Añadir a la recogida (s) Añadir a salvo
  1. Negocios
  2. Administración

IMPACTO DE LA AUDITORÍA DE TI EN LA AUDITORÍA

Anuncio 
IMPACTO DE LA AUDITORÍA DE TI EN LA AUDITORÍA FINANCIERA
* Lic. Freddy Ramírez Mora. CPA.
“La auditoria de tecnologías de información, un ciudadano de segunda clase dentro
del proceso de auditoría financiera…”
La auditoría financiera ha experimentado una serie de cambios que la han impactado de
forma integral, como resultado de la incorporación de soluciones tecnológicas en el
procesamiento de la información financiera.
Parte de los cambios, es la incorporación de profesionales en auditoría de tecnología de
información a los equipos de trabajo de auditoría financiera externa, como respuesta a la
dependencia tecnológica de las organizaciones y los riesgos asociados a ellas.
Sin embargo, a pesar de la incorporación de profesionales con éstas características y
habilidades, lo cual representan un logro evolutivo para la profesión, la auditoría financiera
sigue considerando a la auditoría de tecnologías de información como: “ciudadano de
segunda clase”, ya que a pesar de que teóricamente se requiera realizar procedimientos
previos a la planeación de la auditoria para la compresión del ambiente de control interno
y la planificación de las pruebas de cumplimiento y sustantivas de la empresa a auditar, el
auditor de TI no se ve involucrado en las actividades mencionadas.
Actualmente, la labor de los auditores de tecnología de información, que participan en un
equipo de auditoría financiera, se enfoca al desarrollo de un plan predeterminado de
evaluación de controles generales de tecnología de información, contando para su
ejecución con una asignación arbitraria de recursos, que son definidos de forma empírica
por los profesionales de la auditoría financiera.
Adicionalmente, los resultados provistos por una auditoria de tecnologías de información,
no generan mayor impacto respecto a la opinión emitida por los auditores financieros y se
minimiza los potenciales efectos que podrían causar las oportunidades de mejora
detectadas a lo largo del estudio realizado.
En gran parte los auditores financieros ubican como “anexos” a la carta de gerencia, los
resultados obtenidos por el auditor de tecnología de información, bajo una errónea
concepción de que el producto final de la auditoria de tecnologías de información es un
resultado para la organización auditada, cuando en realidad es un insumo que debería
tener impacto real dentro del juicio profesional integral que sustenta la opinión del
dictamen de auditoría financiera.
Para sustentar lo anterior muestro dos ejemplos:
Ejemplo 1: Consideremos una organización que cuente con niveles de madurez entre 0 y
1 para los Objetivos de Control de Tecnología de Información (COBIT) siguientes: P09
evaluar y administrar los riesgos de tecnología de información, DS2 administrar servicios
de terceros, DS3 administrar desempeño y capacidad, DS4 garantizar la continuidad del
servicio, DS5 garantizar la seguridad de los sistemas, DS8 administrar la mesa de servicio
y los incidentes, DS10 administrar los problemas, DS11 administrar los datos y ME2
monitorear y evaluar el control interno.
Esta organización, presenta un nivel de riesgo tecnológico ALTO ya que ante una
potencial alineación de situaciones particulares, las cuales tienen una probabilidad real
de materializarse, podría sufrir la interrupción de sus operaciones y dependiendo de la
criticidad de su naturaleza de negocio y el tiempo necesario para retornar a su estado
normal, el impacto respecto a una potencial violación a una de las hipótesis
fundamentales de los estados financieros, definida por el marco conceptual de las NIIF
como: “negocio en marcha”, es muy alto.
Ejemplo 2: Consideremos una organización que cuente con niveles de madurez entre 0 y
1 para los Objetivos de Control de Tecnología de Información (COBIT) siguientes: P01
definir un plan estratégico de TI, P02 definir una arquitectura de información, P03
determinar la dirección tecnológica, P04 definir procesos, organización y relaciones de TI,
P05 administrar la inversión en TI, P010 administrar proyectos, AI2 adquirir y mantener el
software aplicativo, AI3 adquirir y mantener la infraestructura tecnológica y ME1
monitorear y evaluar el desempeño de TI. Además, de lo anterior, que esta organización
se encuentre desarrollando un proyecto de tecnología de información el cual tenga un
alcance en su desarrollo que abarque diferentes periodos contables.
Esta organización presenta un nivel de riesgo de inversión y dirección tecnológica ALTO
ya que, no se tiene claro a lo interno, como se podrán invertir recursos financieros en
proyectos de tecnología de información y el respectivo retorno de la inversión.
