CENTRO DE ESTUDIOS (CE&Y)

CENTRO DE ESTUDIOS (CE&Y)

AUDITORES Y ASESORES

16 de abril de 2004

Nota Informativa 09/2004

Auditoría interna y nuevas tecnologías

Fuente: Elaboración Propia

Especialidad: AUDITORÍA INTERNA

Autor: Sergio Martín Díaz

E-mail: centro.estudios@es.ey.com

Resumen
Globalización, Internet, nuevos mercados... la creciente complejidad de los entornos en los que
se mueven las empresas y especialmente la creciente importancia que han adquirido los
Sistemas de Información, hacen necesario que los Departamentos de Auditoría Interna realicen
un esfuerzo por anticiparse a los nuevos riesgos antes de que sea demasiado tarde. Para esta
tarea es fundamental una perfecta coordinación con los Departamentos responsables de los
Sistemas de Información que no siempre existe. El desarrollo de aplicaciones informáticas
adaptadas a las necesidades de auditoría es un instrumento básico para cualquier
departamento de Auditoría Interna que no quiera perder el tren de los avances tecnológicos.

Antecedentes comunicarse con sus clientes, proveedores

El entorno tecnológico en el que viven las
empresas ha experimentado un cambio muy
significativo en los últimos 15 años.
Actualmente cualquier organización cuenta
con una red de ordenadores, siendo muchas
las que ya cuentan con sus propias páginas
web o utilizan el comercio electrónico para
o trabajadores.
En nuestro país, que tradicionalmente
siempre se encuentra un paso por detrás en
asuntos tecnológicos, además del creciente
desarrollo de las tecnologías, diferentes
circunstancias han marcado una renovación
total en los sistemas de información de

© 2004 Ernst & Young, S.L.

