Junio de 2017 Boletín de Investigación Comisión de Desarrollo SE Auditoría Interna - Sur No.

51

El impacto de las Tecnologías de la Información en la auditoría

interna

Por:
Albarrán Carranza Agustín Francisco
Castillo Bautista Miguel Ángel
Díaz Valdez Gerardo Amando
Espino García Gabriel
García Jiménez Jaime Ignacio
Pérez Mendoza Fernando
Ramírez Fernández del Castillo Adolfo
Reyes Figueroa Arturo Salvador
Sánchez Curiel Gabriel
Sandoval Muñoz José de Jesús
Soto Barreto Fernando
 ÍNDICE PÁGINA

I. Introducción 3
2016 – 2018 II. Riesgos de las Tecnologías
C.P.C. y P.C.CA. Rosa María Cruz Lesbros de la Información 3
Presidenta

C.P.C. Álvaro Enrique Cordón Álvarez III. La auditoría interna y los riesgos
Vicepresidente de Desarrollo y Capacitación Profesional de las Tecnologías de la Información 4
L.C.P. Luis Bernardo Madrigal Hinojosa
Director Ejecutivo IV. Herramientas de las Tecnologías
Comisión de Desarrollo SE Auditoría Interna – Sur
de la Información para la auditoría interna 4
Presidente V. El auditor de las Tecnologías
C.P.C. Adolfo Ramírez Fernández del Castillo
de la Información 6
Vicepresidente
C.P. Gabriel Sánchez Curiel
VI. Objetivos de la auditoría de las Tecnologías
Integrantes de la Información 7
Albarrán Carranza Agustín Francisco
Castillo Bautista Miguel Ángel
Díaz Valdez Gerardo Amando VII. Conclusiones 7
Espino García Gabriel
García Jiménez Jaime Ignacio
Pérez Mendoza Fernando
Reyes Figueroa Arturo Salvador
Sandoval Muñoz José de Jesús
Soto Barreto Fernando

Gerencia de Comunicación y Diseño

Comisión de Desarrollo Sector Empresa Auditoría

Interna - Sur del Colegio, año III, núm. 51, junio de 2017.
Boletín Informativo edición e impresión por el Colegio de
Contadores Públicos de México, A.C. Responsables de
la Edición: Alejandra Mendoza Espinosa, Lic. Asiria
Olivera Calvo, Lic. Aldo Plazola González. Bosque de
Tabachines Núm. 44, Fracc. Bosques de las Lomas,
Deleg. Miguel Hidalgo 11700. El contenido de los
artículos firmados es responsabilidad del autor;
prohibida la reproducción total o parcial, sin previa
autorización.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Junio de 2017

2
 I. Introducción

El entorno de los negocios ha cambiado en las organizaciones y en los mercados, los riesgos
crecen, pero también los retos y las oportunidades. Las entidades de éxito deben adaptarse a
dichos cambios y, lo que es más importante, anticiparse a sus efectos.

En estas circunstancias, las Tecnologías de la Información (TI) siguen evolucionando a paso

acelerado y se han convertido en un componente vital del gobierno corporativo y en columna
vertebral de las estrategias de negocios y los procesos básicos de la operación, la auditoría
interna no es la excepción.

II. Riesgos de las Tecnologías de la Información

Una parte importante de la estructura del control interno depende de las TI. Las áreas
generadoras de ingresos y las que les brindan apoyo no pueden prescindir de sus servicios ni de
los productos de las plataformas de cómputo, por lo que se han vuelto indispensables, aunque
los riesgos que las acompañan son más sofisticados y se multiplican de manera incesante.

Por lo anterior, la administración deficiente de las TI puede producir efectos adversos en las
entidades, que permanezcan ocultos y erosionen sus estructuras; tales efectos pueden alcanzar
dimensiones devastadoras que comprometan la continuidad de las operaciones y la misma
existencia de las empresas. Una muestra enunciativa y no limitativa de ellos es la siguiente:

 Incumplimiento del marco legal.

