Por: CP Iván Rodríguez. Colaborador de Auditool.
Se suele entender por auditoría de control interno al proceso mediante el cual se evalúa la idoneidad de los controles con que cuentan las operaciones o procesos de una organización, de manera que le permitan lograr una seguridad razonable en la obtención de sus objetivos. De acuerdo con el marco COSO, estos son: eficacia y eficiencia de las operaciones, confiabilidad de la información financiera y el cumplimiento de las leyes, reglamentos y normas que sean aplicables.
Ahora bien, teniendo en cuenta que actualmente hay una presencia cada vez mayor de la tecnología en las diferentes actividades operativas y comerciales, es importante hacer un buen uso de este recurso como apoyo en la gestión de riesgos y aprovechar sus bondades. No hacerlo puede representar una importante debilidad al no tener en cuenta todo su potencial
En ese orden de ideas, contar con el apoyo de la tecnología en el trabajo de auditoría de control interno facilita las labores de los auditores conducentes, de este modo determinan si los procesos del cliente y su tecnología de soporte son seguros y cumplen con las políticas y estándares que les son aplicables. Por su parte, la falta de una auditoría apoyada en tecnología, así como la ausencia de recursos técnicos apropiados, pueden causar deficiencias en las revisiones efectuadas.
En ese sentido, le corresponde al auditor desarrollarse y adaptarse continuamente a un panorama en el que la tecnología y el riesgo están en constante evolución. Asimismo, la adopción de un enfoque basado en el riesgo en la ejecución de las auditorías es útil, es el caso del impacto de la tecnología al evaluar el control interno sobre la información financiera. Hay riesgos que deben considerarse, así como los controles que los mitigan, debido a su efecto generalizado en la confiabilidad, integridad y disponibilidad del procesamiento y los datos relevantes. Todo ello debe tenerse en cuenta al determinar y aplicar el apetito de riesgo, la tolerancia y la expectativa de cumplimiento de la empresa.
Riesgos y controles de TI
Otra de las maneras en que se vinculan la auditoría de control interno y la tecnología son las evaluaciones de los riesgos y controles de tecnología de la información (TI). Para ello, hay que recordar que hay controles generales y controles de aplicación[1]. Los controles generales suelen afectar a varias aplicaciones y evitan que ciertos eventos afecten a la integridad del procesamiento o los datos. Ejemplo de ello son las operaciones informáticas, la seguridad física y lógica, los cambios de programas, el desarrollo de sistemas y la continuidad del negocio. Se denominan generales porque pueden tener un impacto en el logro de los objetivos de información financiera de la organización relacionados con muchos de sus procesos.
Por su parte, los controles de aplicación son más específicos para los procesos empresariales individuales. Estos controles incluyen políticas y procedimientos diseñados e implementados en las áreas de negocio por los respectivos propietarios de las aplicaciones y los datos. También, incluyen controles programados dentro de las aplicaciones que realizan actividades específicas relacionadas con el control, tales como comprobaciones de datos de entrada, comprobaciones de secuencia numérica, validación de campos clave e informes de excepciones, entre otras. Estos conceptos deben tenerse en cuenta al diseñar e implementar pruebas en una auditoría de control interno.
Implementaciones y transformaciones digitales
La auditoría de control interno es particularmente útil en las implementaciones o transformaciones digitales que llevan a cabo las organizaciones en sus procesos. Algunas de las actividades clave que suelen considerarse en este caso y que son práctica habitual, de acuerdo con mi experiencia y colegas expertos, son las siguientes:
- Evaluación de las necesidades y objetivos
La alta administración y la auditoría deben evaluar los procesos existentes, identificar las áreas que podrían beneficiarse de la tecnología y establecer metas claras. En esta actividad hay que tener en cuenta una posible resistencia al cambio por parte de los trabajadores o directivos, así como las deficiencias en conocimientos técnicos, lo cual influye en la selección de la tecnología adecuada. Se requiere, entonces, procurar que haya participación de las diferentes partes interesadas, proporcionar capacitación pertinente y realizar una evaluación cuidadosa de las opciones tecnológicas.
- Selección de herramientas tecnológicas
Una vez se han identificado las necesidades y los objetivos que la alta administración espera lograr, se deben seleccionar las herramientas y soluciones tecnológicas que mejor se adapten a los requerimientos. Algunas de las consideraciones que deben tenerse en cuenta son la escalabilidad, la facilidad de implementación, la operabilidad y la posibilidad de integración con otras herramientas, así como los aspectos de seguridad de las soluciones seleccionadas. Adicionalmente, hay que tener en cuenta las limitaciones presupuestales y otras restricciones operativas. Por ello, es recomendable conformar un equipo multidisciplinario, buscar asesoramiento experto en cuanto se requiera y realizar pruebas y ensayos antes de implementar completamente las soluciones o herramientas seleccionadas.
- Implementación de los sistemas
Posteriormente, se deben implementar y configurar los sistemas. Luego, instalar el software, adecuar los flujos de trabajo e integrarlo con los sistemas existentes. Acá también se presenta resistencia al cambio, la migración de datos y posibles inconvenientes con los proveedores de tecnología. Por ello, se requiere realizar una migración de datos planificada y establecer una relación sólida con los proveedores de tecnología, entre otras actividades.
- Capacitación y adopción
Una vez que los sistemas estén implementados y configurados se debe capacitar al personal, incluida el área de auditoría, en el uso de las nuevas herramientas y fomentar su adopción. Es conveniente, entonces, establecer una estrategia de comunicación clara, ofrecer la debida capacitación y la participación de la alta dirección.
- Monitoreo
La transformación digital implica monitorear y mejorar continuamente los procesos. Por tanto, se deben establecer métricas de rendimiento, realizar seguimiento de los resultados obtenidos y realizar ajustes cuando sea necesario. Esto requiere asignar recursos adecuados para el monitoreo y fomentar una cultura de mejora continua.
Como se aprecia, existen diversos vínculos entre la auditoría de control interno y la tecnología. Un entendimiento de estas relaciones por parte de los auditores ofrece interesantes oportunidades para mejorar la eficiencia y la efectividad de los procesos y de la ejecución del trabajo. Por ello, los auditores deben aprovechar al máximo las tecnologías disponibles como una oportunidad de innovación y crecimiento profesional, manteniendo una posición independiente y objetiva para, de este modo, agregar valor y mejorar las operaciones de una organización desde su posición.
[1] Basado en: https://dpncglobal.com/role-of-information-technology-in-internal-audit/
CP Iván Rodríguez - CIE AF
Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.
Bogotá D.C., Colombia.