Auditoría Externa

Si no entiendes el software del cliente, ¿realmente estás auditando el riesgo o solo estás adivinando?

Detalles
Categoría de nivel principal o raíz: Blog
Auditoría Externa

Por: Equipo Auditool

Imagínate esta escena: Estás auditando una empresa con ingresos millonarios. Todo se procesa en un ERP robusto (SAP, Oracle, o incluso un software local). Llegas al área de TI, haces un par de preguntas generales, te dan un reporte en PDF que "parece" correcto, y regresas a tu escritorio a seguir probando facturas físicas.

Si esto te suena familiar, tengo una noticia incómoda: Bajo la nueva NIA 315 (Revisada), no estás auditando; estás confiando en la suerte.

Hoy en día, el riesgo de error material ya no viaja en archivadores de palanca; viaja en bits y algoritmos. Si no entiendes cómo el software del cliente protege (o expone) los datos, tus pruebas sustantivas podrían estar construidas sobre arena.

El elefante en la sala: ¿Qué son los GITC y por qué te dan miedo?

Los Controles Generales de TI (GITC) son, en palabras simples, las paredes de la casa digital del cliente. Si las paredes están agrietadas, no importa cuántas cerraduras pongas en las puertas individuales (controles de aplicación); el riesgo entrará por cualquier lado.

Muchos auditores financieros evitan los GITC porque piensan que necesitan saber código SQL o arquitectura de servidores. Falso. La auditoría de TI para un financiero se trata de lógica, procesos y sentido común.

Los 3 pilares donde se esconden los riesgos (y cómo auditarlos sin ser un experto)

Para perder el miedo, divide el mundo de la tecnología en estos tres cubos prácticos:

1. Gestión de Accesos: ¿Quién tiene las llaves del reino?

El error común es preguntar: "¿Tienen contraseñas?". La pregunta correcta es: "¿Cómo se aseguran de que el contador que renunció hace tres meses ya no pueda entrar al sistema desde su casa?".

  • Tu herramienta: Pide la lista de empleados que se retiraron en el último año y crúzala con la lista de usuarios activos en el software contable. Si encuentras un "match", tienes un hallazgo real, sin necesidad de saber programar.

2. Gestión de Cambios: ¿Quién movió mi queso (y mi algoritmo)?

¿Alguna vez has visto que un saldo cambie misteriosamente de un día para otro? Eso sucede cuando alguien modifica el software directamente en producción sin que nadie se entere.

  • Tu herramienta: Pregunta cómo se aprueban los cambios en el sistema. Pide evidencia de un cambio reciente: ¿Hubo una solicitud? ¿Alguien lo probó antes de lanzarlo? Si el mismo que programa es el que autoriza el paso a "en vivo", la puerta al fraude está abierta de par en par.

3. Operaciones de TI: El seguro de vida de los datos.

No se trata de entender el servidor, sino de saber si hay un salvavidas.

  • Tu herramienta: Pregunta por los backups. Pero no te conformes con que digan "se hacen diarios". Pide el acta de la última vez que intentaron restaurar un backup. Un backup que no se puede restaurar es lo mismo que no tener nada.

La NIA 315 no es opcional: Es tu defensa legal

La NIA 315 (Revisada 2019) es clara: el auditor debe obtener un entendimiento de cómo la entidad utiliza la TI y cómo esta afecta el flujo de las transacciones.

Si ocurre un fraude electrónico o un error de procesamiento masivo y tu papel de trabajo dice "se confía en el sistema porque el cliente dice que es seguro", tu responsabilidad profesional queda comprometida. El escepticismo profesional también se aplica a las pantallas.

Herramientas básicas para empezar mañana mismo:

  1. El Diccionario Traductor: No hables de "puertos" o "firewalls". Habla de "autorización", "segregación de funciones" y "validación de datos". Es el mismo idioma contable, solo que en un entorno distinto.

  2. El Recorrido (Walkthrough) Digital: Pide al cliente que se siente frente a su computadora y te muestre, paso a paso, cómo el sistema impide que él mismo apruebe su propia orden de compra.

  3. Apóyate en especialistas, pero no te desconectes: Si tu firma tiene un experto en TI, úsalo, pero debes entender el resultado. El informe de TI no es un anexo que se archiva sin leer; es el cimiento de tu estrategia de auditoría.

Conclusión

Colega, el software no muerde, pero un error no detectado por falta de entendimiento tecnológico sí puede arruinar una carrera. Deja de adivinar y empieza a preguntar. La próxima vez que te digan "el sistema lo hace solo", responde: "Perfecto, muéstrame cómo el sistema se asegura de hacerlo bien".

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado