Sistemas de tecnologa de la informacin y su efecto en la auditoria de

Estados Financieros

Por qu es Importante la TI?

Por ser un elemento crtico para el xito y la supervivencia de las organizaciones.
Por la creciente dependencia en informacin y en los sistemas que proporcionan
dicha informacin.
Por la escala, el costo de las inversiones actuales y futuras en informacin as
como en tecnologa de informacin.

Por qu reviste importancia hoy en da la TI?

Fraudes.

e-comerce.

Seguridad en la informacin (accesos no deseados).

Fuga de informacin.

Prdidas monetarias.

Por qu la importancia de dichos efectos?

Por la importancia que han adquirido los sistemas de TI en la

informacin contable.
Por el volumen de operaciones procesadas en ellos.
Prdida de huellas visibles y concentracin de funciones contables
que frecuentemente se dan en un ambiente de este tipo.
El auditor debe conocer, evaluar y, en su caso, probar el sistema de
TI como parte fundamental del estudio y evaluacin del control
interno.
Documentar adecuadamente sus conclusiones sobre su efecto en la

informacin financiera y el grado de confianza que depositar en los

controles.
El alcance al efectuar el examen del control interno establecido en la TI,
depender de la importancia que las aplicaciones en el proceso de la
informacin financiera.

La TI, por su complejidad y su constante evolucin, requiere

para el estudio y evaluacin, de personal con entrenamiento
tcnico y capacidad profesional adecuados.
El impacto que eventualmente pueda tener una deficiencia
o desviacin de control interno en el rea de TI puede ser
menos evidente y, sin embargo, tener mayor repercusin en
errores en los estados financieros que pasen inadvertidas.
Lo anterior significa que el auditor est obligado a efectuar su revisin
utilizando todos los elementos que le permitan asegurarse de que la
informacin financiera a dictaminar se procesa adecuadamente, ya sea de
forma interna o externa.
para que el control interno funcione en una empresa determinada:
es necesario que su estructura organizacional est diseada para que
quienes son responsables del establecimiento de los procedimientos de
control y de su supervisin, tengan la autoridad necesaria para
Hacer cumplir sus objetivos. Esto es particularmente importante en el
rea de la TI,

los controles generales se enfocan a la organizacin general del

departamento y a las funciones de quienes intervienen en el
desarrollo de sistemas, el medio ambiente en que se desarrollan los
sistemas. Los controles de aplicacin o especficos se refieren a los
establecidos en la operacin del computador que incluye la entrada,
el proceso y la salida de datos, o sea, que todos los datos se
procesen una sola vez oportunamente (entrada), sujetos a un proceso
de validacin (proceso) y que sean la base para producir informacin
confiable y completa (salida).

Todo lo anterior se traduce en vigilar, entre otros aspectos, los siguientes:

Administracin de la tecnologa de informacin.

Seguridad fsica y lgica.

Continuidad del negocio.

Administracin de cambios.

Desarrollo de sistemas.

Pruebas especficas de control interno.

Controles generales
Pre-instalacin
Se refiere al estudio de viabilidad y seleccin de equipo que debe (o que
debi) efectuarse previo a la adquisicin de un equipo de cmputo, as
como el acondicionamiento fsico y medidas de seguridad en el rea donde
se localiza el equipo y a la capacitacin de personal y adquisicin o
desarrollo de sistemas.

Organizacin del departamento de TI

Comprende la correcta estructura organizacional del departamento,
principalmente la adecuada segregacin de labores, la definicin de
polticas, funciones y responsabilidades, as como la asignacin de personal
competente.

Control del desarrollo de sistemas

Se debe contar con estudios preliminares que justifiquen las aplicaciones,
as como con definicin de los estndares para el diseo, programacin,
prueba y mantenimiento de los sistemas. Estos estudios y los estndares
definidos por la empresa deben quedar documentados adecuadamente.
Al desarrollar nuevos sistemas, puede ser necesario llevar un paralelo, por
el tiempo necesario, el sistema anterior y el nuevo.

