En la actualidad, el mundo experimenta una creciente tendencia hacia la digitalización y la interconexión. Este fenómeno se manifiesta en una mayor dependencia organizativa de aplicaciones, infraestructura, procesos y personal de tecnología de la información (TI) en diversas organizaciones, independientemente de su tamaño o complejidad. En este contexto, las organizaciones han incrementado su confianza en las TI tanto para operaciones internas como para relaciones con proveedores de servicios externos. En este escenario, los auditores enfrentan responsabilidades relacionadas con el entorno de TI de sus clientes y los controles generales de TI.
Para abordar estos aspectos, los auditores disponen de la norma internacional de auditoría 315, la cual se enfoca en la identificación y evaluación de riesgos de inexactitud material. Esta norma ha sido revisada y ahora incluye mejoras relacionadas con la consideración de los aspectos de TI por parte del auditor y su impacto en el proceso de auditoría. Además, la norma revisada aclara las responsabilidades del auditor en relación con los controles generales de TI (GITC por sus siglas en inglés). Los cambios principales en relación con las TI se centran en la comprensión necesaria por parte del auditor del sistema de información y los elementos de comunicación y control.
Plataforma de Comunicación y Sistemas de Información
El auditor debe tener un profundo entendimiento del sistema de información de la entidad, el cual es relevante para la preparación de los estados financieros. Esto incluye el entorno de TI necesario para procesar transacciones y flujos de datos que permiten la generación de información financiera. Comprender la relevancia del sistema de información es crucial ya que el uso de aplicaciones de TI y otros aspectos dentro del entorno conlleva riesgos derivados de su utilización. Una comprensión del modelo de negocio de la entidad y cómo se han incorporado y empleado las tecnologías de la información también proporciona contexto al auditor sobre la naturaleza y alcance de la dependencia de TI en el sistema de información. Este entendimiento puede enfocarse en identificar y comprender la naturaleza y cantidad de aplicaciones de TI específicas, así como otros elementos del entorno pertinentes para flujos de transacciones y procesamiento de información.
La revisión de la Norma Internacional de Auditoría 315 (NIA 315).
La norma NIA 315 exige que el auditor identifique las aplicaciones de TI y otros aspectos del entorno de la entidad que están expuestos a riesgos relacionados con su uso, especialmente los controles que abordan directamente la integridad de la información a través del procesamiento de información.
El auditor debe reconocer los riesgos asociados al uso de TI y los controles generales de la entidad que mitigarán dichos riesgos. Para cada uno de estos controles identificados, debe evaluarse si su diseño es efectivo para respaldar el funcionamiento de otros controles y si se implementan adecuadamente. En caso de encontrar deficiencias en los controles, el auditor debe evaluar cómo esas deficiencias pueden impactar en la necesidad de diseñar procedimientos de auditoría adicionales, conforme a lo indicado en la norma NIA 330 – Respuestas del auditor a los riesgos evaluados.
Eficiencia Operativa de los Controles
Obtener un entendimiento del entorno de TI relevante para el sistema de información de la entidad es fundamental para identificar y evaluar riesgos de inexactitud material y para diseñar e implementar respuestas a esos riesgos. Esto podría incluir, cuando sea apropiado, la realización de pruebas en los controles. Si el auditor planea confiar en la efectividad operativa de los controles como parte de su respuesta para manejar el riesgo de inexactitud material, y esos controles dependen de los GITC, entonces también deberá examinar la efectividad operativa de los GITC correspondientes. El auditor debe ser consciente de que a medida que el cliente hace mayor uso de aplicaciones de TI dependientes, podría ser insuficiente confiar únicamente en procedimientos sustantivos para obtener evidencia de auditoría adecuada en términos de aserciones. En tales casos, el auditor deberá evaluar la efectividad operativa de los GITC identificados.
Influencia en la Auditoría
Cuando el auditor desarrolla su plan de auditoría junto al equipo y se reúne con el personal del cliente, es útil discutir diversos temas, tales como:
- Los riesgos derivados del uso de TI.
- La viabilidad de una aproximación de auditoría sustantiva basada en los riesgos identificados relacionados con TI.
- La relevancia de los GITC y la necesidad de probar su efectividad operativa.
- La amplitud y profundidad de las pruebas requeridas para evaluar la efectividad operativa de los GITC identificados y los controles de procesamiento de información.
- El impacto de GITC con diseño o implementación inapropiada, los cuales no funcionen eficazmente.
- La extensión de la comprensión del auditor sobre los procesos de TI, incluyendo los GITC, variará según la naturaleza y las circunstancias de la entidad y su entorno. Una revisión de los controles de procesamiento de información identificados indicará si el equipo de auditoría cuenta con la pericia necesaria, o si se precisa de expertos adicionales en el área. A medida que el entorno y los sistemas de TI de la entidad se tornan más complejos, es probable que el trabajo requiera de miembros del equipo con habilidades especializadas en TI.
Recursos a Disposición
La NIA 315 revisada provee abundante material de aplicación, incluyendo seis anexos diseñados para asistir a los auditores. Para el caso de los riesgos derivados del uso de TI, los anexos 5 y 6 resultan particularmente valiosos.
El anexo 5 presenta ejemplos de características presentes en entornos de TI, los cuales pueden servir de guía al auditor mientras evalúa la complejidad del entorno. Este anexo aborda el entendimiento de cómo las tecnologías de la información son usadas en los componentes del sistema de control interno de la entidad y cómo identificar aplicaciones de TI expuestas a riesgos asociados a su empleo.
El anexo 6 contiene una tabla que ilustra ejemplos de GITC y riesgos relacionados con el uso de TI, incluso para diferentes aplicaciones de TI según su naturaleza. Dicho anexo, titulado “Consideraciones para el entendimiento de los controles generales de TI”, aporta temas adicionales que el auditor podría considerar al evaluar los controles generales de TI.
Como se puede percibir, adquirir un profundo conocimiento de las normas de auditoría relacionadas con tecnologías de la información puede mejorar significativamente el desempeño de los auditores. Por tanto, se sugiere encarecidamente el análisis y aplicación de estas normas.