¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores

De forma complementaria a las normas emitidas por las organizaciones que reglamentan e impulsan la auditoría a nivel internacional, la comunidad académica ha realizado algunos planteamientos en torno a lo que puede ser el uso de las TIC en los procesos de control y auditoría.

En este artículo se presenta, lo que los autores consideran las dos corrientes que mayor impulso han tomado a nivel internacional, las cuales servirán de marco para el análisis del nivel de uso de las TIC en el Control Fiscal Colombiano del que se escribirá en otro artículo.

Las TIC como parte de los procesos de control y auditoría

Un enfoque para abordar el uso de la informática por parte de los auditores es el de quienes establecen tres perspectivas:

  • La auditoría alrededor del computador.
  • La auditoría a través del computador.
  • La auditoría con el computador.

La auditoría alrededor del (Auditing around the computer) consiste en conciliar los documentos fuente asociados a las transacciones de entrada al computador, con los resultados generados por este, mientras que el procesamiento realizado por la aplicación de computador es tratado como una caja negra. Este fue el primer enfoque utilizado por los auditores con la aparición del computador, y es adecuado su uso si los controles y el sistema de información proporcionan suficiente evidencia visible.

Es el enfoque más sencillo de utilizar, en el cual se requieren pocos conocimientos de las TIC; sin embargo, no es un enfoque adecuado para evaluar la efectividad de los controles en los sistemas de información. Este enfoque es el que más se utiliza, en la actualidad, en las contralorías de Colombia, debido al bajo nivel de uso de herramientas tecnológicas específicas de auditoría que allí existe, y al perfil de los auditores gubernamentales.

La auditoría con el computador (Auditing with the computer) es asociada con el uso de software generalizado de auditoría – Generalized Audit Software (GAS), que consiste en utilizar el computador para desarrollar labores en las diferentes fases del ciclo de auditoría; cuenta con desarrollos importantes en el campo del análisis de datos, al hacer uso de diferentes aplicaciones, algunas especializadas y otras que no tienen foco específico en auditoría, pero que cuentan con funciones que apoyan alguna de sus fases.

La auditoría con el computador hace un uso más intensivo de las herramientas tecnológicas que de las técnicas de auditoría propiamente dichas. Dentro de esta categoría pueden encontrarse desde suites ofimáticas hasta herramientas especializadas de auditoría.

La auditoría a través del computador (Auditing through the computer) está inscrita en las técnicas que requieren probar controles automatizados. Consiste en que el auditor evalúa la tecnología para determinar la confiabilidad de las operaciones que no pueden ser vistas por el ojo humano, y prueba la efectividad operacional de los controles relacionados con el computador.

A diferencia de las dos anteriores, las técnicas que hacen parte de la auditoría a través del computador tratan de mermar la tecnología para evaluar los controles inmersos en esta, y hace un uso más intensivo de las técnicas de auditoría que de las herramientas tecnológicas, las cuales pueden ser automatizadas por los mismos auditores que cuenten con conocimientos profundos de tecnología, o con el apoyo del área de tecnología de información.

Sin embargo, en ocasiones esto último no es muy recomendable, debido a la pérdida de independencia que puede generar, lo cual es una característica esencial en un proceso de auditoría.

Modalidades de control y auditoría basadas en las TIC

Otra de las perspectivas en el campo académico y profesional para aplicar las TIC en procesos de control y auditoría, y que no es excluyente respecto al enfoque anterior, está referido a una serie de conceptos que pueden ser considerados disciplinas especializadas en el entorno de las TIC.

Dentro de estos términos podemos destacar:

  • Auditoría remota.
  • Auditoría de sistemas.
  • Control Interno tecnológico.
  • Sistemas de gestión de seguridad de la información.
  • Seguridad informática.
  • Computación forense.
  • Auditoría continua.

La auditoría remota es el proceso por el cual los auditores acoplados con las TIC y con el análisis de datos, evalúan e informan sobre la exactitud de los datos financieros y los controles internos, reuniendo evidencia electrónica e interactuando con el auditado, independientemente de la localización física del auditor.

De acuerdo con la Information Systems Audit and Control Association (ISACA) la auditoría de sistemas es un proceso donde se recolecta y evalúa evidencia, con el fin de determinar si los sistemas de información y los recursos relacionados protegen adecuadamente los activos, mantienen la integridad y disponibilidad de los datos y del sistema, proveen información relevante y confiable, logran de forma efectiva las metas organizacionales, usan eficientemente los recursos y los controles internos, y proveen una certeza razonable de que los objetivos de negocio, operacionales y de control serán alcanzados, y que los eventos no deseados serán evitados o detectados y corregidos de manera oportuna.

El Control Interno tecnológico, llamado comúnmente Control Interno informático, es un sistema de control cuyo objetivo es controlar diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la organización y/o el área informática. El modelo más representativo a nivel mundial es el Control Objectives for Information and Related Technologies (COBIT).

La norma ISO 27001, define un sistema de gestión de seguridad de la información como aquel que hace “parte del sistema de gestión global, basada en un enfoque hacia los riesgos globales de un negocio, cuyo fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de la información”.

La seguridad informática, a diferencia del concepto anterior, representa un conjunto de procedimientos, dispositivos y herramientas encargadas de asegurar la integridad, disponibilidad y privacidad de la información en un sistema informático e intentar reducir.

La computación forense es una “disciplina de las ciencias forenses que, considerando las tareas propias asociadas con la evidencia, procura descubrir e interpretar la información en los medios informáticos para establecer los hechos y formular las hipótesis relacionadas con el caso”.

La auditoría continua es definida por el Institute of Internal Auditors (IIA) como “Todo método utilizado por los auditores para realizar actividades relacionadas con la auditoría en forma continua. Es la secuencia de actividades que abarcan desde la evaluación continua de control hasta la evaluación continua de riesgos”.

Fuente: Tecnologías de información y comunicaciones en el control fiscal colombiano; Francisco Javier Valencia Duque Johnny Alexander Tamayo Arias Katherine Osorio López.

Adaptado por la División consultoría de EvaluandoSoftware.com

 

¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores