

Con el fin de no entorpecer los procesos cuando ocurran rupturas importantes en el co

mputador, se deberá contar con equipos de respaldo para ser utilizados en esos casos.

Asimismo, se deben llevar a cabo

los simulacros con dichos equipos para asegurar que no haya cambios que imposibiliten
la utilización oportuna de dichos equipos de respaldo.
Incluye también controles ambientales contra exceso de humedad y temperatura;
además, el lugar de la instalación de
l computador debe estar debidamente protegido contra siniestros (fuego, inundación,
alborotos populares, etc.), y no deberá estar expuesto o exhibido a la vista del público.

Controles de aplicación o específicos

Controles de entrada
Asegurar que toda la información que vaya a ser procesada por el computador esté com
pleta y correcta y que existan controles adecuados para el manejo de información recha
zada (revisión, corrección, previsión y oportuna reentrada en TI).

Controles de proceso

Asegurar la exactitud del proceso de la información por el computador.

Autorización y controles de salida

Asegurar que toda la información que se procesa está debidamente autorizada y que exi
sten controles sobre el acceso al computador,
ya sea para obtener información o para modificarla por alguna transacción, sobre todo c
uando es a través de sistemas en línea o de teleproceso distribuido (terminales remotas),
puesto que únicamente personal autorizado debe tener acceso a los datos e informes d
e TI y que los cambios a los archivos sean autorizados únicamente por el personal desig
nado.

Establecimiento de huellas o pistas

Asegurar lo adecuado de las huellas o pistas en la transformación de la información.

Cuando la TI se realice en un centro de cómputo externo, la revisión,
estudio y evaluación del control interno deberá dirigirse principalmente a los siguientes
aspectos:

• Selección del centro de cómputo

Debe seleccionase un centro de cómputo que asegure la obtención de información confi

able y oportuna, vigilándose aspectos como: su localización,
seguridad en el manejo de datos y archivos, organización,
capacidad instalada y soporte técnico.

• Contrato de servicio

El contrato con el centro de cómputo debe contener los términos en que el servicio ser
á prestado.

• Control de los datos

Es necesario que toda la información enviada, ya sea a

través de unidades de proceso directo (terminales) o bien, físicamente,
se someta a un control que asegure que se incluyen todos los datos,
que la información transmitida sea correcta,
que existan archivos de soporte en caso de pérdida accidental de información y que la i
nformación se devuelva completa y oportunamente a la empresa una vez procesada.

• Personal

La relación con el centro de cómputo, así como el envió de la documentación,

recepción y revisión de la información debe estar asignada a personal competente.

• Otros controles

En general, la empresa que contrate servicios de TI

a través de un centro de cómputo externo,
debe asegurarse de que dicho centro reúna los controles comentados en la sección de c
ontroles generales y de aplicación o específicos

En términos generales, debemos evaluar:

 Características de la TI.

 La importancia de las aplicaciones.

El grado de transformación de la información

(desde compilaciones sencillas de datos hasta transformaciones sofisticadas de las huella
s o pistas dejadas en
estos procesos, ya sean estás visibles o incorporadas en los mismos sistemas;
estas últimas solamente pueden ser localizadas y verificadas a través de pruebas usando
el mismo computador).

El grado de confianza que el auditor deba depositar en los sistemas de control interno
integrado a la TI

Lo anterior a través de tres fases:

Primera fase. Estudio preliminar,

obligatorio y necesario efectuar en todas las empresas que usen en alguna forma la TI
para la obtención de su información financiera.

Segunda fase. Ampliación del estudio de control interno.

De aplicación obligatoria cuando en el estudio preliminar se ha determinado que se tien
en aplicaciones de importancia para la obtención de la información financiera, que existe
n transformaciones importantes en la información y de que el auditor tiene que confiar
en una medida importante en el control interno existente sobre dichas aplicaciones.

Tercera fase. Pruebas a los controles de TI.

De aplicación obligatoria cuando la importancia de los sistemas sujetos a procesos sea ta
l en cuanto a las transformaciones de información y al grado de confianza que el
auditor depositará en el control interno,
que él no efectuar pruebas de cumplimiento a los controles de TI,
limita el alcance de trabajo del auditor al no obtener la necesaria evidencia suficiente y
competente.

Habrá casos en que el auditor deba, necesariamente,

confiar en el control interno de TI y,
por lo tanto, tenga que evaluarlo y después probarlo en forma completa e integral a tra
vés de pruebas de cumplimiento.

Sin embargo,
también habrá casos que por el resultado esperado de sus pruebas sustantivas, de impo
rtancia relativa y de riesgo probable,
el auditor obtendrá la necesaria evidencia suficiente y competente que le permita
solamente evaluar ciertos controles internos importantes y reducir sustancialmente sus pr
uebas de cumplimiento, limitándolas
estas aprobar controles internos importantes de entrada, proceso y salida y, por lo tanto,
solamente cumplir con la primera fase y,
según las circunstancias, cubrir parcialmente la segunda y omitir la tercera.

Es importante señalar que desde la primera fase,

se requiere de experiencia en auditoría de TI por parte del auditor y conforme se
vaya pasando a las siguientes fases, se requerirá de mayor capacitación.

Evaluación de riesgos

Una vez documentado y probado el control interno de TI,

debemos evaluar los resultados de dicho proceso para determinar el alcance y oportuni
dad de nuestros procedimientos de auditoría.

Los riesgos identificados son evaluados en

relación con el impacto que podrían tener en los estados financieros,
durante las etapas de planeación, estrategia y ejecución del trabajo,
ya que cualquier riesgo de la compañía se transforma en un riesgo de auditoría.

Asimismo,
se debe identificar como la gerencia mitiga dichos riesgos y qué riesgo remanente debe
mos evaluar.

Dependiendo de la evidencia que encontremos en el área de sistemas,

concluiremos si los controles del área de TI son efectivos o no.
Conclusión

Con base en los resultados obtenidos en la aplicación de nuestros procedimientos de au

ditoría, se determinará que existen, suficientes controles en el área de
TI que aseguran que:

 Los desarrollos y mantenimientos de programas no autorizados,

probados y aprobados antes de ser traspasados a producción.

 Los accesos a programas y archivos de datos de producción son adecuadamente a

utorizados con base en las necesidades.

Por lo tanto, la evaluación de los controles de

TI identificados en las aplicaciones podrán ser evaluados como efectivos,
ya que se puede confiar en que estos funcionaron como fueron diseñados durante todo
el periodo auditado.

Cuando se lleva a cabo la evaluación de los controles generales del área de TI nunca se
califica la información contenida en los sistemas,
sólo se determina el nivel de confianza que se puede depositar en éstos y, por lo tanto,
en los controles programados detectados en las aplicaciones.

Asimismo,
la tecnología nos permite llevar a cabo pruebas sustantivas por medios electrónicos,
los cuales nos permiten un grado alto de eficiencia,
y no es necesariamente sobre muestras, sino sobre universos completos y complejos.
Estas pruebas son las denominadas TAC (Técnicas de Auditoría a Través de la
Computadora).

C.P.C. Héctor A Ramírez Calleja.

Socio de KPMG Cárdenas DosalFuente: Revista Contaduría

Pública www.contaduriapublica.org.mx del Instituto Mexicano de Contadores Públicos
www.imcp.org.mx