El uso de la tecnología en la auditoría interna

Tener un software o un programa de auditoría puede potenciar el rendimiento, la

productividad y mejorar la calidad de los procesos en una empresa. La empresa debe ayudar y
acompañar al auditor interno para que haga un uso responsable de la tecnología, por esto se
deben seguir las siguientes recomendaciones:

Primero, el auditor debe tener un sistema computarizado que le permita agilizar sus procesos
de revisión. Este punto es importante de analizar, debido a que muchos auditores pueden
estar capacitados intelectualmente pero no contar con las herramientas tecnológicas que
logren potenciar todas sus capacidades.

Segundo, se debe invertir un tiempo importante, antes de que el ejercicio de auditoría

empiece. Este tiempo se considera de preparación para el auditor e implica un conocimiento a
fondo de la empresa en la que va a trabajar y los sistemas informáticos con los que cuenta y las
herramientas tecnológicas de las que se va a valer durante la auditoría.

Tercero, el auditor debe tener la capacidad de decidir cómo se va a almacenar la información.

Se puede considerar que la información es el recurso más valioso que tiene una empresa, ya
que permite generar reportes, análisis e indicadores de desempeño. Por lo tanto el auditor
interno debe velar por su conservación y cuidado.

Cuarto, los reportes generados para solventar los problemas que presenta la empresa deben
darse de manera rápida y oportuna; es decir, aquello que está mal debe solucionarse rápido,
para que el problema no aumente o genere un daño mayor. Las herramientas tecnológicas
sirven para agilizar estos aspectos, y para facilitar la labor de los auditores.

Tanto las compañías que prestan el servicio de auditoría como los centros de formación de
auditores, se han venido preocupando por la inclusión del uso de tecnología tanto para el
análisis de datos y riesgos de la empresa y el manejo de la información. Es decir, hacer de la
auditoría un proceso más eficiente.

Las Tecnologías de Información y Comunicaciones en los procesos de control y auditoría

Los procesos de auditoría manual son inadecuados en este ambiente cada vez más complejo
(Vasarhelyi, 1984), de allí la necesidad de hacer uso de las Tecnologías de Información en los
procesos de control y auditoría, debido a su incorporación en las organizaciones, tanto
públicas como privadas.

Las Tecnologías de Información emergentes, han generado nuevos escenarios en donde se

mueven los negocios, tales como: el comercio electrónico en sus diferentes modalidades, el
intercambio electrónico de datos (EDI), la transferencia electrónica de archivos (EFT), entre
otros. Pero realmente, lo que ha cambiado no es la auditoría propiamente dicha, es la
evidencia, con la cual el auditor soporta sus conclusiones de auditoría, para obtener dicha
evidencia han surgido las Técnicas y Herramientas de Auditoría Asistidas por Computador
(CAATT’s).

La evidencia digital

Un componente esencial en cualquier proceso auditor, es la obtención de evidencia. Sin

embargo, en los últimos años, se ha transformado al pasar de ser análoga a digital.
La principal materia prima del auditor es la evidencia, considerada según ISACA (2008a) como
“cualquier información usada por el auditor, para determinar si la entidad o los datos que
están siendo auditados cumplen con los criterios u objetivos establecidos, y soporta las
conclusiones de auditoría”, cabe resaltar que esta evidencia debe ser suficiente (en relación
con la cantidad de evidencia) y competente (relacionada con su calidad).

La evolución tecnológica de las organizaciones, al incorporar en sus procesos de negocio

intensiva las TIC, han llevado a que la evidencia física, con la que tradicionalmente trabajaban
los auditores, se vuelva más escasa, y la evidencia digital soportada en registros electrónicos,
se multiplique en las diferentes áreas y procesos.

La evidencia digital difiere de la tradicional, no solo por el hecho de que la primera se

encuentre soportada en TIC, sino por una serie de atributos que hacen de esta, una forma
diferente de obtenerla, tratarla y usarla dentro del ciclo de auditoría, y que contrasta con la
tradicional, como se puede observar en la siguiente tabla.
Los estándares internacionales en el uso de Tecnologías de Información y Comunicaciones en
la auditoría

A través de los años, la auditoría y las organizaciones que impulsan esta profesión, han
establecido la importancia y la necesidad de las (TIC), para ello han emitido normas y
estándares generales alrededor del uso de las mismas, en las diferentes fases de auditoría y
particulares alrededor de las de las técnicas y herramientas de auditoría asistidas por
computador.

