REVISIÓN DEL SISTEMA
La revisión del sistema de control contable del cliente por el auditor debe comprender todas las actividades manuales, mecanizadas y de PED significativas e importantes y la relación entre el PED y los departamentos usuarios. La revisión debe comprender los procedimientos de control relacionados con transacciones, desde su origen o fuente hasta su registro en los libros de contabilidad y los procedimientos de control relacionados con el registro contable de los activos. La revisión es un proceso de obtención de información que depende de preguntas inteligentes hechas al personal del cliente, observación de los trabajos asignados y de los procedimientos de operación y referencia a la documentación disponible relacionada con el control contable.
La revisión del auditor debe estar diseñada para proporcionar un conocimiento del flujo de las transacciones a través del sistema contable, de la extensión en que el PED es usado en cada aplicación contable importante y de la estructura básica del control contable. Durante esta fase el auditor puede identificar algunos de los procedimientos específicos de control contable relacionados con cada aplicación y puede darse cuenta de debilidades materiales aparentes en los procedimientos. El conocimiento se obtiene ordinariamente por preguntas, pero también puede obtenerse por observación del personal del cliente y revisión de la documentación. Dicho conocimiento preliminar de los procedimientos de PED normalmente se refiere a los controles generales y a los controles de aplicación discutidos anteriormente.
Después de completar la fase preliminar de la revisión, el auditor debe estar en posición de evaluar, para cada aplicación contable sustancial, la importancia del control contable del PED en relación al sistema total de control contable y, por lo tanto, de determinar la extensión de su revisión del control contable del PED.
1. El auditor puede concluir que los procedimientos de control contable dentro de las porciones de la aplicación o aplicaciones de PED parecen proporcionar una base confiable suficiente para reducir la extensión de sus pruebas sustantivas. En ese caso, deberá completar su revisión de los procedimientos de control contable del PED, efectuar las pruebas de cumplimiento respectivas y evaluar los procedimientos de control para determinar la extensión a que pueden restringirse las pruebas sustantivas.
2. El auditor puede concluir que existen debilidades en los procedimientos de control contable en las porciones de la aplicación o aplicaciones de PED suficientes para eliminar su confianza en dichos procedimientos; no podrá confiar en esos procedimientos de control contable del PED. El auditor deberá evaluar el impacto potencial de dichas debilidades en los estados financieros que está examinado tan pronto como vengan a su atención y deberá cumplir con sus objetivos de auditoría por otros medios.
3. El auditor puede decidir no extender su revisión preliminar y no efectuar pruebas de cumplimiento relacionadas con los procedimientos de control contable dentro de las porciones de la aplicación o las aplicaciones de PED aún cuando concluya que los controles son aparentemente adecuados. En ese caso, no podrá confiar en esos procedimientos de control contable del PED. Las situaciones de este tipo podrán ser esas en las que,
1. El auditor puede concluir que el esfuerzo de auditoria requerido para completar su revisión y las pruebas de cumplimiento excederían la reducción de esfuerzo que podría lograrse al confiar en los controles contables del PED.
2. El auditor concluye que ciertos procedimientos de control contable del PED son redundantes debido a que existen otros procedimientos de control contable.
PRUEBAS DE CUMPLIMIENTO
El propósito de las pruebas de cumplimiento es proporcionar razonable seguridad de que los procedimientos de control contable son aplicados en la forma en que fueron descritos.
Algunos procedimientos de control contable dentro de la actividad de PED dejan evidencia visible que indica que los procedimientos fueron ejecutados.
Algunos procedimientos de control contable dentro de la actividad de PED, especialmente aquellos en programas que son diseñados para detectar datos erróneos o inválidos, no dejan evidencia visible que indique que los procedimientos fueron ejecutados. Por lo tanto, el auditor deberá probar estos controles revisando las transacciones entregadas para proceso para determinar que ninguna de las transacciones procesadas tiene condiciones inaceptables o que las condiciones inaceptables existentes fueron reportadas y resueltas adecuadamente. La revisión puede hacerse manualmente si las condiciones lo permiten, o el auditor puede tener la capacidad o considerar necesario utilizar el PED para detectar condiciones inaceptables, ya sea utilizando sus programas independientes o utilizando copias de los programas del cliente, los cuales el auditor ha determinado, en forma independiente, que son adecuados para sus propósitos.
EVALUACIÓN DEL SISTEMA
La evaluación de los aspectos de PED en un sistema de control contable no es diferente conceptualmente de la evaluación de otros aspectos del sistema y deberá ser parte integral de la evaluación del sistema hecha por el auditor. Los procedimientos de control contable ejecutados tanto dentro de la actividad de PED como por los departamentos usuarios, influyen en la efectividad del sistema y deberán ser considerados en forma conjunta por el auditor.
