Globalización, Internet, nuevos mercados... La creciente complejidad de
los entornos en los que se mueven las empresas y especialmente la creciente
importancia que han adquirido los Sistemas de Información, hace necesario que
los departamentos de auditoria Interna realicen un esfuerzo por anticiparse a
los nuevos riesgos antes de que sea demasiado tarde. Para esta tarea es
fundamental una perfecta coordinación con los Departamentos responsable de los
sistema de información que no siempre existe. El desarrollo de aplicaciones
informáticas adaptadas a las necesidades de auditoria es un instrumento básico
para cualquier departamento de Auditoria Interna que no quiera perder el tren
de los avances tecnológicos.
"El auditor interno no puede mantenerse al margen de las nuevas tecnologías de la información, ya que afectan directamente a su ámbito de trabajo. Las nuevas tecnología más que una dificultad pueden ser una oportunidad para mejorar la posición de la auditoria interna dentro de las organizaciones, convirtiéndose en una apoyo de la alta dirección para mejorar la gestión y garantizar la existencia de un entorno de control adecuado."
El
entorno tecnológico en el que viven las empresas ha experimentado un cambio muy
significativo en los últimos 15 años. Actualmente cualquier organización cuenta
con una red de ordenadores, siendo muchas las que ya cuentan con sus propias
páginas web o utilizan el comercio electrónico para comunicarse con sus
clientes, proveedores o trabajadores.
En
nuestro país, que tradicionalmente siempre se encuentra un paso por detrás en
asuntos tecnológicos, además del creciente desarrollo de las tecnologías,
diferentes circunstancias han marcado una renovación total en los sistemas de
información de todas las compañías. Primero la integración de España en la
Unión Europea y el salto a un mercado comunitario, más tarde el miedo al
"efecto 2000" y, por último, la transición al euro han sido
aprovechados por la mayoría de las empresas para renovar sus sistemas de
información y actualizar tanto los equipos informáticos como las aplicaciones
utilizadas.
La
creciente complejidad de la economía española y su total integración en una
economía mundial completamente globalizada nos ha llevado a entornos cada vez
más complejos, con un uso intensivo de operaciones completamente
informatizadas, comunicaciones por correo electrónico, transacciones
comerciales a través de portales en Intranet o comunicaciones con los empleados
mediante las Intranet corporativas. Actualmente son frecuentes las relaciones
en las que el canal de comunicación básico es nuestro ordenador. La mayor parte
de las empresas cuentan con complejos sistemas de información y gestión en su
mayor parte enfocados a facilitar y agilizar las relaciones con clientes y proveedores.
La expansión de la tecnología ha ido acompañada de la proliferación de
términos, en su mayoría de origen anglosajón (CRM, ERP, Business to
Business...) que para los no iniciados se convierte en ocasiones en un
auténtico jeroglífico.
El
departamento de auditoría interna como responsable de la evaluación del entorno
de control interno debe mantener el paso de las nuevas tecnologías. Estos
cambios no suponen únicamente la adaptación de nuevas herramientas para la
realización de su trabajo tradicional, sino que suponen un cambio de mentalidad
en cuanto al enfoque del trabajo realizado por los auditores internos.
Para
simplificar podemos plantear que la relación del auditor interno con las nuevas
tecnologías se establece en tres niveles o planos diferentes. Por un lado, está
la forma en que la tecnología está presente actualmente en todas las
transacciones de una empresa. Esto supone en muchas ocasiones un cambio en la
planificación de las pruebas de auditoría tradicionales, así como en su propia
definición. Por otra parte las nuevas tecnologías ofrecen al auditor un amplio
abanico de posibilidades para profundizar en su trabajo, aumentar el
rendimiento del mismo y permitir un mayor control sobre cualquier tipo de
operación. Por último, el desarrollo de las tecnologías supone un nuevo campo
que debe ser objeto de supervisión por parte del auditor, surgiendo una
auditoría interna especializada en los sistemas de información, con sus propias
características, incluyendo legislación específica de obligado cumplimiento.
AUDITORÍA
DE PROCESOS DE NEGOCIO Y TECNOLOGÍA
Actualmente
cuando se realiza la auditoría interna de cualquier proceso de negocio de una
compañía se deben tener en cuenta los sistemas de información. Es raro
encontrarse algún proceso dentro del cual los sistemas de información no
intervengan de una u otra manera. La tecnología ha pasado a convertirse en el
eje de numerosos procesos y por tanto se convierte en un elemento central al
plantear la auditoría de los mismos.
Dentro
de este entorno, es necesario que el auditor este familiarizado con el
funcionamiento de los sistemas de información que intervienen en cada proceso.
Para ello debe contar con la información que le facilitan, tanto los
departamentos involucrados en los procesos auditados como de la información
suministrada por el departamento de sistemas o en su caso de las compañías
suministradoras de software. No es necesario que el auditor se convierta en un
experto administrador de todos los sistemas de la compañía, pero si que debe
tener accesible toda la información disponible en cuanto a su funcionamiento,
especialmente en aquellos sectores donde los flujos de información, niveles de
autorización o límites juegan un papel esencial.