Es necesario que en los estndares para el desarrollo de sistemas, se

incluyan los procedimientos que aseguren que el sistema a desarrollar ha
sido autorizado por un funcionario responsable; adems, que en el propio

desarrollo exista una intervencin activa del que va a ser usuario del
sistema y de quien lo va a auditar,
esto ltimo con el objeto de establecer desde esta etapa, los controles
necesarios y las pistas de auditora.

Control de la documentacin

Necesidad de que todos los programas, operacin y los

procedimientos relativos
Estn adecuadamente documentados y actualizados.
Es conveniente que se tenga un respaldo actualizado de esta
documentacin fuera de las instalaciones del centro de cmputo,
as como la historia de los cambios efectuados.

Control de la operacin
Comprende la creacin de un medio ambiente que garantice efectividad en la
produccin de la seccin de operaciones y proporcione la seguridad fsica
suficiente sobre los registros
que se mantienen en el centro de cmputo, as como el establecimiento de
controles adecuados que eviten el acceso de personal no autorizado.
Esto es especialmente crtico cuando existe teleproceso distribuido
(terminales remotas).
Contar con una razonable seguridad contra la destruccin accidental de los
registros durante el proceso y asegurar la continuidad de la operacin y, en
su caso, la recaptura de datos
prevenir y detectar la manipulacin fraudulenta de datos durante los
procesos por el personal del departamento de TI y prevenir el mal uso de
la informacin.
Con el fin de no entorpecer los procesos cuando ocurran rupturas
importantes en el computador, deber contar con equipos de respaldo para
ser utilizados en esos casos.
Asimismo, se deben llevar a cabo los simulacros con dichos equipos para
asegurar que no haya cambios que imposibiliten la utilizacin oportuna de

dichos equipos de respaldo. Incluye tambin controles ambientales contra

exceso de humedad y temperatura; adems, el lugar de la instalacin de l
computador debe estar debidamente protegido contra siniestros (fuego,
inundacin, alborotos populares, etc.), y no deber estar expuesto o exhibido
a la vista del pblico.
Controles de aplicacin o especficos
Controles de entrada
Asegurar que toda la informacin que vaya a ser procesada por el
computador est completa y correcta y que existan controles adecuados
para el manejo de informacin rechazada (revisin, correccin, previsin y
oportuna reentrada en TI).
Controles de proceso
Asegurar la exactitud del proceso de la informacin por el computador.
Autorizacin y controles de salida
Asegurar que toda la informacin que se procesa est debidamente
autorizada y que existen controles sobre el acceso al computador, ya sea
para obtener informacin o para modificarla por alguna transaccin, sobre
todo cuando es a travs de sistemas en lnea o de teleproceso distribuido
(terminales remotas), puesto que nicamente personal autorizado debe tener
acceso a los datos e informes de TI y que los cambios a los archivos
sean autorizados nicamente por el personal designado.

Establecimiento de huellas o pistas

Asegurar lo adecuado de las huellas o pistas en la transformacin de la
informacin. Cuando la TI se realice en un centro de cmputo externo, la
revisin, estudio y evaluacin del control interno deber dirigirse
principalmente a los siguientes aspectos:
Seleccin del centro de cmputo
Debe seleccionase un centro de cmputo que asegure la obtencin de
informacin confiable y oportuna, vigilndose aspectos como: su localizacin,
seguridad en el manejo de datos y archivos, organizacin, capacidad
instalada y soporte tcnico.
Contrato de servicio
El contrato con el centro de cmputo debe contener los trminos en que
el servicio ser prestado.