La declaración sobre Normas de Auditoría No. 3, (SAS -3) fue emitida en el año 1974.
Existen actualmente varios pronunciamientos o guías de auditoría contra los cuales podríamos contrastar las normas de auditoría de sistemas enunciadas en el SAS 3 comentado arriba. Siendo que todos estos pronunciamientos actuales están directa y estrechamente relacionados, me permitiré hacer mi análisis comparativo con respecto a las Normas Internacionales de Auditoría por considerar que éstas, de alguna manera, son de aplicación más general y abarcan un ámbito más amplio de situaciones, a diferencia de aquellos pronunciamientos relacionados con la ley SOX que son de aplicación más restringida y específicos para las compañías americanas.
La norma internacional de auditoría 315, titulada "Entendimiento de la entidad y su entorno y evaluación de los riesgos de representación errónea de importancia relativa", tiene como propósito establecer normas y proporcionar guías para obtener un entendimiento de la entidad y su entorno, incluyendo su control interno. Específicamente establece que "El auditor deberá obtener un entendimiento de la entidad y su entorno, incluyendo su control interno, suficiente para identificar y evaluar los riesgos de representación errónea de importancia relativa de los estados financieros ya sea debido a fraude o error, y suficiente para diseñar y desempeñar procedimientos adicionales de auditoría".
En el apartado de Características de elementos manuales y automatizados del control interno relevantes para la evaluación del riesgo por el auditor, numeral 58, menciona lo siguiente:
"El uso de elementos manuales o automatizados en el control interno también afecta la manera en que las transacciones se inician, registran, procesan e informan. Los controles en un sistema manual pueden incluir procedimientos como aprobaciones y revisiones de actividades, y conciliaciones y seguimiento de partidas de conciliación. Alternativamente, una entidad puede usar procedimientos automatizados para iniciar, registrar, procesar e informar transacciones, en cuyo caso los registros en formato electrónico sustituyen documentos de papel como órdenes de compra, facturas, documentos de embarque y registro de contabilidad relacionados. Los controles en sistemas de TI consisten de una combinación de controles automatizados (por ejemplo, controles integrados en programas de computador) y controles manuales. Más aún, los controles manuales pueden ser independientes de TI, pueden usar información producida por TI, o pueden estar limitados a monitorear el funcionamiento efectivo de TI y de los controles automatizados y a manejar las excepciones. Cuando se usa TI para iniciar, registrar, procesar o informar transacciones, u otros datos financieros para inclusión en los estados financieros, los sistemas y programas pueden incluir controles relacionados con las correspondientes aseveraciones para cuentas de importancia relativa o pueden ser críticos para el funcionamiento efectivo de los controles manuales que dependan de TI.
En cuanto al proceso de evaluación del riesgo por la entidad, el auditor deberá obtener un entendimiento del sistema de información, incluyendo los procesos de negocio relacionados, relevante para la información financiera, incluyendo las áreas siguientes:
* Las clases de transacciones en las operaciones de la entidad que sean importantes para los estados financieros.
* Los procedimientos, tanto en sistemas de TI como manuales, por los que se inician, registran, procesan e informan dichas transacciones en los estados financieros.
* Los registros contables relacionados, ya sea electrónicos o manuales, que soportan información y cuentas específicas en los estados financieros, respecto de iniciar, registrar, procesar e informar las transacciones.
* Cómo captura el sistema de información los hechos y condiciones, distintos de clases de transacciones, que son importantes para los estados financieros.
* El proceso de información financiera utilizado para preparar los estados financieros de la entidad, incluyendo estimaciones contables y revelaciones importantes.
No se encontró ninguna incongruencia entre lo que aquí se menciona y lo expuesto en el SAS 3. Si bien se nota una cierta especificidad en cuanto a los procedimientos a seguir por el auditor para lograr un entendimiento de la entidad y su entorno, todos los procedimientos se consideran incluidos dentro de las indicaciones más amplias del SAS 3.
El numeral 93, indica que el Auditor deberá obtener un entendimiento de cómo ha respondido la entidad a los riesgos que se originan de la TI. El uso de TI afecta la manera en que se implementan las actividades de control. El auditor considera si la entidad ha respondido de manera adecuada a los riesgos que se originan de TI estableciendo controles generales de TI efectivos y controles de aplicación. Desde la perspectiva del auditor, los controles sobre los sistemas de TI son efectivos cuando mantienen la integridad de la información y la seguridad de los datos que procesan dichos sistemas.