Todos los derechos reservados www.ey.com/es 1/6
04/04/APG/CUH/CE/NOTA INFORMATIVA/09-2004
 todas las compañías. Primero la integración
de España en la Unión Europea y el salto a
un mercado comunitario, más tarde el
miedo al “efecto 2000” y por último la
transición al euro, han sido aprovechados
por la mayoría de las empresas para renovar
sus sistemas de información y actualizar
tanto los equipos informáticos como las
aplicaciones utilizadas.
La creciente complejidad de la economía
española y su total integración en una
economía mundial completamente
globalizada nos ha llevado a entornos cada
vez más complejos, con un uso intensivo de
operaciones completamente informatizadas,
comunicaciones por correo electrónico,
transacciones comerciales a través de
portales en Internet o comunicaciones con
los empleados mediante las Intranet
corporativas. Actualmente son frecuentes
las relaciones en las que el canal de
comunicación básico es nuestro ordenador.
La mayor parte de las empresas cuentan
con complejos sistemas de información y
gestión en su mayor parte enfocados a
facilitar y agilizar las relaciones con
clientes y proveedores. La expansión de la
tecnología ha ido acompañada de la
proliferación de términos, en su mayoría de
origen anglosajón (CRM, ERP, Business to
Business…) que para los no iniciados se
convierte en ocasiones en un auténtico
jeroglífico.
Contenido
El Departamento de Auditoría Interna como
responsable de la evaluación del entorno de
control interno debe mantener el paso de las
nuevas tecnologías. Estos cambios no
suponen únicamente la adaptación de
nuevas herramientas para la realización de
su trabajo tradicional, si no que suponen un
cambio de mentalidad en cuanto al enfoque
© 2004 Ernst & Young, S.L.
Todos los derechos reservados CENTRO DE ESTUDIOS
04/04/APG/CUH/CE/NOTA INFORMATIVA/09-2004
del trabajo realizado por los auditores
internos.
Para simplificar podemos plantear que la
relación del auditor interno con las nuevas
tecnologías se establece en tres niveles o
planos diferentes. Por un lado está la forma
en que la tecnología esta presente
actualmente en todas las transacciones de
una empresa. Esto supone en muchas
ocasiones un cambio en la planificación de
las pruebas de auditoría tradicionales así
como en su propia definición. Por otra
parte, las nuevas tecnologías ofrecen al
auditor un amplio abanico de posibilidades
para profundizar en su trabajo, aumentar el
rendimiento del mismo y permitir un mayor
control sobre cualquier tipo de operación.
Por último, el desarrollo de las tecnologías
supone un nuevo campo que debe ser objeto
de supervisión por parte del auditor,
surgiendo una auditoría interna
especializada en los sistemas de
información, con sus propias
características, incluyendo legislación
específica de obligado cumplimiento.
Auditoría de Procesos de Negocio y
Tecnología
Actualmente cuando se realiza la auditoría
interna de cualquier proceso de negocio de
una compañía se deben tener en cuenta los
sistemas de información. Es raro
encontrarse algún proceso dentro del cual
los sistemas de información no intervengan
de una u otra manera. La tecnología ha
pasado a convertirse en el eje de numerosos
procesos y por tanto se convierte en un
elemento central al plantear la auditoría de
los mismos.
Dentro de este entorno, es necesario que el
auditor este familiarizado con el
funcionamiento de los sistemas de
información que intervienen en cada
www.ey.com/es 2/6
 proceso. Para ello debe contar con la
información que le facilitan tanto los
departamentos involucrados en los procesos
auditados como de la información
suministrada por el Departamento de
Sistemas o en su caso de las compañías
suministradoras de software. No es
necesario que el auditor se convierta en un
experto administrador de todos los sistemas
de la compañía, pero si que debe tener
accesible toda la información disponible en
cuanto a su funcionamiento, especialmente
en aquellos sectores donde los flujos de
información, niveles de autorización o
límites juegan un papel esencial.
Por ejemplo, a la hora de analizar un
proceso de Ventas será necesario conocer
como se gestionan los créditos concedidos a
clientes, quién tiene capacidad para
aumentar los niveles de crédito o como se
aprueban operaciones excepcionales a
clientes sin crédito o con este ya excedido.
Actualmente todas estas transacciones se
realizan, bien parcialmente o bien en su
totalidad, de un modo informatizado. El
auditor deberá contar con toda la
información sobre el funcionamiento del
sistema y realizar pruebas específicas que le
permitan evaluar la confianza en el correcto
funcionamiento del sistema.
Gran parte de los controles actuales que
existen en los diversos procesos de negocio
están automatizados, parcial o totalmente.
Por tanto es necesario que el auditor revise
y verifique el correcto funcionamiento de
dichos controles. Es bastante habitual que
determinados controles, por el hecho de
estar integrados en una aplicación
informática, no sean adecuadamente
validados por los auditores. Esta actitud
puede provocar la ocultación de
determinados errores o fallos en el sistema
de control que pueden tener un gran
impacto en la organización.
© 2004 Ernst & Young, S.L.
Todos los derechos reservados CENTRO DE ESTUDIOS
