SciELO - Scientific Electronic Library Online
 
vol.19 issue91Influence of corporate distance training in english on the efficiency of international cooperation developmentOne didactic itinerari, good practices for geography teacher training author indexsubject indexarticles search 		Home Pagealphabetic serial listing  

My SciELO

Services on Demand

Article

Indicators

  • Have no cited articlesCited by SciELO

Related links

  • Have no similar articlesSimilars in SciELO

Share

Conrado

On-line version ISSN 1990-8644

Conrado vol.19 no.91 Cienfuegos Mar.-Apr. 2023  Epub Apr 30, 2023

 

Artículo Original

Metodologías que soportan la auditoría de sistemas en medianas empresas comerciales: un estudio desde la Academia Universitaria

Methodologies that support the audit of systems in medium-sized commercial companies: a study from the University Academy

0000-0002-1348-7642Patricio Barberán Arboleda1  *  , 0000-0002-0283-8208Sergio Pozo Ceballos2  , 0000-0001-6656-3381Elsa Leuvany Álvarez Morales3  , 0000-0002-5366-5917Byron Wladimir Oviedo Bayas3 

1Universidad Católica Santiago de Guayaquil, Ecuador.

2Universidad de La Habana, Cuba

3Universidad Técnica Estatal de Quevedo, Ecuador.

RESUMEN

La información de la organización cada día está soportada en mayor nivel por los sistemas de información y el uso de tecnologías por lo que los auditores internos deben cambiar su planificación y pruebas que realizan, estar alineadas a modelos o metodologías de auditoría de sistemas integradas a la información financiera que permitan accionar a los riesgos de manera eficiente y consistente, considerar los riesgos generados por el uso de la tecnología. Para lo cual se efectúa una investigación del uso de metodologías en medianas empresas comerciales, ubicadas en el cantón Guayaquil - Ecuador, que soportan la auditoría de sistemas, se aplicó un instrumento de evaluación a una muestra de 276 empresas, donde se pudo determinar que su alta gerencia participa activamente en las decisiones del área de tecnología y sus proyectos están alineados a las necesidades de las empresas, y que existe una cultura empresarial en los controles y revisiones al área de tecnología.

Palabras-clave: Metodologías de auditoría de sistemas; Cobit; ITIL; Información financiera; Empresas comerciales

ABSTRACT

The organization's information is increasingly supported at a higher level by information systems and the use of technologies, so internal auditors must change their planning and tests they perform, be aligned to models or methodologies of systems auditing integrated to financial information that allow to act to the risks efficiently and consistently, considering the risks generated by the use of technology. An evaluation instrument was applied to a sample of 276 companies, where it was determined that their top management actively participates in the decisions of the technology area and their projects are aligned to the needs of the companies, and that there is a business culture in the controls and revisions to the technology area.

Key words: Systems audit methodologies; Cobit; ITIL; Financial reporting; Business enterprises

Introducción

La Auditoría Interna tiene la misión de mejorar y proteger el valor de la organización, al proporcionar aseguramiento, asesoría y análisis en base a los riesgos, tiene como principios: la integridad, competencia y diligencia profesional, objetividad e independencia, estar alineada a las estrategias y riesgos de la organización, compromiso con la calidad y mejora continua, comunicación efectiva, aseguramiento en base a los riesgos, análisis profundos, proactiva y que este orientado al futuro, y finalmente, promueve la mejora de la organización. (Instituto de Auditores Internos Ecuador, 2016)

Para delegados de la firma Pricewaterhouse Coopers, el futuro de la auditoría es reforzar la confianza y adaptarse a las nuevas tendencias, por lo que indican que existe “un gap de expectativas entre el alcance actual del trabajo del auditor y lo que los accionistas y otros grupos de interés entienden que debe ser su labor … gap de expectativas sobre la seguridad y las garantías que el auditor puede aportar … se plantea evolucionar hacia un modelo multidimensional, extenso en información pero accesible, capaz de generar análisis de valor más allá de los datos numéricos”. (PricewaterhouseCoopers, 2014, págs. 7,8)

Asimismo, se plantea que “en un futuro los auditores internos trabajarán más en evaluar y juzgar los riesgos, cobrarán relevancia los riesgos tecnológicos relacionados con la informática, la posibilidad de ataques a bases de datos y la ciberseguridad en general”, por lo que se debe, “contar con gente preparada para actuar en ese sentido, proteger, y analizar bien los riesgos”. (KPMG, 2015, pág. 15)

Considérese que las organizaciones están adoptando nuevas tecnologías, donde su información es soportada y procesada por sistemas de información que la integran a través de los ERP (Enterprise Resource Planning), y otros sistemas empresariales especializados, este desarrollo tecnológico influye en la forma de trabajar de los auditores internos, estos deben comenzar a aplicar modelos de gestión de riesgos empresariales cuantitativos (QERM, Quantitative Erased Respondent Method), modelos de auditoría continua con indicadores de riesgos claves y controles (KRI, Key Risk Indicators), análisis de datos y aplicar metodologías para las evaluaciones de las empresas y de sus sistemas computacionales.

En resumen, la información de la organización cada día está soportada en mayor nivel por los sistemas de información y el uso de tecnologías en sus diferentes procesos, y es el entorno en que el auditor interno debe realizar sus actividades y poder cumplir unos de sus objetivos fundamentales que es dar confianza. Por lo que los auditores internos deben cambiar su planificación y pruebas que realizan, estar alineadas a modelos o metodologías de auditoría de sistemas integradas a la información financiera que permitan accionar a los riesgos de manera eficiente y consistente, considerar los riesgos generados por el uso de la tecnología.

Materiales y método

El presente estudio se utiliza un enfoque metodológico de investigación no experimental, con un tipo de diseño de investigación transeccional o transversal, se define un conjunto de cincuenta variables, las mismas que se le aplica el método Dephi, que con la técnica de validación de expertos se llega a definir las seis variables que se utiliza en el proyecto de investigación, datos generales, contexto empresarial, gestión de riesgo empresarial, gestión de controles empresarial, gestión del recurso humano empresarial y gestión de las TICs. Hernández et al. (2014). Posteriormente, se procede a la definición del instrumento a utilizar con 49 indicadores de medición respectivamente, que permiten identificar y diagnosticar la situación de las medianas empresas comerciales con respecto a la información financiera y la tecnología aplicada.

Para el cálculo de la muestra para la población de las empresas medianas comerciales, ubicadas en el cantón Guayaquil- Ecuador, se utilizó un enfoque probabilístico, podemos indicar que el tamaño de la muestra para ser encuestada para el presente trabajo de investigación será de 276 medianas empresas comerciales, ubicadas en el cantón Guayaquil - Ecuador, con un nivel de confianza del 95 % y un margen de error del 5 %, y con una tasa de respuesta del 42 %.Para determinar la confiabilidad del instrumento I y de sus indicadores de medición, se lo determina con el coeficiente de Alpha de Cronbach, aplicado en el programa estadístico de IBM, SPSS Statistics, versión 22, siendo el resultado obtenido para los 43 indicadores de medición de 0,963.

Evaluación de las principales metodologías que soportan la auditoría de sistemas aplicadas a nivel mundial

Los avances tecnológicos sí afectan a la información financiera y a los enfoques de auditoría aplicados, ya que en las organizaciones la información financiera es ingresada, procesada y generada por sistemas computacionales soportados con tecnologías, por lo que toma relevancia la confiabilidad en la información financiera y soportar las funciones del auditor interno con el apoyo de metodologías de auditoría de sistemas.