Al igual que en el SAS 3, se hace referencia a los controles especiales de TI, diferenciándolos entre controles generales y controles de aplicación. Sin embargo, se hace referencia a los mismos como respuesta a los riesgos que se originan de la TI. Es este aspecto o enfoque del riesgo en cuanto a los controles el que podría significar una diferencia, aunque no significativa o de fondo, entre los lineamientos del pasado y los del presente.
No encontré ningún otro pronunciamiento o norma internacional de auditoría que se refiriera a aspectos específicos de la TI, aunque hay varias normas que hacen mención de la misma pero de una manera muy general y ninguna de estas menciones presentan un aspecto que modifique o contradiga los principios enunciados en el SAS 3.De hecho, las siguientes normas y declaraciones específicas de TI fueron derogadas con ocasión de la entrada en vigor de la norma internacional de auditoria 315 que he comentado más arriba, a partir de diciembre de 2004, como sigue:
NIA 401, Auditoría en un ambiente de sistemas de información por computadora.
Declaraciones Internacionales de Prácticas de Auditoría:
1001 Ambientes de CIS-Computadoras independientes
1002 Ambientes de CIS-Sistemas de computadoras en línea
1003 Ambientes de CIS-Sistemas de Base de Datos
1008 Evaluación del riesgo y el control interno- Características y consideraciones del CIS
1009 Técnicas de Auditoría con ayuda de computadora.
Para finalizar con el análisis comparativo de las primeras normas de auditoría relativas al procesamiento electrónico de datos y las normas más recientes, nos referiremos al ambiente guatemalteco donde se emitió la norma de auditoría No. 26, Auditoría en un ambiente de PED. Esta norma fue promulgada por el INSTITUTO GUATEMALTECO DE CONTADORES PÚBLICOS Y AUDITORES, en el año 1993.
En su parte introductoria dicha norma establece que el objetivo y alcance globales de una auditoría no cambian en un ambiente de PED. Sin embargo, el uso de un computador cambia el procesamiento y conservación de la información financiera y puede afectar la organización y los procesamientos empleados por la entidad para alcanzar una adecuada estructura de control interno. En consecuencia, los procedimientos seguidos por el auditor en su evaluación del sistema de contabilidad y de los controles internos relativos, y la naturaleza, oportunidad y alcance de sus otros procedimientos de auditoría pueden ser afectados por un ambiente PED.
El principio de que el objetivo y el alcance de una auditoría no cambian, independientemente del método de procesamiento de datos utilizado, pero que éste sí puede influir en los procedimientos empleados por una entidad para el logro de sus objetivos de control contable se mantiene inalterable.
En cuanto a la capacidad y competencia del auditor, la Norma de auditoría No. 26 no añade ninguna nueva competencia a las ya requeridas por el SAS 3, más que los conocimientos suficientes de PED para implementar los procedimientos de auditoría que sean necesarios. En este caso, si bien el principio sigue siendo el mismo, sí cabe hacer la consideración que los conocimientos de PED necesarios para que el auditor lleve a cabo su trabajo con eficiencia y efectividad sí han cambiado y requieren de una educación continua de parte del auditor.
En cuanto a la planeación de la auditoría, los lineamientos generales en cuanto al conocimiento que debe obtener el auditor en cuanto al ambiente de PED en la entidad a ser auditada, el grado de utilización del mismo, el flujo de las transacciones y los controles generales así como los controles de aplicación, todo ello con el fin de determinar el grado de confianza que espera depositar en los controles PED en su evaluación global de la estructura de control interno, se mantienen invariables con respecto a lo normado por el SAS 3.
En cuanto al sistema de contabilidad y la estructura de control interno, la norma No. 26 hace de nuevo referencia a que, si el auditor planea apoyarse en controles internos para efectuar su auditoría, debe tomar en cuenta los controles generales de PED y los controles de aplicación PED, o sea, mantiene la importancia de identificar, analizar y evaluar estos controles, como lo hizo en su momento el SAS 3.
Finalmente, en cuanto a la evidencia de auditoría, la norma No. 26 señala las instancias en las que podría ser necesaria la utilización de técnicas de auditoría con ayuda del computador, TAACS, O CAATS por sus siglas en inglés, que también fueron referidas en su oportunidad por el SAS 3.