 Robo de información a todos los niveles.
 Robo de identidad individual o de identidad corporativa.
 Operaciones ilícitas para sustraer efectivo de la entidad y de sus clientes.
 Simulación de transacciones para el pago de pasivos ficticios.
 Manipulación de datos sobre inventarios, con efectos ocultos encriptados.
 Alteración de archivos para ocultar conflictos de intereses.
 Emisión de informes con números positivos para ocultar resultados negativos.
 Pago de sueldos a personal ficticio.
 Apertura ilegal de recintos e instalaciones físicas.
 Manipulación de rutas de reparto para respaldar pagos de servicios ilegales.
 Siembra de virus informáticos latentes con activación a mediano o largo plazo.
 Siembra de información sobre actos delincuenciales que involucran a la empresa.
 Dispendio de recursos en el uso de la red.
 Uso de aplicativos ilegales en el hardware de la empresa.
 Excesos o defectos en la capacidad instalada de las TI.

Actualmente las expectativas de los accionistas o propietarios de las empresas en materia de

prevención de riesgos incluyen de manera significativa las plataformas de cómputo. Por ello, el
nuevo reto que deben asumir las tres líneas de defensa y, por supuesto, la auditoría interna es
prevenir y evitar efectos como los anteriormente descritos.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Junio de 2017

3
 III. La auditoría interna y los riesgos de las Tecnologías de la Información

Esta es una etapa significativa para la auditoría interna: se trata de una oportunidad de contribuir
con sus productos tanto a la prevención de los riesgos de las TI, como a la construcción de
estrategias corporativas fincadas en las plataformas de cómputo, que impulsen el desarrollo y el
crecimiento de las empresas.

Por ello, la auditoría interna debe redimensionar su estructura y sus recursos, tanto humanos
como tecnológicos, para cumplir con sus responsabilidades, facultades y funciones y exceder las
expectativas de los propietarios de la entidad.

Puesto que es uno de los componentes de la tercera línea de defensa, la auditoría interna debe
marchar un paso adelante del gobierno corporativo en materia de estructuras de control. Y
considerando que la plataforma de cómputo es parte esencial de estas estructuras, se infiere que
debe enfocar con perspicacia todos los cambios tecnológicos que impactan la administración del
negocio y, en paralelo, obtener o desarrollar sus propios aplicativos informáticos para optimizar
los procedimientos de auditoría.

La época en que la auditoría interna tenía un perfil manual o mecanizado ha concluido. Hoy
enfrenta el reto de convertirse en un modelo de oficina sin papeles, con personal especializado y
gran capacidad de servicio, esto es, en un área más productiva y eficiente.

IV. Herramientas de las Tecnologías de la Información para la auditoría interna

En dicho entorno, la auditoría interna tiene a su alcance herramientas tecnológicas para identificar
riesgos y problemas de control; planear y ejecutar sus auditorías; analizar y establecer
indicadores sobre el comportamiento de cuentas contables y cuentas de orden; monitorear
facultades de usuarios y su correcta intervención en sistemas automatizados de alto riesgo;
obtener oportunos indicadores sobre posibles fraudes; y compartir toda esta información con el
gobierno corporativo.

Los aplicativos disponibles permiten distribuir de inmediato los reportes de auditoría; formalizar
los compromisos de las áreas auditadas sobre el cumplimiento de las recomendaciones; dar
seguimiento en tiempo real a dichos compromisos; y optimizar la administración de los riesgos
mediante el trabajo en equipo con la primera y la segunda línea de defensa.

De acuerdo con lo anterior, las herramientas tecnológicas pueden clasificarse en: a) Herramientas
de TI destinadas al apoyo del trabajo de auditoría; y b) Herramientas aplicables a la
administración de la auditoría interna. A continuación un perfil sobre ellas:

a) Herramientas de TI destinadas al apoyo del trabajo de auditoría

Algunas de ellas son: Big Data e Internet de las cosas, herramientas que se identifican
principalmente con el análisis de datos. La auditoría interna debe considerar el uso de estas
herramientas como parte esencial de sus actividades cotidianas, sobre todo en grandes
volúmenes de operaciones de la misma naturaleza, que se registran al instante mediante los

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Junio de 2017

4
 aplicativos que integran los procesos automatizados, tales como las compras de mercancías, los
pagos a proveedores, los depósitos de efectivo a bancos, los pagos de sueldos y las retenciones
y entero de los impuestos.

Con el complemento indispensable de parámetros de alarma, estas herramientas permiten

analizar los detalles de las bases de datos para identificar transacciones atípicas; obtener ahorros
de tiempo; y calcular muestras de auditoría con menores riesgos inherentes y mayores
posibilidades de hallar incidencias como:

 Ingresos y egresos extraordinarios.