04/04/APG/CUH/CE/NOTA INFORMATIVA/09-2004
En este sentido es muy importante que
exista una adecuada colaboración con el
Departamento de informática, de forma que
mantenga informado a los auditores de las
implantaciones o desarrollo de nuevas
aplicaciones. De esta manera el auditor
conoce desde su implantación o incluso
desde su concepción el funcionamiento de
los sistemas y que información debe estar
accesible para su posterior auditoría.
No se trata en ningún caso de interferir en
las labores propias del Departamento de
Sistemas o influir en la adquisición o en su
caso desarrollo de nuevas herramientas,
sino simplemente estar presentes desde el
inicio en la creación de nuevos sistemas que
posteriormente van a ser auditados y por
tanto deben conocerse con una gran
profundidad. De esta manera el auditor
puede conocer de antemano la existencia (o
en su caso la falta) de los necesarios
elementos de control dentro de la propia
aplicación. Si el trabajo del auditor es
adecuado puede incluso recomendar la
inclusión de determinados controles
adicionales que un primer momento y desde
un punto de vista plenamente operativo no
se habían tenido en cuenta en el desarrollo
de las aplicaciones.
Herramientas y aplicaciones de Auditoría
El desarrollo de nuevas tecnologías también
ha afectado al funcionamiento diario de
cualquier departamento de Auditoría
Interna. Desde la realización de cualquier
procedimiento, la emisión de los informes o
la comunicación con auditados o receptores
de los informes todo se realiza ahora
utilizando las posibilidades que los
ordenadores y las diferentes aplicaciones
ponen a nuestra disposición.
Debemos tratar de ver la tecnología no
como un problema o un origen de
debilidades de control interno sino como un
www.ey.com/es 3/6
 aliado a la hora de realizar nuestro trabajo,
permitiendo una actuación extensiva a
todas las operaciones recogidas por los
sistemas de información. Gracias a la
tecnología el volumen de información
procesado ha crecido exponencialmente.
Esto supone un incremento considerable en
las posibilidades de mejorar el control
interno siempre que se haga un uso
adecuado de las capacidades que tienen o
deben tener todos los sistemas para
garantizar la eficiencia, eficacia y adecuada
utilización de los recursos. Podemos pasar
de unos procedimientos basados en
muestras a un análisis sobre el 100% del
espectro auditado.
Mediante el adecuado uso de las diferentes
aplicaciones que existen en el mercado
podemos aumentar considerablemente el
rendimiento de nuestro trabajo, así como
garantizar la existencia de un mejor entorno
de control. Aplicaciones estándar
ofimáticas como Microsoft Excel, Lotus o
Microsoft Access pueden ser utilizadas para
un gran número de pruebas de auditoría.
Si los volúmenes de información son
grandes o los formatos en que recibimos la
información no utilizan estándares
habituales, existen otras aplicaciones
explícitamente adaptadas para su uso por
Auditoría como ACL o IDEA que permiten
el tratamiento masivo de datos, así como el
cruce de ficheros y el establecimiento de
funciones recurrentes a la hora de realizar
nuestros análisis.
Un paso más es la utilización de
aplicaciones específicas para las actividades
realizadas por Auditoría Interna. Entrarían
dentro de esta categoría tanto las
aplicaciones que gestionan los proyectos de
auditoría como aquellas aplicaciones de
control interno que permiten generar y
© 2004 Ernst & Young, S.L.
Todos los derechos reservados CENTRO DE ESTUDIOS
04/04/APG/CUH/CE/NOTA INFORMATIVA/09-2004
gestionar alertas dentro del propio sistema
de información.
Existen numerosas aplicaciones que
permiten al departamento de auditoría
gestionar sus proyectos, archivar los
papeles electrónicos de trabajo así como
realizar el seguimiento de las incidencias
detectadas durante la auditoría. En muchos
casos este software se deriva del utilizado
por las grandes firmas de auditoría en sus
trabajos de auditoría externa.
Para Departamentos que cuentan con gran
número de auditores o que intervienen en
numerosos proyectos a lo largo del ejercicio
estas herramientas permiten por un lado una
mejor gestión de los recursos disponibles y
por otro ahorrar tiempo y gran cantidad de
espacio físico en el archivo de la
documentación analizada durante la
auditoría, permitiendo en muchos casos
acceder a esta información con el fin de
generar resúmenes o informes de actividad
anual que permiten gestionar de una manera
adecuada el gran volumen de información
que se genera a lo largo de todo el año.
Otro tipo de aplicaciones son las que
generan alertas o comunicaciones cuando se
produce una incidencia o se incumple uno
de los controles establecidos dentro de la
organización. Este tipo de aplicación debe
ser diseñada específicamente para cada
organización, aportando un gran numero de
ventajas para grandes organizaciones con
numerosas unidades u oficinas
descentralizadas. Pensemos, por ejemplo,
en las entidades financieras que requieren la
comunicación con un gran número de
oficinas muy dispersas geográficamente y
que realizan diariamente un número
elevado de transacciones. La gestión de
todas las comunicaciones y el cruce de
información que se produce entre estas
www.ey.com/es 4/6