CONCLUSIÓN
Como se desprende del análisis comparativo de los aspectos esenciales de las normas anteriores (años setenta) y las actuales, las normas del trabajo de auditoría en un ambiente computarizado, fundamentalmente no han cambiado, a pesar de los admirables avances tecnológicos. No obstante, debido a la naturaleza cambiante de la Tecnología de la Información, el Auditor debe actualizarse constantemente para estar siempre al día con las nuevas tecnologías y usos y aplicaciones de las mismas así como de sus riesgos inherentes. Como se mencionaba en la parte introductoria del SAS 3, refiriéndose a la primera norma general de Auditoría, el estudio y evaluación del control interno debe ser efectuado por una persona o personas que tengan entrenamiento técnico adecuado y experiencia como auditores. El auditor necesita entender el sistema entero en forma suficiente para permitirle identificar y evaluar sus características esenciales de control contable. Esto sólo se logra con una capacitación constante para mantenerse informado de los nuevos productos, nuevos procesos y nuevas habilidades.
Otra conclusión importante de nuestro análisis comparativo es la relativa a que los conceptos básicos relativos al control contable se aplican igualmente a sistemas manuales, mecanizados y de procesamiento electrónico de datos. Sin embargo, el método de procesamiento de datos utilizado sí puede influenciar la organización y los procedimientos requeridos para mantener un adecuado control contable y, por lo tanto, afecta también los procedimientos empleados por el auditor para su estudio y evaluación del control contable.
Finalmente, tanto el SAS 3, como los pronunciamientos más recientes enfatizan la clasificación y la importancia de los controles específicos de la Tecnología de la Información en Controles Generales y Controles de Aplicación.
De una manera más general, podríamos concluir que los cambios han sido más de forma que de fondo. Los sistemas son más poderosos, los diseños más atractivos, hay una mayor capacidad y velocidad de procesamiento, utilización más generalizada, etc. También se han desarrollado nuevas aplicaciones, como la Internet, las máquinas portátiles para el ingreso de datos, y otras aplicaciones posibles debido a los adelantos en la tecnología de la comunicación. Así mismo se han integrado nuevos conceptos en el desarrollo del trabajo de la auditoría, tales como el enfoque sobre la base del riesgo, que como ya comentamos anteriormente, no es un concepto propio del área de TI, sino que aplica a todo el trabajo de la auditoria en general, y la mayor relevancia que se le asigna a la participación efectiva de la gerencia en el monitoreo de los controles contables y financieros.
BIBLIOGRAFÍA
DECLARACION SOBRE NORMAS DE AUDITORIA No.3, (1976). Traducción Autorizada del Statement of Auditing Standards, del American Institute of Certified Public Acountants, publicada por el Instituto Mexicano de Contadores Públicos, Primera Reimpresión.
NORMAS INTERNACIONALES DE AUDITORIA, (2006). Emitidas por el Comité Internacional de Práctica de Auditoría (IFAC), publicadas por el Instituto Mexicano de Contadores Públicos.
NORMAS DE AUDITORIA, (2006). Instituto Guatemalteco de Contadores Públicos y Auditores.
José Luis Nuñez Urrutia
jlnunez[arroba]c.net.gt
miércoles, 7 de noviembre de 2007
En cuanto a los riesgos específicos de la TI respecto del control interno menciona, entre otros, los siguientes:
En cuanto a los riesgos específicos de la TI respecto del control interno menciona, entre otros, los siguientes:
* Posibilidad de que los errores se multipliquen al procesar los datos de manera inexacta o datos no exactos, o ambas cosas.
* Acceso no autorizado a datos o cambios no autorizados a sistemas o programas.
* Potencial pérdida de datos o incapacidad de acceder a los datos según se requiere.
En cuanto a los sistemas manuales, destaca que los mismos pueden ser más adecuados donde se requiera juicio y discreción, como en el caso de registro de transacciones inusuales o no recurrentes, o circunstancias donde los errores sean difíciles de definir, anticipar o predecir. Y, al monitorear la efectividad de controles automatizados.
El auditor deberá obtener un entendimiento de cómo ha respondido la entidad a los riesgos que se originan de la TI.
Si bien el enfoque de la auditoría sobre la base del riesgo es un nuevo concepto que no se mencionaba en las guías de auditoría de los años setenta, las normas más recientes mantienen en sus textos las referencias a los Controles Generales y los Controles de Aplicación al igual que las normas que les precedieron.
Debemos hacer notar en este punto que el enfoque de la auditoría sobre la base del riesgo no es propio, ni exclusivo, de la tecnología de la información, sino que se aplica a todas las áreas de la auditoría.
DEBATE
La Declaración sobre Normas de Auditoría No.3, (SAS 3), acerca de los efectos del PED sobre el estudio y evaluación del control interno del auditor, en su parte introductoria, hace referencia a la sección 320.33 del SAS 1 en cuanto a que, debido a que la definición y los conceptos básicos relativos al control contable se expresan en términos de objetivos, ellos son independientes del método de procesamiento de datos usado, consecuentemente, se aplican igualmente a sistemas manuales, mecanizados y de procesamiento electrónico de datos. Sin embargo, la organización y los procedimientos requeridos para lograr estos objetivos pueden ser influenciados por el método de procesamiento de datos utilizado.