 Rupturas de límites cuantitativos de control.
 Excesos sobre parámetros de registro.
 Registros contables duplicados.
 Fallas en los códigos de proveedores.
 Movimientos contables no correspondidos.
 Movimientos contables fuera de jornada.

La prevención de riesgos que se identifican con manipulaciones ilícitas de información que se

ocultan en grandes volúmenes de datos, queda al alcance de la auditoría interna mediante el uso
de estas herramientas.

Es importante destacar que el uso de estos recursos informáticos no garantiza el hallazgo de

errores, omisiones en los mecanismos de control, manipulaciones indebidas y otros actos ilícitos.
La experiencia, madurez y perspicacia del auditor, así como su capacidad para interpretar los
datos son indispensables y no pueden sustituirse con ninguna clase de aplicativos.

b) Herramientas aplicables a la administración de la auditoría interna

Es necesario que la auditoría interna cuente con aplicativos para planear, organizar, ejecutar y
controlar sus actividades. La sustitución de papeles por archivos electrónicos en toda su
estructura permite aligerar la carga de su nómina; simplificar la administración de la información;
fortalecer la seguridad física sobre ella; construir comunicaciones inmediatas con todo el personal
de la empresa sin importar su ubicación; y agilizar la ejecución de las auditorías para optimizar
costos.

Hay puntos críticos en la estructura de la auditoría interna que se identifican con el cumplimiento
de sus responsabilidades y funciones, por lo que deben quedar incorporados a los aplicativos
informáticos. En forma enunciativa y no limitativa, dichos puntos críticos son los siguientes:

 Información analítica para el Plan Anual de Auditoría.

 Plan Anual de Auditoría y sus grados de avance.
 Presupuesto de gastos e inversiones de la auditoría interna.
 Análisis sobre el ejercicio del presupuesto de gastos e inversiones de la auditoría interna.
 Informes de auditoría interna.
 Seguimiento detallado de los informes de auditoría interna.
 Memoranda sobre hallazgos de auditoría no incluidos en informes.
 Informes sobre temas reservados al Comité de Auditoría.
 Sistema de índices para el manejo y archivo de las cédulas de auditoría.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Junio de 2017

5
  Cédulas del archivo permanente de auditoría.
 Cédulas transitorias de auditoría.
 Cédulas de objetivos, programas de auditoría y cuestionarios de evaluación sobre
prevención de riesgos para cada área de la empresa.
 Evaluaciones de desempeño sobre todo el staff de auditoría interna.

La digitalización documental genera eficiencia; cruces instantáneos entre cédulas de auditoría;

acceso inmediato a la evidencia; envío de reportes en tiempo real a las áreas auditadas para
formalizar plazos de prevención y remediación de riesgos; seguimiento automático a dichos
plazos; y comunicación inmediata respecto a su resultado, entre muchos otros valores agregados
sobre optimización del tiempo y reducción significativa de costos.

Las expectativas empresariales sobre prevención de riesgos en la tecnología de la información,

implican que la sofisticación electrónica de auditoría interna no puede diferirse. Hay que asumirlo
y los recursos están disponibles.

V. El auditor de las Tecnologías de la Información

En la Declaración sobre las responsabilidades de la auditoría interna, emitida en junio de 2014,

esta comisión de trabajo destaca que:

La auditoría interna debe contribuir para el logro de los objetivos de la entidad, mediante el
valor de sus recomendaciones en materia de prevención de riesgos inherentes, eficiencia y
eficacia de las operaciones, optimización de recursos materiales y financieros de la
organización, así como respecto a la confiabilidad de la información financiera y operativa.

De acuerdo con lo anterior, resulta claro que la auditoría interna debe incluir en sus funciones y
en su plan anual basado en riesgos a la plataforma de cómputo de la empresa.

Prevenir y mitigar riesgos de las TI hace necesaria la intervención de especialistas, por lo que en
el staff de auditoría interna debe haber profesionales en informática que trabajen en equipo con
contadores públicos que son los expertos en el proceso de la auditoría, que conocen la empresa
en puntos clave como el marco fiscal y laboral, los sistemas de información financiera, la
normatividad contable local e internacional, el control interno con todas sus implicaciones y la
administración de los recursos humanos, entre otros de igual importancia.