 Control de los datos

Es necesario que toda la informacin enviada, ya sea a travs de unidades
de proceso directo (terminales) o bien, fsicamente, se someta a un control
que asegure que se incluyen todos los datos, que la informacin transmitida
sea correcta, que existan archivos de soporte en caso de prdida
accidental de informacin y que la informacin se devuelva completa y
oportunamente a la empresa una vez procesada.
Personal
La relacin con el centro de cmputo, as como el envi de la
documentacin, recepcin y revisin de la informacin debe estar asignada
a personal competente.

Otros controles

En general, la empresa que contrate servicios de TI a travs de un centro

de cmputo externo, debe asegurarse de que dicho centro rena los
controles comentados en la seccin de controles generales y de aplicacin
o especficos
En trminos generales, debemos evaluar:

Caractersticas de la TI.

La importancia de las aplicaciones.

El grado de transformacin de la informacin (desde compilaciones sencillas

de datos hasta transformaciones sofisticadas de las huellas o pistas
dejadas en estos procesos, ya sean ests visibles o incorporadas en los
mismos sistemas; estas ltimas solamente pueden ser localizadas y
verificadas a travs de pruebas usando el mismo computador).

El grado de confianza que el auditor deba depositar en los sistemas

de control interno integrado a la TI

Lo anterior a travs de tres fases:

Primera fase. Estudio preliminar, obligatorio y necesario efectuar en todas

las empresas que usen en alguna forma la TI para la obtencin de su
informacin financiera.
Segunda fase. Ampliacin del estudio de control interno. De aplicacin
obligatoria cuando en el estudio preliminar se ha determinado que se
tienen aplicaciones de importancia para la obtencin de la informacin
financiera, que existen transformaciones importantes en la informacin y de
que el auditor tiene que confiar en una medida importante en el control
interno existente sobre dichas aplicaciones.
Tercera fase.
Pruebas a los controles de TI. De aplicacin obligatoria cuando la
importancia de los sistemas sujetos a procesos sea tal en cuanto a las
transformaciones de informacin y al grado de confianza que el auditor
depositar en el control interno, que l no efectuar pruebas de
cumplimiento a los controles de TI, limita el alcance de trabajo del auditor
al no obtener la necesaria evidencia suficiente y competente.
Habr casos en que el auditor deba, necesariamente, confiar en el control
interno de TI y, por lo tanto, tenga que evaluarlo y despus probarlo en
forma completa e integral a travs de pruebas de cumplimiento.
Sin embargo, tambin habr casos que por el resultado esperado de sus
pruebas sustantivas, de importancia relativa y de riesgo probable, el auditor
obtendr la necesaria evidencia suficiente y competente que le permita
solamente evaluar ciertos controles internos importantes y reducir
sustancialmente sus pruebas de cumplimiento, limitndolas estas aprobar
controles internos importantes de entrada, proceso y salida y, por lo tanto,
solamente cumplir con la primera fase y, segn las circunstancias, cubrir
parcialmente la segunda y omitir la tercera.
Es importante sealar que desde la primera fase, se requiere de
experiencia en auditora de TI por parte del auditor y conforme se vaya
pasando a las siguientes fases, se requerir de mayor capacitacin.

Evaluacin de riesgos
Una vez documentado y probado el control interno de TI, debemos evaluar
los resultados de dicho proceso para determinar el alcance y oportunidad
de nuestros procedimientos de auditora.
Los riesgos identificados son evaluados en relacin con el impacto que
podran tener en los estados financieros, durante las etapas de planeacin,

estrategia y ejecucin del trabajo, ya que cualquier riesgo de la compaa

se transforma en un riesgo de auditora.

Asimismo, se debe identificar como la gerencia mitiga dichos riesgos y qu

riesgo remanente debemos evaluar.
Dependiendo de la evidencia que encontremos en el rea de sistemas,
concluiremos si los controles del rea de TI son efectivos o no.

C.P.C. Hctor A Ramrez Calleja.

Socio de KPMG Crdenas Dosal
Fuente: Revista Contadura Pblica www.contaduriapublica.org.mx del Instituto Mexicano de
Contadores Pblicos www.imcp.org.mx