La digitalización acelerada en los últimos años ha cambiado y desafiando a los sectores industriales en general y a sus trabajadores, además de permitir nuevas formas de trabajo. (Tiberius, & Hirth, 2019)

Actualmente la auditoría se enfrenta a tres retos importantes (Manita et al., 2020): primero, el informe de auditoría, en especial el que certifica los estados financieros, es preparado varios meses después del final del año fiscal y se basa en datos históricos; segundo, la auditoría realiza muestreos de la información y le aplica las pruebas correspondientes, sin embargo, el aumento de transacciones de todo tipo por la digitalización podría aumentar el riesgo (de omisión, integridad y exactitud) sobre estas muestras cotidianas; y tercero, el proceso en general de auditoría contempla varias actividades mecánicas con información estructurada. (Rojas, & Escobar, 2021)

Dentro de las tecnologías digitales de información Big Data Analytics (BD), Robotics Process Automation (RPA) e inteligencia artificial (IA), esta a su vez compuesta por Machine Learning (ML) y Deep Learning (DL), tienen el potencial de cambiar aceleradamente e interrumpir el proceso tradicional de auditoría externa según (Manita et al., 2020) citado por (Rojas, & Escobar, 2021).

De acuerdo a los diferentes estudios realizados por expertos en temas de auditorías, se ha observado que las empresas que han aprovechado las nuevas tecnologías digitales, establecen nuevos modelos de negocios que atraen más clientes, aumentando significativamente el volumen de transacciones y de información (Cong & Vasarhelyi, 2018; Moll, & Yigitbasioglu, 2019), es decir que aumenta la cartera de clientes y las ventas.

Pozo plantea que “las consideraciones generales más importantes a tener en cuenta son la preparación, presentación y publicación de los estados financieros se refiere a la imagen fiel, que exige la representación de los efectos de las transacciones” (Pozo et al., 2015, p. 193), lo cual podrá verse afectado por la aplicación o utilización de la tecnología en la generación de la información financiera.

Bauset, en su tesis doctoral indica que la Organización Internacional de Normalización (ISO) tiene como objetivo servir de punto de referencia a las empresas para evaluar la gestión de la tecnología de la información (TI) y su soporte, Bauset (2012), adicionalmente, esta organización busca estandarizar normas de procesos, productos y servicios, que son aplicadas a nivel mundial. (ISO International Organization for Standardization, 2016)

Estas normas ISO están enfocadas a la gestión de los procesos en las empresas con un alto compromiso de la dirección, en este aspecto se coincide con Vargas cuando dice que, “Una buena gestión de las TI en la empresa adquiere bastante importancia y relevancia, de allí que se adopten los diferentes marcos de gobierno tales como COBIT, ISO 38500, entre otros, con el objeto de definir y trazar planes estratégicos que permitan la administración de éstas con el ánimo de aprovecharlas al máximo y alcanzar un excelente desarrollo de la organización” (Vargas, 2015, p. 11).

Si bien es cierto que estas metodologías están orientadas a procesos, y calidad existen otras más orientadas a la tecnología, como es COBIT (Control Objectives for Information and related Technology), conjunto de lineamientos y controles enfocados a la tecnología de la información (TI), orientados al gobierno y gestión de TI, en la última versión a la fecha (2016) se emitió un documento especializado en la seguridad de la información, que es el COBIT 5 for Information Security. (ISACA, 2016). Otra metodología es la Biblioteca de Infraestructura de Tecnologías de Información, (Information Technology Infrastructure Library® - ITIL®), constituye un resumen de conceptos, lineamientos y buenas prácticas enfocadas a la gestión de los servicios de tecnologías de información (TI), es una metodología muy extensa. Es un conjunto de medidas y procedimientos, tanto humanos como técnicos para proteger la integridad (Tirado et al., 2017)

Según Barberán las principales funciones de un auditor de sistemas son el diseño de un programa formal de auditoría de sistemas, revisión de los riesgos existentes en las aplicaciones y departamentos de sistemas con sus controles, apoyar a la auditoría operativa, financiera y administrativa, evaluación de las políticas y procedimientos del departamento de sistemas, análisis de datos, participación en el análisis de los diferentes tipos de archivos sensitivos, evaluar las pistas de auditoría y elaborar informe de las evidencias observadas. (Barberán, 2017, p. 46)

En esencia, ITIL es la metodología más completa, detallada y técnica para auditar la tecnología de la información (TI), sin embargo tiene detractores tales como la OGC (Office of Government Commerce) del Reino Unido que muestra que es un conjunto de buenas prácticas, pero no representan procesos puros, ni están diseñados como un modelo coherente en su información, lo cual es válido por constituir un conjunto de información que se necesita tener un alto conocimiento técnico para poder enfocar y explotar dicha metodología.

De igual manera estas normas (COBIT e ITIL®) son complementarias y soportan los lineamientos de la European Foundation for Quality Management (EFQM), como lo expresa Sánchez, Fernández y Moratilla “ITIL, COBIT y EFQM pueden ser valiosos para los objetivos de la organización. Los ejecutores deben utilizar ITIL para definir estrategias, planes y procesos, el uso de COBIT para las métricas, puntos de referencia y las auditorías. Mientras que ITIL y COBIT fueron creados desde diferentes perspectivas y por diferentes entidades, la Oficina de Comercio del Gobierno (OGC) e ISACA / ITGI respectivamente, hay coincidencia sustancial. Es importante destacar que se debe reconocer que tanto COBIT como ITIL proporcionan orientación sobre una gama de buenas (o mejores) prácticas para la Gestión de Servicios de TI (ITSM)”. (Sánchez, 2013)

En resumen, se coincide con López, ya que “después de analizar los estándares para gestión de tecnologías basados en Cobit, ITIL y ISO, es viable que la implementación de los controles propuestos ayude a optimizar la gestión de los recursos, minimizar riesgos, satisfacción de terceros y la seguridad de la información, todo alineado a los objetivos estratégicos de la organización” (López, 2017, p. 69), estas metodologías están orientadas a soportar la gestión de la tecnología de la información (TI) y las funciones de la auditoría de sistemas, desde diferentes puntos de vista: la planificación, los procesos, o auditar elementos tecnológicos, entre otros, sin embargo, dichas metodologías no están alineadas a soportar los objetivos del auditor interno en su evaluación a la información financiera ya sea por el enfoque metodológico, por su tecnicismo o por el volumen de información que ellas cubren, estando de acuerdo con Mingiuillón, “a nivel internacional, ISACA mantiene un conjunto de normas de buen gobierno TIC, sin embargo es poco práctico para su aplicación directa en las fiscalización de regularidad y se requiere guías que lo desarrollen en aquellas áreas de mayor interés.” (Minguillón, 2016, p. 111).

Cuando se invierte en insumos tecnológicos y se modernizan, esto genera como consecuencia un incremento de la productividad (Ibujés & Benavides, 2018) la gestión en la tecnología es importante para el desarrollo empresarial (Mendoza & Valenzuela, 2014).

Investigación del uso de metodologías en medianas empresas comerciales, ubicadas en el cantón Guayaquil - Ecuador, que soportan la auditoría de sistemas

Podemos indicar que existe un 44 % de empresas activas a nivel nacional que están dedicadas al comercio a diciembre del 2015, según el Instituto Nacional de Estadísticas y censo del Ecuador, (INEC, 2017) de las cuales el 17 % están radicadas en la ciudad de Guayaquil, según la Superintendencia de Compañías, Valores y Seguros del Ecuador (SC, 2017). Con respecto al total de las personas que laboran en dichas empresas, tenemos que el 18 % tienen relación con el sector comercio a nivel nacional, a diciembre del 2015, según el (INEC, 2017) de las cuales el 18 % del personal trabajan en las empresas comerciales radicadas en la ciudad de Guayaquil, según (SC, 2017).

En base a la información obtenida de la aplicación del instrumento, se detalla la información de la Tabla 1.

Tabla 1 - Relación entre tiempo de operación de las empresas y periodo que implementaron sus principales sistemas de información 

Fuente. Elaboración de autores

De las empresas que se obtuvo información se determinó que el 79 % tienen establecido claramente los riesgos dentro de la misma, y un 54 % tienen un plan de mitigación para los riesgos; y un 51 % han formulado indicadores de gestión que permitan medir y cuantificar la eficacia y eficiencia de la empresa. Con respecto a procedimientos un 57 % de las empresas, los tienen formalmente en un documento, y un 70 % tienen procedimientos de gestión de la seguridad de la información, con respecto a este último indicador detallamos información en la Tabla 2.

Tabla 2 - Procedimientos de gestión de seguridad de la información 

Fuente. Elaboración de autores

La alta gerencias participa en la toma de decisiones relacionadas a tecnología en un 77 %, y en un 67 % los proyectos del área de Tecnología se encuentran alineados a las necesidades de la empresa, es decir a sus planes estratégicos. Existen normativas internas establecidas por la institución para regular las actividades del área de Tecnología en un 59 %.

Con respecto al control y revisiones en el área de tecnología, un 79 % han establecido controles para el acceso a los sistemas de información y un 57 % efectúan evaluaciones para asegurar el cumplimiento de los procesos de tecnología, con respecto a este último indicador detallamos en la Tabla 3

Tabla 3 - Evaluación de los procesos de tecnología 

Fuente. Elaboración de autores

Resultados conclusiones

La importancia de la información financiera y de las herramientas que las organizaciones implementan como apoyo en la toma de decisiones, están siendo soportadas y dependen cada día en un mayor grado por el desarrollo alcanzado por la tecnología es por ello que los auditores internos deben cambiar su planificación y las pruebas que realicen deben estar alineadas a modelos o metodologías de auditoría de sistemas integradas a la información financiera que permita accionar a los riesgos de manera eficiente y consistente, cada vez que discurra riesgos generados por el uso de la tecnología.

La metodología utilizada por Cobit, ITIL y ISO, dan los lineamientos y las prácticas de cómo administrar y controlar al gobierno de TI, sus recursos tecnológicos, los provee los lineamientos sobre el sistema de gestión de la seguridad de la información, principales elementos que permiten minimizar los riesgos generados por la adopción de las tecnologías en las organizaciones, sin embargo, dichas metodologías no están alineadas a soportar los objetivos del auditor interno en su evaluación a la información financiera ya sea por el enfoque metodológico, por su tecnicismo o por el volumen de información que ellas cubren.

Que las medianas empresas comerciales de Guayaquil Ecuador, su alta gerencia participa activamente en las decisiones del área de tecnología y sus proyectos están alineados a las necesidades de las empresas, y que existe una cultura empresarial en los controles y revisiones al área de tecnología.

Referencias bibliográficas

Barberán Arboleda, P. (2017). Auditoría de Sistemas Informáticos: Enfoque Metodológico (1er edición). Universidad Católica Santiago de Guayaquil. https://doi.org/978-9942-904-89-8 Links ]

Bauset, M. C. (2012). Modelo de aporte de valor de la implantación de un sistema de gestion de servcio de TI (SGSIT), basado en los requisitos de la norma ISO/IEC 20000. (Tesis Doctoral). Universidad Politécnica de Valencia, España. [ Links ]

Cong, Y., Du, H. & Vasarhelyi, M. A. (2018). Echnological disruption in accounting and auditing. Journal of Emerging Technologies in Accounting, 15(2), 1-10. https://doi.org/https://doi.org/10.2308/jeta-10640 [ Links ]

Hernández Sampieri, R., Fernández Collado, C., & Baptista Lucio, P. (2014). Metodología de la Investigación (6ta edición). McGrawHill. https://doi.org/978-1-4562-2396-0Links ]

Ibujés Villacís, J. M. (2018). Contribution of technology to the productivity of small and medium-sized enterprises in the textile industry in Ecuador. Cuadernos de Economia, 41(115), 140-150. https://doi.org/https://doi.org/10.1016/j.cesjef.2017.05.002 Links ]

INEC (2017). Instituto nacional de estdísticas y censo del Ecuador. http://www.ecuadorencifras.gob.ec/institucional/home/Links ]

Instituto de Auditores Internos Ecuador. (2016). IAIECUADOR. http://www.iaiecuador.org/index.php/115-actualizacion-mippLinks ]

ISACA (2016). Cisa - Cobit Control Objectives for Information and related Technology. http://www.isaca.org/cobit/pages/default.aspx Links ]