Por
ejemplo a la hora de analizar un proceso de ventas será necesario conocer cómo
se gestionan los créditos concedidos a clientes, quién tiene capacidad para
aumentar los niveles de crédito o cómo se aprueban operaciones excepcionales a
clientes sin crédito o con este ya excedido. Actualmente todas estas transacciones
se realizan, bien parcialmente o bien en su totalidad, de un modo
informatizado. El auditor deberá contar con toda la información sobre el
funcionamiento del sistema y realizar pruebas específicas que le permitan
evaluar la confianza en el correcto funcionamiento del sistema.
Gran
parte de los controles actuales que existen en los diversos procesos de negocio
están automatizados, parcial o totalmente. Por tanto, es necesario que el
auditor revise y verifique el correcto funcionamiento de dichos controles. Es
bastante habitual que determinados controles, por el hecho de estar integrados
en una aplicación informática, no sean adecuadamente validados por los
auditores. Esta actitud puede provocar la ocultación de determinados errores o
fallos en el sistema de control que pueden tener un gran impacto en la
organización.
En
este sentido, es muy importante que exista una adecuada colaboración con el
departamento de informática, de forma que mantenga informado a los auditores de
las implantaciones o desarrollo de nuevas aplicaciones. De esta manera, el
auditor conoce desde su implantación o incluso desde su concepción el
funcionamiento de los sistemas y qué información debe estar accesible para su
posterior auditoría.
No
se trata en ningún caso de interferir en las labores propias del departamento
de sistemas o influir en la adquisición o en su caso desarrollo de nuevas
herramientas, sino simplemente estar presentes desde el inicio en la creación
de nuevos sistemas que posteriormente van a ser auditados y, por tanto, deben
conocerse con una gran profundidad. De esta manera, el auditor puede conocer de
antemano la existencia (o en su caso la falta) de los necesarios elementos de
control dentro de la propia aplicación. Si el trabajo del auditor es adecuado
puede incluso recomendar la inclusión de determinados controles adicionales que
un primer momento y desde un punto de vista plenamente operativo no se habían
tenido en cuenta en el desarrollo de las aplicaciones.
HERRAMIENTAS
Y APLICACIONES DE AUDITORÍA
El
desarrollo de nuevas tecnologías también ha afectado al funcionamiento diario
de cualquier departamento de auditoría interna. Desde la realización de
cualquier procedimiento, la emisión de los informes o la comunicación con
auditados o receptores de los informes todo se realiza ahora utilizando las
posibilidades que los ordenadores y las diferentes aplicaciones ponen a nuestra
disposición.
Debemos
tratar de ver la tecnología no como un problema o un origen de debilidades de
control interno, sino como un aliado a la hora de realizar nuestro trabajo,
permitiendo una actuación extensiva a todas las operaciones recogidas por los
sistemas de información. Gracias a la tecnología el volumen de información
procesado ha crecido exponencialmente. Esto supone un incremento considerable
en las posibilidades de mejorar el control interno siempre que se haga un uso
adecuado de las capacidades que tienen o deben tener todos los sistemas para
garantizar la eficiencia, eficacia y adecuada utilización de los recursos. Podemos
pasar de unos procedimientos basados en muestras a un análisis sobre el 100%
del espectro auditado.
Mediante
el adecuado uso de las diferentes aplicaciones que existen en el mercado
podemos aumentar considerablemente el rendimiento de nuestro trabajo, así como
garantizar la existencia de un mejor entorno de control. Aplicaciones estándar
ofimáticas como Microsoft Excel, Lotus o Microsoft Access pueden ser utilizadas
para un gran número de pruebas de auditoría.
Si
los volúmenes de información son grandes o los formatos en que recibimos la
información no utilizan estándares habituales existen otras aplicaciones
explícitamente adaptadas para su uso por Auditoría como ACL o IDEA que permiten
el tratamiento masivo de datos, así como el cruce de ficheros y el establecimiento
de funciones recurrentes a la hora de realizar nuestros análisis.
Un
paso más es la utilización de aplicaciones específicas para las actividades
realizadas por auditoría Interna. Entrarían dentro de esta categoría tanto las
aplicaciones que gestionan los proyectos de auditoría como aquellas
aplicaciones de control interno que permiten generar y gestionar alertas dentro
del propio sistema de información.
Existen
numerosas aplicaciones que permiten al departamento de auditoría gestionar sus
proyectos, archivar los papeles electrónicos de trabajo así como realizar el
seguimiento de las incidencias detectadas durante la auditoría. En muchos casos
este software se deriva del utilizado por las grandes firmas de auditoría en
sus trabajos de auditoría externa.
Para
departamentos que cuentan con gran número de auditores o que intervienen en
numerosos proyectos a lo largo del ejercicio estas herramientas permiten por un
lado una mejor gestión de los recursos disponibles, y por otro ahorrar tiempo y
gran cantidad de espacio físico en el archivo de la documentación analizada
durante la auditoria, permitiendo en muchos casos acceder a esta información
con el fin de generar resúmenes o informes de actividad anual que permiten
gestionar de una manera adecuada el gran volumen de información que se genera a
lo largo de todo el año.
