Documentos de Académico
Documentos de Profesional
Documentos de Cultura
51
Por:
Albarrán Carranza Agustín Francisco
Castillo Bautista Miguel Ángel
Díaz Valdez Gerardo Amando
Espino García Gabriel
García Jiménez Jaime Ignacio
Pérez Mendoza Fernando
Ramírez Fernández del Castillo Adolfo
Reyes Figueroa Arturo Salvador
Sánchez Curiel Gabriel
Sandoval Muñoz José de Jesús
Soto Barreto Fernando
ÍNDICE PÁGINA
I. Introducción 3
2016 – 2018 II. Riesgos de las Tecnologías
C.P.C. y P.C.CA. Rosa María Cruz Lesbros de la Información 3
Presidenta
C.P.C. Álvaro Enrique Cordón Álvarez III. La auditoría interna y los riesgos
Vicepresidente de Desarrollo y Capacitación Profesional de las Tecnologías de la Información 4
L.C.P. Luis Bernardo Madrigal Hinojosa
Director Ejecutivo IV. Herramientas de las Tecnologías
Comisión de Desarrollo SE Auditoría Interna – Sur
de la Información para la auditoría interna 4
Presidente V. El auditor de las Tecnologías
C.P.C. Adolfo Ramírez Fernández del Castillo
de la Información 6
Vicepresidente
C.P. Gabriel Sánchez Curiel
VI. Objetivos de la auditoría de las Tecnologías
Integrantes de la Información 7
Albarrán Carranza Agustín Francisco
Castillo Bautista Miguel Ángel
Díaz Valdez Gerardo Amando VII. Conclusiones 7
Espino García Gabriel
García Jiménez Jaime Ignacio
Pérez Mendoza Fernando
Reyes Figueroa Arturo Salvador
Sandoval Muñoz José de Jesús
Soto Barreto Fernando
El entorno de los negocios ha cambiado en las organizaciones y en los mercados, los riesgos
crecen, pero también los retos y las oportunidades. Las entidades de éxito deben adaptarse a
dichos cambios y, lo que es más importante, anticiparse a sus efectos.
Una parte importante de la estructura del control interno depende de las TI. Las áreas
generadoras de ingresos y las que les brindan apoyo no pueden prescindir de sus servicios ni de
los productos de las plataformas de cómputo, por lo que se han vuelto indispensables, aunque
los riesgos que las acompañan son más sofisticados y se multiplican de manera incesante.
Por lo anterior, la administración deficiente de las TI puede producir efectos adversos en las
entidades, que permanezcan ocultos y erosionen sus estructuras; tales efectos pueden alcanzar
dimensiones devastadoras que comprometan la continuidad de las operaciones y la misma
existencia de las empresas. Una muestra enunciativa y no limitativa de ellos es la siguiente:
Esta es una etapa significativa para la auditoría interna: se trata de una oportunidad de contribuir
con sus productos tanto a la prevención de los riesgos de las TI, como a la construcción de
estrategias corporativas fincadas en las plataformas de cómputo, que impulsen el desarrollo y el
crecimiento de las empresas.
Por ello, la auditoría interna debe redimensionar su estructura y sus recursos, tanto humanos
como tecnológicos, para cumplir con sus responsabilidades, facultades y funciones y exceder las
expectativas de los propietarios de la entidad.
Puesto que es uno de los componentes de la tercera línea de defensa, la auditoría interna debe
marchar un paso adelante del gobierno corporativo en materia de estructuras de control. Y
considerando que la plataforma de cómputo es parte esencial de estas estructuras, se infiere que
debe enfocar con perspicacia todos los cambios tecnológicos que impactan la administración del
negocio y, en paralelo, obtener o desarrollar sus propios aplicativos informáticos para optimizar
los procedimientos de auditoría.
La época en que la auditoría interna tenía un perfil manual o mecanizado ha concluido. Hoy
enfrenta el reto de convertirse en un modelo de oficina sin papeles, con personal especializado y
gran capacidad de servicio, esto es, en un área más productiva y eficiente.
En dicho entorno, la auditoría interna tiene a su alcance herramientas tecnológicas para identificar
riesgos y problemas de control; planear y ejecutar sus auditorías; analizar y establecer
indicadores sobre el comportamiento de cuentas contables y cuentas de orden; monitorear
facultades de usuarios y su correcta intervención en sistemas automatizados de alto riesgo;
obtener oportunos indicadores sobre posibles fraudes; y compartir toda esta información con el
gobierno corporativo.
Los aplicativos disponibles permiten distribuir de inmediato los reportes de auditoría; formalizar
los compromisos de las áreas auditadas sobre el cumplimiento de las recomendaciones; dar
seguimiento en tiempo real a dichos compromisos; y optimizar la administración de los riesgos
mediante el trabajo en equipo con la primera y la segunda línea de defensa.