 oficinas y el Departamento de Auditoría
Interna es infinitamente más simple y
eficiente si se utilizan las aplicaciones
adecuadas.
Todas estas herramientas o aplicaciones
exigen un esfuerzo adicional por parte de
los auditores, deben recibir formación sobre
el manejo de las herramientas específicas
del departamento, a la vez que deben
utilizar con soltura las aplicaciones de
ofimática más habituales para las tareas del
día a día y también deben conocer los
sistemas y aplicaciones propios de la
organización. Por tanto, la formación en
nuevas tecnologías en fundamental para
cualquier departamento que no quiera
quedarse atrás respecto a su organización.
Como muestra de la creciente necesidad y
preocupación por la formación en nuevas
tecnologías baste un dato: de los 18 cursos
y seminarios ofrecidos por el Instituto de
Auditores Internos de España durante el
último trimestre del año 2003 y los
previstos durante los dos primeros meses de
2004, 6 estaban directamente relacionados
con el uso de la tecnología o los sistemas de
información (1). Este dato es más todavía
más significativo si tenemos en cuenta que
la mayoría no iban dirigidos a auditores
informáticos, sino a incrementar los
conocimientos técnicos de los auditores
internos no especializados.
(1) Datos obtenidos de la página web oficial de
Instituto de Auditores Internos www.iai.es
Auditoría de Sistemas
Dados los altos niveles de complejidad que
han alcanzado los procesos tecnológicos
dentro de las empresas estos se han
convertido en un proceso propio,
susceptible por tanto de supervisión por
parte del Departamento de Auditoría
Interna. El auditor no sólo revisa los
© 2004 Ernst & Young, S.L.
Todos los derechos reservados CENTRO DE ESTUDIOS
04/04/APG/CUH/CE/NOTA INFORMATIVA/09-2004
sistemas de información en tanto en cuanto
están presentes en el resto de los procesos
de negocio. Es tal la importancia de los
sistemas de información en si misma que
deben ser objeto de auditorías
especializadas. Además, en nuestro país se
ha incrementado la preocupación de las
empresas por la seguridad y la protección
de datos a raíz del auge del comercio
electrónico y especialmente de la aparición
de legislación específica.
No es el objeto de este artículo realizar un
desarrollo amplio sobre las características
de la auditoría informática o auditoría de
sistemas, pero no queremos dejar de
subrayar la importancia que tiene en la
actualidad en todo tipo de organizaciones.
Simplemente comentar que la auditoría de
los sistemas debe tener por objeto verificar
que los mismos cumplen los requisitos
exigibles en materia de seguridad, tanto
física como lógica, que existen los planes
de continuidad adecuados en caso de
catástrofe y que la gestión de las
aplicaciones informáticas utilizadas por la
organización es la adecuada.
Esta auditoría tiene algunas características
especiales. Primero porque son necesarias
en cualquier tipo de organización.
Cualquier PYME utiliza actualmente
ordenadores o gestiona sus propias páginas
web. Por tanto, y siempre adaptándose a las
necesidades de cada empresa, en todas
deben realizarse revisiones periódicas que
garanticen la calidad y unos niveles
mínimos aceptables de control interno
dentro de los sistemas de información. La
actual legislación sobre protección de datos
de carácter personal obliga a las empresas a
realizar auditorías sobre sus sistemas de
protección de ficheros, pudiendo ser
realizadas por personal interno o externo
siempre que cuenten con la adecuada
competencia profesional.
www.ey.com/es 5/6
 Otra características de la auditoría
informática es que requiere una gran
especialización, siendo necesarios
conocimientos específicos sobre
determinadas áreas (seguridad, comercio
electrónico, bases de datos,…) que las
hacen menos accesibles para todos los
auditores. Esta especialización hace
necesario contar con profesionales con la
experiencia adecuada, que salvo para
grandes organizaciones suponen un coste
excesivo de mantener. Por tanto, la solución
más ampliamente utilizada por la mayoría
de las empresas consiste en subcontratar
estos servicios de auditoría informática a
terceras empresas. En estos casos es
necesario asegurarse de que la calidad del
servicio obtenido es suficiente para
garantizar la integridad del entorno de
control dentro de la organización.
Recomendación
El auditor interno no puede mantenerse al
margen de las nuevas tecnologías de la
información, ya que afectan directamente a
su ámbito de trabajo. Las nuevas tecnología
más que una dificultad pueden ser una
oportunidad para mejorar la posición de la
auditoría interna dentro de las
organizaciones, convirtiéndose en una
apoyo de la alta dirección para mejorar la
gestión y garantizar la existencia de un
entorno de control adecuado.

Esta publicación ofrece sólo una visión orientativa de la materia

cubierta. Este documento no constituye por sí solo un asesoramiento
empresarial, económico-contable o de índole similar. Ernst & Young
Auditores y Asesores declina cualquier responsabilidad por cualquier
reclamación, acción o demanda a raíz de la información en él
contenida.

© 2004 Ernst & Young, S.L.

Todos los derechos reservados CENTRO DE ESTUDIOS www.ey.com/es 6/6
04/04/APG/CUH/CE/NOTA INFORMATIVA/09-2004