Es importante resaltar que un nivel 0 (no existente) en COBIT, significa que no se aplican
procesos administrativos en lo absoluto y un nivel 1 (inicial), significa que los procesos
son específicos y desorganizados, adicionalmente se cuenta con los niveles adicionales
denominados: repetible, definido, administrado y optimizado 2,3,4 y 5 respectivamente.
La omisión de una revelación significativa en el dictamen de los auditores financieros
respecto a este punto, podría de forma directa inducir a los usuarios de los estados
financieros a errores en inversiones y en general en la toma de decisiones.
Aunque es claro que los estados financieros y la opinión del auditor financiero de su
razonabilidad, no son el único insumo a valorar al realizar inversiones, las potenciales
pérdidas que surjan de riesgos por mal desempeño en los recursos invertidos en
proyectos de tecnología de información, en los periodos corrientes que abarcan el
dictamen de auditoría financiera y su respectiva materialidad si son un riesgo a considerar
por el auditor financiero en su opinión.
A pesar de los ejemplos anteriores, la auditoría financiera no ha comprendido aún el
impacto real de las oportunidades de mejora identificadas por la auditoría de TI y en
general el potencial efecto negativo de un nivel de madurez tecnológica bajo, para
organizaciones con una dependencia de tecnología de información alta, ya que siguen
siendo minimizadas al ser ubicadas como parte de la carta de gerencia sin una revelación
oportuna en la opinión de los estados financieros emitida.
A nivel de propuesta, debe realizarse una conciencia real a los auditores financieros, para
que como parte de su competencia profesional, exista un entendimiento correcto de las
oportunidades de mejora identificadas por una auditoria de tecnología de información y
que comprendan que podrían a corto plazo tener efectos materiales negativos sobre los
usuarios de los estados financieros.
Como segunda propuesta, es importante que la profesión de auditoría de tecnología de
información, establezca un estándar que permita formular una opinión respecto a la
plataforma tecnológica de las organizaciones auditadas y su nivel de riesgo real, a partir
de las mejores prácticas de la industria de TI. Dicha opinión brindaría un insumo de
mayor comprensión para el auditor financiero, el cual a su vez y conforme a su criterio,
tendría un respaldo adicional al cual hacer referencia en la presentación del dictamen que
respalda su opinión.
En conclusión, es claro que el desarrollo tecnológico de las organizaciones ha
incrementado la dependencia de la tecnología de información, y por ende esto ha
generado un impacto significativo sobre la forma de desarrollar las auditorías financieras.
Por lo tanto, la competencia profesional de los auditores financieros respecto a la gestión
de tecnología de información en las organizaciones, debe de incrementarse de forma
significativa en el corto plazo, ya que no contar con el conocimiento adecuado y oportuno,
podría considerarse como una ausencia de competencia profesional al inducir a error a
los usuarios de los estados financieros.
Asimismo, los auditores de tecnología de información deben realizar significativos
esfuerzos, ya que es todo un reto para la profesión incorporarse de manera proactiva en
las fases de la auditoría financiera, desde la planeación, ejecución y comunicación de
resultados, ya que cada vez más se vislumbra que el auditor financiero, tiene mayor
dependencia de las competencias propias del auditor de tecnología de información, tanto
en la maximización de los recursos invertidos en el proceso de auditoría, como en el
manejo del riesgo de forma integral.
FUENTE: TOMADO DEL BOLETIN DEL COLEGIO DE CONTADORES PUBLICOS DE
COSTA RICA, Nº 112, ENERO 2010
Documentos relacionados
Cuentas anuales e Informe de Gestión 2010
Cuentas anuales e Informe de Gestión 2010
evaluación del desempeño de auditores internos
evaluación del desempeño de auditores internos
REAL DECRETO 302/1989
REAL DECRETO 302/1989
empresa responsable, ac sistema de gestión de calidad humana y
empresa responsable, ac sistema de gestión de calidad humana y
Auditores Internos El perfil del Cargo es el siguiente: Requisitos
Auditores Internos El perfil del Cargo es el siguiente: Requisitos
informe sobre la gestión del Registro Civil
informe sobre la gestión del Registro Civil
AUDITOR INTERNO DE CALIDAD ISO 9001:2015
AUDITOR INTERNO DE CALIDAD ISO 9001:2015
Ejercicio 05. LA EVIDENCIA Aplicar los contenidos aprendidos
Ejercicio 05. LA EVIDENCIA Aplicar los contenidos aprendidos
norma de auditoria generalmente aceptadas
norma de auditoria generalmente aceptadas
Descargar
Anuncio
Anuncio