Esta influencia puede afectar también los procedimientos empleados por el auditor en el estudio y evaluación del control contable para determinar la naturaleza, oportunidad y extensión de los procedimientos de auditoría aplicables a su examen de los estados financieros. Define, además, que un sistema de procesamiento de datos puede ser totalmente manual o puede incluir una combinación de actividades manuales, actividades mecánicas y actividades de procesamiento electrónico de datos PED. Las aplicaciones de PED varían considerablemente, desde aplicaciones rutinarias, como el proceso de una pequeña nómina, hasta aplicaciones complejas e integradas que procesan simultáneamente información contable, de producción, de mercadotecnia y administrativa. Cuando el PED es utilizado en aplicaciones contables importantes, el auditor debe considerar a la actividad del PED en su estudio y evaluación del control contable, sin importar qué tan limitado o extenso es su uso, o si las instalaciones de PED son operadas bajo la dirección del cliente del auditor o por un tercero.
Finaliza la parte introductoria del SAS 3 haciendo referencia a lo que indica la primera norma general de auditoría en cuanto a que el examen debe ser efectuado por personas que tengan entrenamiento técnico adecuado y experiencia como auditores. Si un cliente utiliza PED en su sistema contable, el auditor necesita entender el sistema entero en forma suficiente para permitirle identificar y evaluar sus características esenciales de control contable. Las situaciones que incluyen aplicaciones de PED más complejas, normalmente requerirán que el auditor aplique conocimientos especializados de PED en la ejecución de los procedimientos de auditoría necesarios.
PROCEDIMIENTOS DE CONTROL CONTABLE EN EL PED.
En cuanto a los procedimientos de control contable en el PED, la declaración define que algunos procedimientos se refieren a todas las actividades del PED (controles generales) y algunos se refieren a funciones contables específicas, tales como la preparación de relaciones contables o nóminas (controles de aplicación).
Los controles generales comprenden:
1. El plan de organización y operación de la actividad de PED,
2. Los procedimientos para la documentación, revisión, prueba y aprobación de los sistemas o programas y los cambios a los mismos,
3. Controles incorporados en el quipo por el fabricante (normalmente conocidos como "controles de equipo)",
4. Controles sobre el acceso al equipo y los archivos de datos y
5. Otros controles de datos y de procedimiento que incluyen en forma global las operaciones de PED.
Las debilidades en los controles generales tienen frecuentemente efectos trascendentales. Cuando los controles generales son débiles o inexistentes, el auditor deberá considerar el efecto de dichas debilidades o inexistencias en la evaluación de los controles de aplicación.
Los controles de aplicación se refieren a los trabajos específicos realizados por el PED. Su función es proporcionar seguridad razonable de que el registro, procesamiento y reporte de los datos se efectúan en forma adecuada. Hay una variedad considerable de procedimientos particulares y de registros que se usan para poner en efecto controles de aplicación. Los controles de aplicación son frecuentemente clasificados como "controles sobre la entrada (input)", "controles de procesamiento" y "controles sobre la salida (output)".
LOS EFECTOS DEL PED SOBRE LAS CARACTERÍSTICAS DEL CONTROL CONTABLE
Segregación de funciones
Muchos sistemas de PED no sólo procesan datos contables sino también incluyen procedimientos para detectar errores e irregularidades y para proporcionar autorización específica para ciertos tipos de transacciones. Debido a que los procedimientos pueden ser combinados, es más probable que se combinen funciones incompatibles en una actividad de PED que en una actividad manual.
Frecuentemente, las funciones que podrían ser consideradas como incompatibles si fueran realizadas por un solo individuo en una actividad manual, son realizadas mediante el uso de un programa o una serie de programas de PED. Una persona que tiene la oportunidad de efectuar cambios no aprobados a cualquiera de dichos programas, realiza funciones incompatibles en relación con la actividad de PED.
Los archivos de datos del PED frecuentemente son registros básicos de un sistema de contabilidad. No pueden ser leídos o cambiados sin el uso del PED, pero pueden ser cambiados mediante el uso del PED sin evidencia visible que el cambio ha ocurrido. Una persona en posición para efectuar cambios no aprobados en archivos de datos del PED realiza funciones incompatibles.