La tabla 12, presenta un resumen de algunos de los principales estándares y normas expedidas
alrededor del uso de las TIC en los procesos de auditoría, en algunos casos, muchas de estas
normas ya no están vigentes y han sido reemplazadas por otras complementarias.
3. Perspectivas del uso de las TIC en los procesos de control y auditoría

De forma complementaria a las normas emitidas por las organizaciones, que reglamentan e
impulsan la Auditoria a nivel internacional, la comunidad académica ha realizado algunos
planteamientos, en torno a lo que puede ser el uso de las TIC, en los procesos de control y
auditoría, es por ello que a continuación, se presentan, lo que el autor considera como las dos
corrientes que más impulso han tomado a nivel internacional, y que servirán de marco, para el
análisis del nivel de uso de las TIC en el Control Fiscal Colombiano

Las TIC como parte de los procesos de control y auditoría

Un enfoque para abordar el uso del computador por parte de los auditores, es el planteado
por autores como (Pinilla Forero, 1997;Loh, 2002;Cerullo & Cerullo,2003;Smieliauskas &
Bewley,2010), quienes establecen tres perspectivas: La auditoría alrededor del computador, la
auditoría a través del computador y la auditoría con el computador.

La auditoría alrededor del computador (Auditing around the computer ), consiste en conciliar
los documentos fuente, asociados a las transacciones de entrada al computador, con los
resultados generados por este, mientras que el procesamiento realizado por la aplicación de
computador es tratado como una caja negra. Para (Smieliauskas & Bewley,2010), fue el primer
enfoque utilizado por los auditores con la aparición del computador y es adecuado su uso, si
los controles y el sistema de información proporcionan suficiente evidencia visible. Es el
enfoque más simple de utilizar, en el cual se requieren pocos conocimientos de Tecnologías de
Información; sin embargo, no es un enfoque adecuado para evaluar la efectividad de los
controles en los sistemas de información.

Este enfoque es el más utilizado actualmente por las contralorías del país, debido al bajo nivel
de uso de herramientas tecnológicas específicas de auditoría y al perfil de los auditores
gubernamentales.

La auditoría con el computador (Auditing with the computer), es asociada con el uso de
software generalizado de auditoría (Generalized Audit Software, -GAS-), que consiste en
utilizar el computador para desarrollar labores, en las diferentes fases del ciclo de auditoría, y
cuenta con desarrollos muy importantes en el campo del análisis de datos, haciendo uso de
diferentes aplicaciones que cuentan con funciones que apoyan alguna de sus fases. La
auditoría con el computador, hace un uso más intensivo de las herramientas tecnológicas, que
de las técnicas de auditoría propiamente dichas. Dentro de esta categoría, pueden encontrarse
desde suites ofimáticas, hasta herramientas especializadas en auditoría, que para el caso del
Control Fiscal Colombiano, es donde se han invertido cuantiosos recursos (en el desarrollo y/o
adquisición de Sistemas de Información) para soportar sus procesos de control fiscal.

La auditoría a través del computador (Auditing through the computer ), asociada

directamente a las Técnicas y Herramientas de Auditoría Asistidas por Computador (Computer
Assisted Audit Tools and Techniques – CAATT-). Consiste en que el auditor evalúa la tecnología,
para determinar la confiabilidad de las operaciones que no pueden ser vistas por el ojo
humano y prueba la efectividad operacional de los controles relacionados con el computador.

A diferencia de los dos anteriores, las técnicas que hacen parte de la auditoría a través del
computador, tales como: la técnica de datos de prueba, Simulación Paralela, Facilidad de
prueba integrada y Archivos de revisión, auditoría y control de sistemas, entre otros, tratan de
permear la tecnología para evaluar los controles inmersos en esta y hace un uso más intensivo
de las técnicas, que de las herramientas tecnológicas, las cuales pueden ser automatizadas por
los mismos auditores que cuenten con conocimientos profundos en tecnología, o con el apoyo
del área de tecnología de información.

Modalidades de control y auditoría basada en TIC’s

Otra de las perspectivas en el campo académico y profesional para aplicar las TIC’s en procesos
de control y auditoría, y sin ser excluyente con el enfoque anterior, está referido a una serie de
conceptos que pueden ser considerados incluso, como disciplinas especializadas en el entorno
de las TIC. Dentro de estos términos podemos destacar: Auditoría remota, auditoría de
sistemas, control interno tecnológico, sistemas de gestión de seguridad de la información,
seguridad informática, computación forense y auditoría continua.