De acuerdo con lo anterior, las herramientas tecnológicas pueden clasificarse en: a) Herramientas
de TI destinadas al apoyo del trabajo de auditoría; y b) Herramientas aplicables a la
administración de la auditoría interna. A continuación un perfil sobre ellas:
Algunas de ellas son: Big Data e Internet de las cosas, herramientas que se identifican
principalmente con el análisis de datos. La auditoría interna debe considerar el uso de estas
herramientas como parte esencial de sus actividades cotidianas, sobre todo en grandes
volúmenes de operaciones de la misma naturaleza, que se registran al instante mediante los
Es necesario que la auditoría interna cuente con aplicativos para planear, organizar, ejecutar y
controlar sus actividades. La sustitución de papeles por archivos electrónicos en toda su
estructura permite aligerar la carga de su nómina; simplificar la administración de la información;
fortalecer la seguridad física sobre ella; construir comunicaciones inmediatas con todo el personal
de la empresa sin importar su ubicación; y agilizar la ejecución de las auditorías para optimizar
costos.
Hay puntos críticos en la estructura de la auditoría interna que se identifican con el cumplimiento
de sus responsabilidades y funciones, por lo que deben quedar incorporados a los aplicativos
informáticos. En forma enunciativa y no limitativa, dichos puntos críticos son los siguientes:
La auditoría interna debe contribuir para el logro de los objetivos de la entidad, mediante el
valor de sus recomendaciones en materia de prevención de riesgos inherentes, eficiencia y
eficacia de las operaciones, optimización de recursos materiales y financieros de la
organización, así como respecto a la confiabilidad de la información financiera y operativa.
De acuerdo con lo anterior, resulta claro que la auditoría interna debe incluir en sus funciones y
en su plan anual basado en riesgos a la plataforma de cómputo de la empresa.
Prevenir y mitigar riesgos de las TI hace necesaria la intervención de especialistas, por lo que en
el staff de auditoría interna debe haber profesionales en informática que trabajen en equipo con
contadores públicos que son los expertos en el proceso de la auditoría, que conocen la empresa
en puntos clave como el marco fiscal y laboral, los sistemas de información financiera, la
normatividad contable local e internacional, el control interno con todas sus implicaciones y la
administración de los recursos humanos, entre otros de igual importancia.
Por ello, con el liderazgo del responsable de la auditoría interna y la previa capacitación en los
fundamentos del proceso para llevar a cabo la auditoría, el auditor en informática debe dirigir su
trabajo a determinar si los riesgos del procesamiento electrónico de datos se administran a niveles
satisfactorios, sin daños significativos sobre las finanzas y la operación, para que exista una
seguridad razonable de que éstos no ocurrirán en el futuro.
De acuerdo con lo anterior, los campos a cubrir por el auditor de las TI son los siguientes:
Existen otros segmentos en el ambiente de las TI cuyos riesgos inherentes debe cubrir el auditor
en informática, destaca la “nube”, las redes sociales y de negocios, así como la red interna de la
entidad para el intercambio de información y mensajes de dimensiones y contenidos muy
variables que se identifican con la marcha de la entidad. Todos estos segmentos son peligros
latentes para la integridad de la información y los recursos humanos y materiales de la empresa.
Con base en lo dicho hasta aquí, esta comisión de trabajo ratifica que el auditor en informática
debe proponerse y lograr los siguientes objetivos:
1. Examinar la estructura de las TI, para contribuir a su uso productivo en armonía con el sistema
de control interno contable y para garantizar el cumplimiento del marco regulatorio y de las
normas de seguridad y confidencialidad vigentes en la empresa.
2. Asumir el reto de determinar si los riesgos significativos propios de las TI han sido
oportunamente identificados y están administrados a niveles aceptables, a fin de evitar
eventos adversos sobre los recursos financieros de la entidad, pérdida de confianza de las
autoridades e impacto en la reputación institucional, entre otros efectos importantes.
Estos objetivos implican que la estructura de las TI debe estar en condiciones de ser auditada,
por lo que, sin comprometer su independencia, la auditoría interna debe participar en el desarrollo
y mantenimiento de los sistemas automatizados, recomendando oportunamente mecanismos
básicos de control que deben incluirse en el ciclo de vida de los aplicativos correspondientes. Es
en este aspecto donde la coordinación entre el auditor en informática y el resto del staff de
auditoría interna produce sinergia y valores mutuos que repercuten en forma significativa en la
empresa.
VII. Conclusiones
La efectividad del control interno depende de las plataformas de cómputo y éstas, a su vez,
necesitan de políticas, normas, sistemas, procedimientos y métodos; y de trabajo manual,
intelectual, no electrónico. Esta simbiosis estructural resulta indispensable para el desarrollo y
crecimiento de los negocios.
Una deficiencia o una desviación de control interno en el área de TI puede no ser evidente y, sin
embargo, tener repercusiones importantes en los estados financieros, en la información
operativa, en el cálculo y entero de los impuestos o en la liberación de los pasivos con
proveedores. La administración deficiente de las TI es el origen de riesgos sobre todos los
recursos de las empresas.
Los riesgos que se identifican con TI son numerosos, complejos, frecuentemente ocultos y de
efectos latentes; crecen de manera incesante. Pueden comprometer el desarrollo de la empresa
y, en ocasiones, provocar su desaparición.