Los programas supervisores son usados en algunos sistemas de PED para realizar funciones generales en más de un programa de aplicación. Los programas supervisores incluyen (a) "sistemas operativos", que controlan el equipo de PED y que puede procesarse uno o más programas de aplicación en un momento dado y (b) "sistemas de manejo de datos" que realizan funciones estándar de manejo de datos para uno o más programas de aplicación. Un individuo que puede hacer cambios no aprobados en los programas supervisores tiene la oportunidad de iniciar transacciones no autorizadas similares a aquellas de una persona que puede efectuar cambios no aprobados en programas de aplicación o archivos de datos; por tanto, esa persona, realiza funciones incompatibles.
Los párrafos anteriores comentan las funciones incompatibles correspondientes a aspectos tales como la asignación de funciones, cambios en programas, mantenimiento de archivos de datos y sistemas operativos y de manejo de datos. Si los individuos involucrados realizan funciones incompatibles, pueden aplicarse controles compensatorios. Por ejemplo, un plan de organización y operación puede contener controles sobre el acceso al equipo de PED, controles efectivos sobre la biblioteca y prever un supervisión y rotación de personal efectiva. También, los departamentos usuarios u otros grupos de control pueden establecer en forma independiente conteos de documentos o totales de campos de datos significativos. Los controles compensatorios son complementados frecuentemente por procedimientos de auditoría interna.
Ejecución de transacciones
La extensión en que es usado el PED en la ejecución de los pasos en el ciclo de una transacción varía. En función de la extensión en que el PED es usado para ejecutar pasos en el ciclo de una transacción, el programa de aplicación de PED normalmente incluye procedimientos de control contable diseñados para asegurar que los pasos son ejecutados de acuerdo con autorizaciones específicas o generales emitidas por personas (incluyendo, en sistemas avanzados, a clientes u otras personas no empleadas por la entidad) actuando dentro de su campo de autoridad. Estos procedimientos pueden incluir verificaciones para identificar datos que caen fuera de límites predeterminados o pruebas de razonabilidad en forma general.
Registro de transacciones
El uso de PED para procesar o iniciar transacciones puede afectar la fuente y extensión de posibles errores. La efectividad del control contable sobre el registro de transacciones por PED depende de a) el funcionamientos de los procedimientos de PED que registran las transacciones y producen la información de salida (tal como listados o cuadros contables, sumarias, archivos magnéticos y reportes de excepción), y de b) el seguimiento u otras acciones de los usuarios de la información de salida.
Acceso a los Activos
El personal de PED tiene acceso a los activos si la actividad de PED incluye la preparación o procesamiento de documentos que lleven al uso o disposición de los activos. En este caso, los controles compensatorios de los que se comentó anteriormente, deben ser implementados para minimizar las posibilidades de acceso no autorizado a los activos por el personal de PED.
Comparación de los Registros Contables con los Activos
El PED es frecuentemente usado para comparar los registros contables con los activos. Las condiciones en que pueden ocurrir errores e irregularidades deben ser consideradas.
* Posibilidad de que los errores se multipliquen al procesar los datos de manera inexacta o datos no exactos, o ambas cosas.
* Acceso no autorizado a datos o cambios no autorizados a sistemas o programas.
* Potencial pérdida de datos o incapacidad de acceder a los datos según se requiere.
En cuanto a los sistemas manuales, destaca que los mismos pueden ser más adecuados donde se requiera juicio y discreción, como en el caso de registro de transacciones inusuales o no recurrentes, o circunstancias donde los errores sean difíciles de definir, anticipar o predecir. Y, al monitorear la efectividad de controles automatizados.
El auditor deberá obtener un entendimiento de cómo ha respondido la entidad a los riesgos que se originan de la TI.
Si bien el enfoque de la auditoría sobre la base del riesgo es un nuevo concepto que no se mencionaba en las guías de auditoría de los años setenta, las normas más recientes mantienen en sus textos las referencias a los Controles Generales y los Controles de Aplicación al igual que las normas que les precedieron.
Debemos hacer notar en este punto que el enfoque de la auditoría sobre la base del riesgo no es propio, ni exclusivo, de la tecnología de la información, sino que se aplica a todas las áreas de la auditoría.
DEBATE
La Declaración sobre Normas de Auditoría No.3, (SAS 3), acerca de los efectos del PED sobre el estudio y evaluación del control interno del auditor, en su parte introductoria, hace referencia a la sección 320.33 del SAS 1 en cuanto a que, debido a que la definición y los conceptos básicos relativos al control contable se expresan en términos de objetivos, ellos son independientes del método de procesamiento de datos usado, consecuentemente, se aplican igualmente a sistemas manuales, mecanizados y de procesamiento electrónico de datos. Sin embargo, la organización y los procedimientos requeridos para lograr estos objetivos pueden ser influenciados por el método de procesamiento de datos utilizado.
Esta influencia puede afectar también los procedimientos empleados por el auditor en el estudio y evaluación del control contable para determinar la naturaleza, oportunidad y extensión de los procedimientos de auditoría aplicables a su examen de los estados financieros. Define, además, que un sistema de procesamiento de datos puede ser totalmente manual o puede incluir una combinación de actividades manuales, actividades mecánicas y actividades de procesamiento electrónico de datos PED. Las aplicaciones de PED varían considerablemente, desde aplicaciones rutinarias, como el proceso de una pequeña nómina, hasta aplicaciones complejas e integradas que procesan simultáneamente información contable, de producción, de mercadotecnia y administrativa. Cuando el PED es utilizado en aplicaciones contables importantes, el auditor debe considerar a la actividad del PED en su estudio y evaluación del control contable, sin importar qué tan limitado o extenso es su uso, o si las instalaciones de PED son operadas bajo la dirección del cliente del auditor o por un tercero.
Finaliza la parte introductoria del SAS 3 haciendo referencia a lo que indica la primera norma general de auditoría en cuanto a que el examen debe ser efectuado por personas que tengan entrenamiento técnico adecuado y experiencia como auditores. Si un cliente utiliza PED en su sistema contable, el auditor necesita entender el sistema entero en forma suficiente para permitirle identificar y evaluar sus características esenciales de control contable. Las situaciones que incluyen aplicaciones de PED más complejas, normalmente requerirán que el auditor aplique conocimientos especializados de PED en la ejecución de los procedimientos de auditoría necesarios.
PROCEDIMIENTOS DE CONTROL CONTABLE EN EL PED.
En cuanto a los procedimientos de control contable en el PED, la declaración define que algunos procedimientos se refieren a todas las actividades del PED (controles generales) y algunos se refieren a funciones contables específicas, tales como la preparación de relaciones contables o nóminas (controles de aplicación).
Los controles generales comprenden:
1. El plan de organización y operación de la actividad de PED,
2. Los procedimientos para la documentación, revisión, prueba y aprobación de los sistemas o programas y los cambios a los mismos,
3. Controles incorporados en el quipo por el fabricante (normalmente conocidos como "controles de equipo)",
4. Controles sobre el acceso al equipo y los archivos de datos y
5. Otros controles de datos y de procedimiento que incluyen en forma global las operaciones de PED.
Las debilidades en los controles generales tienen frecuentemente efectos trascendentales. Cuando los controles generales son débiles o inexistentes, el auditor deberá considerar el efecto de dichas debilidades o inexistencias en la evaluación de los controles de aplicación.
Los controles de aplicación se refieren a los trabajos específicos realizados por el PED. Su función es proporcionar seguridad razonable de que el registro, procesamiento y reporte de los datos se efectúan en forma adecuada. Hay una variedad considerable de procedimientos particulares y de registros que se usan para poner en efecto controles de aplicación. Los controles de aplicación son frecuentemente clasificados como "controles sobre la entrada (input)", "controles de procesamiento" y "controles sobre la salida (output)".
LOS EFECTOS DEL PED SOBRE LAS CARACTERÍSTICAS DEL CONTROL CONTABLE
Segregación de funciones
Muchos sistemas de PED no sólo procesan datos contables sino también incluyen procedimientos para detectar errores e irregularidades y para proporcionar autorización específica para ciertos tipos de transacciones. Debido a que los procedimientos pueden ser combinados, es más probable que se combinen funciones incompatibles en una actividad de PED que en una actividad manual.
Frecuentemente, las funciones que podrían ser consideradas como incompatibles si fueran realizadas por un solo individuo en una actividad manual, son realizadas mediante el uso de un programa o una serie de programas de PED. Una persona que tiene la oportunidad de efectuar cambios no aprobados a cualquiera de dichos programas, realiza funciones incompatibles en relación con la actividad de PED.
Los archivos de datos del PED frecuentemente son registros básicos de un sistema de contabilidad. No pueden ser leídos o cambiados sin el uso del PED, pero pueden ser cambiados mediante el uso del PED sin evidencia visible que el cambio ha ocurrido. Una persona en posición para efectuar cambios no aprobados en archivos de datos del PED realiza funciones incompatibles.