ISO International Organization for Standardization. (2016). ISO. http://www.iso.org/iso/home.html Links ]

KPMG, I. d. (2015). Visión 2020, Desafios de Auditoría Interna en el horizonte 2020. KPMG. [ Links ]

López Armendáriz, D. N. (2017). Modelo de gestión de los servicios de tecnología de información basado en COBIT, ITIL e ISO /IEC 27000. Revista Cientifica ESPOL, 30(1), 51-69. https://doi.org/ISSN 1390-3659 Links ]

Manita, R., Elommal, N., Baudier, P., & Hikkerova, L. (2020). The digital transformation of external audit and its impact on corporate governance. Technological Forecasting and Social Change, (119751.), 150. https://doi.org/https://doi.org/10.1016/j.techfore.2019.119751 Links ]

Mendoza León, J. G. (2014). Aprendizaje, innovación y gestión tecnológica en la pequeña empresa Un estudio de las industrias metalmecánica y de tecnologías de información en Sonora. Contaduria y Administracion, 253-284. https://doi.org/https://doi.org/10.1016/s0186-1042(14)70162-7 Links ]

Minguillón Roy, A. (2016). El control externo y la auditoría de sistemas de información. Revista española de control externo, 18(53), 107-134. https://doi.org/1535-1333 Links ]

Moll, J. & Yigitbasioglu, O. (2019). The role of internet-related technologies in shaping the work of accountants: new directions for accounting research. The British Accounting Review, 5(6), 100833. https://doi.org/https://doi.org/10.1016/j.bar.2019.04.002 Links ]

Pozo, S., Díaz Companioni, A., Vérez García, M., Sarabia, E., María, V., & Castro, F. (2015). Referencias de contabilidad y auditoría, enfoques México-Cuba. Xalapa, Veracruz. Periodística y Análisis de Contenidos. https://doi.org/978-607-8445-12-7 Links ]

PricewaterhouseCoopers. (2014). La auditoría del futuro y el futuro de la auditoría. PricewaterhouseCoopers. [ Links ]

Rojas, J. C. & Escobar, M. (2021). Beneficios del uso de tecnologías digitales en la auditoría externa: una revisión de la literatura. Revista Facultad De Ciencias Económicas, 29(2), 45-65. https://doi.org/https://doi.org/10.7440/res64.2018.03 Links ]

Sánchez Peña, J. J. (2013). ITIL, COBIT and EFQM: Can They Work Together? International Journal of Combinatorial Optimization Problems and Informatics Morelos, México, (62). [ Links ]

SC (2017). Superintendencia de Compañías, Valores y Seguros del Ecuador. https://www.supercias.gob.ec/portalscvs/Links ]

Tiberius, V. & Hirth, S. (2019). Impacts of digitization on auditing: a Delphi study for Germany. Journal of International Accounting, Auditing and Taxation(100288), 37. https://doi.org/https://doi.org/10.1016/j.intaccaudtax.2019.100288 Links ]

Tirado, R.R., Ramos, R.D., Álvarez, M.E., & Carreño, S.S. (2017). Seguridad Informática, un mecanismo para salvaguardar la Información de las empresas. Revista publicando, 10, 462-473. https://doi.org/https://core.ac.uk/download/pdf/236644851.pdfLinks ]

Vargas Bérmudez, F. (2015). Marcos de control y estándares para el gobierno de tecnologías de información (TI). Revista I3+, 2(1), 30-44. https://doi.org/http://dx.doi.org/10.24267/23462329.71Links ]

Recibido: 03 de Marzo de 2023; Aprobado: 18 de Abril de 2023

*Autor para correspondencia. E-mail: patriciobarberan@hotmail.com

Los autores declaran no tener conflictos de intereses.

Los autores participaron en el diseño y redacción del trabajo, y análisis de los documentos.

Creative Commons License

 
Universidad de Cienfuegos. Carretera a Rodas km 3 1/2. Cuatro Caminos. Cienfuegos. Cuba.