Por ello, con el liderazgo del responsable de la auditoría interna y la previa capacitación en los
fundamentos del proceso para llevar a cabo la auditoría, el auditor en informática debe dirigir su
trabajo a determinar si los riesgos del procesamiento electrónico de datos se administran a niveles
satisfactorios, sin daños significativos sobre las finanzas y la operación, para que exista una
seguridad razonable de que éstos no ocurrirán en el futuro.

De acuerdo con lo anterior, los campos a cubrir por el auditor de las TI son los siguientes:

 Administración del área de TI.

 Operaciones del centro de cómputo.
 Desarrollo y mantenimiento de los sistemas de las TI.
 Integridad de la información.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Junio de 2017

6
  Seguridad física del centro de cómputo.
 Plan de continuidad del negocio.

Existen otros segmentos en el ambiente de las TI cuyos riesgos inherentes debe cubrir el auditor
en informática, destaca la “nube”, las redes sociales y de negocios, así como la red interna de la
entidad para el intercambio de información y mensajes de dimensiones y contenidos muy
variables que se identifican con la marcha de la entidad. Todos estos segmentos son peligros
latentes para la integridad de la información y los recursos humanos y materiales de la empresa.

VI. Objetivos de la auditoría a las Tecnologías de la Información

Con base en lo dicho hasta aquí, esta comisión de trabajo ratifica que el auditor en informática
debe proponerse y lograr los siguientes objetivos:

1. Examinar la estructura de las TI, para contribuir a su uso productivo en armonía con el sistema
de control interno contable y para garantizar el cumplimiento del marco regulatorio y de las
normas de seguridad y confidencialidad vigentes en la empresa.

2. Asumir el reto de determinar si los riesgos significativos propios de las TI han sido
oportunamente identificados y están administrados a niveles aceptables, a fin de evitar
eventos adversos sobre los recursos financieros de la entidad, pérdida de confianza de las
autoridades e impacto en la reputación institucional, entre otros efectos importantes.

Estos objetivos implican que la estructura de las TI debe estar en condiciones de ser auditada,
por lo que, sin comprometer su independencia, la auditoría interna debe participar en el desarrollo
y mantenimiento de los sistemas automatizados, recomendando oportunamente mecanismos
básicos de control que deben incluirse en el ciclo de vida de los aplicativos correspondientes. Es
en este aspecto donde la coordinación entre el auditor en informática y el resto del staff de
auditoría interna produce sinergia y valores mutuos que repercuten en forma significativa en la
empresa.

VII. Conclusiones

La efectividad del control interno depende de las plataformas de cómputo y éstas, a su vez,
necesitan de políticas, normas, sistemas, procedimientos y métodos; y de trabajo manual,
intelectual, no electrónico. Esta simbiosis estructural resulta indispensable para el desarrollo y
crecimiento de los negocios.

Una deficiencia o una desviación de control interno en el área de TI puede no ser evidente y, sin
embargo, tener repercusiones importantes en los estados financieros, en la información
operativa, en el cálculo y entero de los impuestos o en la liberación de los pasivos con
proveedores. La administración deficiente de las TI es el origen de riesgos sobre todos los
recursos de las empresas.

Los riesgos que se identifican con TI son numerosos, complejos, frecuentemente ocultos y de
efectos latentes; crecen de manera incesante. Pueden comprometer el desarrollo de la empresa
y, en ocasiones, provocar su desaparición.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Junio de 2017

7
 La auditoría interna, cuyo objetivo básico es la prevención de riesgos, debe asumir la
responsabilidad de incluir las plataformas de cómputo en el marco de su plan anual de
actividades; este es un reto que implica redimensionar de inmediato toda su estructura. Asimismo,
debe transformarse en una unidad independiente de servicios multidisciplinarios e incorporar
expertos en tecnología de la información y telecomunicaciones, que trabajen en coordinación con
el staff de contadores públicos o profesiones equivalentes, bajo el liderazgo del responsable del
área de auditoría.

El éxito de la auditoría interna en la prevención de riesgos informáticos depende

significativamente de su actualización oportuna en el campo de las TI y de su propia sofisticación
operativa, en suma, debe ser modelo actual y futuro de la oficina sin papeles.

Toda la estructura de auditoría interna, sus planes, presupuestos, programas, procedimientos de

auditoría, sistemas de índices, emisión de informes, seguimiento de ellos, evaluaciones de
desempeño y correspondencia interna y externa, entre otros puntos similares, debe estar
instalada sobre una plataforma de cómputo.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Junio de 2017

8