Auditar en la era del ERP: cuando el mayor riesgo no está en los papeles, sino en el sistema
Si el sistema que procesa más del 90 % de las transacciones financieras falla, ¿cuánto valor real tienen tus pruebas sustantivas?
Durante décadas, la auditoría financiera se construyó sobre documentos físicos, conciliaciones manuales y evidencia tangible. Hoy, esa realidad quedó atrás. La información crítica de las organizaciones ya no circula en carpetas ni archivadores, sino en ERP complejos, sistemas automatizados y procesos digitales que operan de forma casi invisible.
En este nuevo entorno, auditar sin comprender cómo funciona el software del cliente no es una limitación técnica menor: es un riesgo profesional.
El riesgo ya no se archiva, se ejecuta
Los errores materiales y los fraudes modernos rara vez nacen de un comprobante mal clasificado. Su origen suele estar en:
- Usuarios con accesos que nunca debieron mantenerse activos.
- Cambios en parámetros del sistema sin control ni trazabilidad.
- Automatizaciones que nadie revisa, pero todos asumen correctas.
- Respaldos que existen “en teoría”, pero nunca han sido probados.
Cuando el auditor se limita a validar reportes en PDF sin entender cómo se generan, su estrategia de auditoría se apoya en supuestos, no en evidencia. En un entorno automatizado, eso es auditar a ciegas.
Controles Generales de TI (GITC): la base invisible de la confiabilidad financiera
Los Controles Generales de Tecnología de Información (GITC) no controlan una factura, un asiento o una conciliación específica. Controlan el entorno completo donde todas esas transacciones ocurren.
Si estos controles son débiles, los controles de aplicación pierden efectividad, aunque el diseño del sistema sea sofisticado.
Una analogía simple: los GITC son la estructura del edificio. Puedes tener cerraduras modernas en cada puerta, pero si la estructura está comprometida, el riesgo entra por cualquier lado.
Tres áreas críticas donde se concentra el riesgo tecnológico
Gestión de accesos: quién tiene las llaves del sistema
El problema no es si existen contraseñas, sino quién conserva acceso y bajo qué condiciones.
Una prueba básica, pero altamente efectiva desde auditoría, consiste en cruzar:
- la lista de colaboradores desvinculados del último período,
con - la lista de usuarios activos en el ERP o sistema contable.
Cuando ambos listados coinciden, no estamos ante un detalle administrativo, sino ante un hallazgo real de control interno, con impacto directo en el riesgo de error o fraude
Gestión de cambios: cuando el sistema cambia sin dejar rastro
Los saldos no cambian solos. Siempre hay una acción detrás.
Desde auditoría, no se requiere conocimiento técnico profundo, sino claridad en el proceso:
- ¿Existe una solicitud formal de cambio?
- ¿Hubo pruebas previas antes de pasar a producción?
- ¿Está segregada la función entre quien desarrolla y quien autoriza?
Cuando una misma persona puede modificar y aprobar cambios en producción, el riesgo deja de ser teórico y pasa a ser estructural
Operaciones de TI: la continuidad y protección de la información
Preguntar por respaldos no es preguntar si “se hacen”, sino si funcionan cuando se necesitan.
Un respaldo que nunca ha sido restaurado es, en la práctica, inexistente. Solicitar evidencia de pruebas de recuperación es una de las formas más directas de evaluar si la información financiera cuenta con un verdadero “seguro de vida”.
Un ejemplo breve, pero frecuente
Empresa con ERP robusto.
Usuario excolaborador con acceso activo.
Ajuste posterior en cuentas de ingresos.
Nadie detecta el cambio porque “el sistema es confiable”.
Este tipo de situaciones no son excepcionales. Son el resultado natural de entornos tecnológicos no comprendidos ni auditados adecuadamente.
El marco normativo no es opcional: es una defensa profesional
Las normas de auditoría vigentes establecen que el auditor debe comprender cómo la entidad utiliza la tecnología y cómo esta afecta el procesamiento de la información financiera.
No se trata de un requisito formal. Es una salvaguarda profesional.
Ante un fraude electrónico o un error masivo de procesamiento, los papeles de trabajo deben demostrar que el auditor entendió el entorno tecnológico y ajustó su estrategia de auditoría basada en riesgos.
Confiar en el sistema “porque el cliente dice que es seguro” no es escepticismo profesional; es una exposición innecesaria.
Cómo abordar la tecnología sin ser especialista en TI
El auditor financiero no necesita convertirse en ingeniero. Necesita criterio, lógica y enfoque en control interno:
- Traducir la tecnología al lenguaje de autorización, segregación, validación y trazabilidad.
- Realizar walkthroughs digitales, observando cómo el sistema previene conflictos de interés.
- Apoyarse en especialistas en TI, sin abdicar del juicio profesional: el informe técnico no se archiva, se comprende y se incorpora a la estrategia de auditoría.
Conclusión
La tecnología no es el enemigo del auditor.
El verdadero riesgo es auditarla sin entenderla.
En un mundo donde los sistemas “hacen todo solos”, el rol del auditor es preguntar cómo, bajo qué controles y con qué evidencia. Porque auditar sistemas no es un tema técnico: es auditar decisiones, responsabilidades y riesgos.
Jorge Gutiérrez Guillén, CPA
Socio Fundador | JGutierrez Auditores Consultores S.A.
Costa Rica | 🌐 consultoresjg.com
+506 2552-5433 | +506 8811-5090
[email protected]
#GestiónDeRiesgos #AuditoríaEstratégica #COSOERM #GobiernoCorporativo #JGutierrezAuditores
Related Articles
-
Gobierno corporativo en PYMES de Latinoamérica: la diferencia entre “apagar incendios” y crecer con orden
-
Auditoría, Asociación Solidarista y Gobierno Corporativo: tres conceptos que se unen para proteger la confianza
-
Errores en declaraciones tributarias que pueden costarle caro a su empresa (y cómo evitarlos con control de calidad e inteligencia artificial)