De acuerdo con ISACA (2012) la Auditoría de Sistemas es un proceso donde se recolecta y

evalúa evidencia, con el fin de determinar si los sistemas de información y los recursos
relacionados protegen adecuadamente los activos, mantienen la integridad y disponibilidad de
los datos y del sistema, proveen información relevante y confiable, logran de forma efectiva las
metas organizacionales, usan eficientemente los recursos y los controles internos, proveen una
certeza razonable de que los objetivos de negocio, operacionales y de control serán alcanzados
y los eventos no deseados serán evitados o detectados y corregidos de manera oportuna.

El Control Interno Tecnológico llamado comúnmente Control Interno informático, es un

sistema de control, cuyo objetivo es controlar diariamente que todas las actividades de
sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas
fijadas por la organización y/o el área informática (Piattini & Del peso,1998), el modelo más
representativo a nivel mundial es COBIT (Control Objectives for Information and Related
Technologies)

La norma ISO 27001, define un Sistema de gestión de seguridad de la información, como

aquel que hace “parte del sistema de gestión global, basada en un enfoque hacia los riesgos
globales de un negocio, cuyo fin es establecer, implementar, operar, hacer seguimiento,
revisar, mantener y mejorar la seguridad de la información” (ICONTEC, (2009,p.3).

Descripción de los principales sistemas de información en el Control Fiscal Colombiano.

A continuación se hará una caracterización general, de los sistemas de información más

destacados, o de las contralorías que por sus desarrollos se han destacado en el país:

Sistema Integrado para el Control de Auditorías (SICA): La Contraloría General de la República

firmó un convenio de cooperación técnica con la Contraloría General de Chile, el 29 de
Noviembre de 2011, con el fin de realizar un intercambio de desarrollos tecnológicos, en
especial, el sistema que es utilizado por la Contraloría de Chile para gestionar su proceso
auditor, denominado SICA (Sistema Integrado para Control de Auditorías). El SICA es un
sistema que permite administrar las actividades propias del proceso auditor, caracterizado por
ser un sistema documental que permite la trazabilidad y asegura la consistencia de la
información, es un sistema colaborativo que permite el trabajo coordinado entre diferentes
roles, funciona bajo ambiente web y además, es un sistema modular (Rodríguez
Martínez,2012).

La Contraloría General de la República ha venido implementando este sistema desde el año

2012, como una de las estrategias orientadas al cumplimiento de lo establecido, en su plan
estratégico 2012-2014 – Por un control fiscal oportuno y efectivo- (Contraloría General de la
República, 2013b).

Este sistema es utilizado por la Contraloría General de la República y cada una de sus gerencias
departamentales, convirtiéndose así, en uno de los pilares de la nueva guía de Auditoria
Gubernamental utilizada en todo el país.

Sistema Integrado de Auditorías (SIA- Contralorías): Es el Sistema de Información de Auditoria

y rendición de cuentas en línea para las contralorías y sus vigilados, desarrollado bajo
ambiente web y utilizado por el 90% de las contralorías del país, para la rendición de la cuenta.
Actualmente, éste sistema es usado por cerca de 7000 usuarios en todo el país.

El SIA-Contralorías permite: adecuarse a las necesidades de cada contraloría, recibir la cuenta

de los entes vigilados vía Internet, el acceso de los auditores a informes de ayuda para el
análisis y revisión de la cuenta y además, tiene una herramienta diseñada para que cada
auditor programe las auditorías de acuerdo con su plan de trabajo e incorpore los
memorandos de encargo y los informes finales (Auditoría General de la República, 2013a).

Gestión Transparente: Una de las contralorías que ha realizado grandes inversiones en materia
de Tecnologías de Información, para dar soporte a sus procesos de control y auditoría, es la
Contraloría Departamental de Antioquia, quien a través de este sistema de información apoya
muchos de sus procesos misionales, entre los que se destacan, el control a la contratación
pública de cerca de 125 Municipios, integrándola con las redes sociales, fomentando los
mecanismos de participación ciudadana y generando una modalidad de control en tiempo real
de la contratación pública (Valencia Duque, 2012a).