Otros
tipos de aplicaciones son las que generan alertas o comunicaciones cuando se
produce una incidencia o se incumple uno de los controles establecidos dentro
de la organización. Este tipo de aplicación debe ser diseñada específicamente
para cada organización, aportando un gran numero de ventajas para grandes
organizaciones con numerosas unidades u oficinas descentralizadas. Pensemos,
por ejemplo, en las entidades financieras que requieren la comunicación con un
gran número de oficinas muy dispersas geográficamente y que realizan
diariamente un número elevado de transacciones. La gestión de todas las
comunicaciones y el cruce de información que se produce entre estas oficinas y
el departamento de auditoría Interna es infinitamente más simple y eficiente si
se utilizan las aplicaciones adecuadas.
Todas
estas herramientas o aplicaciones exigen un esfuerzo adicional por parte de los
auditores, deben recibir formación sobre el manejo de las herramientas
específicas del departamento, a la vez que deben utilizar con soltura las
aplicaciones de ofimática más habituales para las tareas del día a día y
también deben conocer los sistemas y aplicaciones propios de la organización.
Por tanto la formación en nuevas tecnologías en fundamental para cualquier
departamento que no quiera quedarse atrás respecto a su organización. Como
muestra de la creciente necesidad y preocupación por la formación en nuevas
tecnologías baste un dato: de los 18 cursos y seminarios ofrecidos por el
Instituto de Auditores Internos de España durante el último trimestre del año
2008 y los previstos durante los dos primeros meses de 2009, 6 estaban
directamente relacionados con el uso de la tecnología o los sistemas de información (1). Este dato es más todavía más
significativo si tenemos en cuenta que la mayoría no iban dirigidos a auditores
informáticos, sino a incrementar los conocimientos técnicos de los auditores
internos no especializados.
AUDITORIA DE SISTEMAS
Dados
los altos niveles de complejidad que han alcanzado los procesos tecnológicos
dentro de las empresas estos se han convertido en un proceso propio,
susceptible por tanto de supervisión por parte del Departamento de auditoria Interna. El auditor no sólo revisa los sistemas de información en tanto en
cuanto están presentes en el resto de los procesos de negocio. Es tal la
importancia de los sistemas de información en sí misma que deben ser objeto de auditorias especializadas. Además, en nuestro país se ha incrementado la
preocupación de las empresas por la seguridad y la protección de datos a raíz del
auge del comercio electrónico y especialmente de la aparición de legislación
específica.
No
es el objeto de este artículo realizar un desarrollo amplio sobre las
características de la auditoría informática o auditoria de sistemas, pero no
queremos dejar de subrayar la importancia que tiene en la actualidad en todo
tipo de organizaciones. Simplemente comentar que la auditoría de los sistemas
debe tener por objeto verificar que los mismos cumplen los requisitos exigibles
en materia de seguridad, tanto física como lógica, que existen los planes de
continuidad adecuados en caso de catástrofe y que la gestión de las
aplicaciones informáticas utilizadas por la organización es la adecuada.
Esta auditoria tiene algunas características especiales. Primero porque son
necesarias en cualquier tipo de organización. Cualquier PyME utiliza
actualmente ordenadores o gestiona sus propias páginas web. Por tanto, y
siempre adaptándose a las necesidades de cada empresa, en todas deben
realizarse revisiones periódicas que garanticen la calidad y unos niveles
mínimos aceptables de control interno dentro de los sistemas de información. La
actual legislación sobre protección de datos de carácter personal obliga a las
empresas a realizar auditorías sobre sus sistemas de protección de ficheros,
pudiendo ser realizadas por personal interno o externo siempre que cuenten con
la adecuada competencia profesional.
Otra
características de la auditoria informática es que requiere una gran
especialización, siendo necesarios conocimientos específicos sobre determinadas
áreas (seguridad, comercio electrónico, bases de datos,...) que las hacen menos
accesibles para todos los auditores. Esta especialización hace necesario contar
con profesionales con la experiencia adecuada, que salvo para grandes organizaciones
suponen un coste excesivo de mantener. Por tanto, la solución más ampliamente
utilizada por la mayoría de las empresas consiste en subcontratar estos
servicios de auditoria informática a terceras empresas. En estos casos es
necesario asegurarse de que la calidad del servicio obtenido es suficiente para
garantizar la integridad del entorno de control dentro de la organización.
FUENTE: (1) Página web oficial de Instituto de Auditores
Internos de España. www.iai.es
José Luis Solís Céspedes, Sergio Martín Díaz. Gerente del Departamento de Auditoria Interna de ERNST & YOUNG
Estrategia Financiera, N.º 203, Febrero 2009, Editorial ESPECIAL DIRECTIVOS
SIDI Consultores Auditoria Interna ISO 9001-200
No hay comentarios:
Publicar un comentario