Los programas supervisores son usados en algunos sistemas de PED para realizar funciones generales en más de un programa de aplicación. Los programas supervisores incluyen (a) "sistemas operativos", que controlan el equipo de PED y que puede procesarse uno o más programas de aplicación en un momento dado y (b) "sistemas de manejo de datos" que realizan funciones estándar de manejo de datos para uno o más programas de aplicación. Un individuo que puede hacer cambios no aprobados en los programas supervisores tiene la oportunidad de iniciar transacciones no autorizadas similares a aquellas de una persona que puede efectuar cambios no aprobados en programas de aplicación o archivos de datos; por tanto, esa persona, realiza funciones incompatibles.
Los párrafos anteriores comentan las funciones incompatibles correspondientes a aspectos tales como la asignación de funciones, cambios en programas, mantenimiento de archivos de datos y sistemas operativos y de manejo de datos. Si los individuos involucrados realizan funciones incompatibles, pueden aplicarse controles compensatorios. Por ejemplo, un plan de organización y operación puede contener controles sobre el acceso al equipo de PED, controles efectivos sobre la biblioteca y prever un supervisión y rotación de personal efectiva. También, los departamentos usuarios u otros grupos de control pueden establecer en forma independiente conteos de documentos o totales de campos de datos significativos. Los controles compensatorios son complementados frecuentemente por procedimientos de auditoría interna.
Ejecución de transacciones
La extensión en que es usado el PED en la ejecución de los pasos en el ciclo de una transacción varía. En función de la extensión en que el PED es usado para ejecutar pasos en el ciclo de una transacción, el programa de aplicación de PED normalmente incluye procedimientos de control contable diseñados para asegurar que los pasos son ejecutados de acuerdo con autorizaciones específicas o generales emitidas por personas (incluyendo, en sistemas avanzados, a clientes u otras personas no empleadas por la entidad) actuando dentro de su campo de autoridad. Estos procedimientos pueden incluir verificaciones para identificar datos que caen fuera de límites predeterminados o pruebas de razonabilidad en forma general.
Registro de transacciones
El uso de PED para procesar o iniciar transacciones puede afectar la fuente y extensión de posibles errores. La efectividad del control contable sobre el registro de transacciones por PED depende de a) el funcionamientos de los procedimientos de PED que registran las transacciones y producen la información de salida (tal como listados o cuadros contables, sumarias, archivos magnéticos y reportes de excepción), y de b) el seguimiento u otras acciones de los usuarios de la información de salida.
Acceso a los Activos
El personal de PED tiene acceso a los activos si la actividad de PED incluye la preparación o procesamiento de documentos que lleven al uso o disposición de los activos. En este caso, los controles compensatorios de los que se comentó anteriormente, deben ser implementados para minimizar las posibilidades de acceso no autorizado a los activos por el personal de PED.
Comparación de los Registros Contables con los Activos
El PED es frecuentemente usado para comparar los registros contables con los activos. Las condiciones en que pueden ocurrir errores e irregularidades deben ser consideradas.
La tecnología de la información y las normas de auditoría, ¿Un desfase o una adaptación?
RESUMEN
La Tecnología de la Información se caracteriza por estar en un estado de constante cambio. Así mismo, su influencia en los negocios ha sido cada vez mayor y más amplia, al punto que nos encontramos con ella en toda función crítica de las empresas. También ha adquirido una importancia muy grande para los auditores encargados de revisar y evaluar los controles contables, en un momento en el que los mismos están siendo duramente criticados y cuestionados por autoridades e inversionistas, haciendo necesario y conveniente que nos preguntemos si los principios y normas para la revisión de los sistemas computarizados aún conservan toda su validez. Mediante la comparación y el análisis de los aspectos más relevantes del primer pronunciamiento del Instituto Americano de Contadores Públicos (AICPA), publicado en el año 1974,
LOS EFECTOS DEL PED SOBRE EL ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO DEL AUDITOR, SAS NO. 3, y los pronunciamientos más recientes sobre la Tecnología de la información, intento responder a esta interrogante acerca de los principios de auditoría aplicables a la Tecnología de la Información y proporcionar alguna ayuda a los profesionales de la Auditoría sobre este interesante aspecto.
ABSTRACT
Information Technology characterizes itself for being in a state of constant change. At the same time, its influence in business has been greater and broader, to the point that we find it in almost every critical function of the corporations. It has also become very important for auditors in charge of reviewing and evaluating accounting controls, at a moment when they are being strongly criticized and questioned by authorities and investors, rendering it necessary and convenient to wonder whether the principles and statements for auditing computerized systems remain still valid. Through the comparison and analysis of relevant aspects of the first statement of Auditing Standards on computerized operations by the American Institute of Certified Public Accountants, Published in 1974, titled "The effects of Electronic Data Processing on the Study and Evaluation of Internal Control by the auditor", SAS No. 3, and the more recent statements on Information Technology (IT) I try to answer this question about the resilience of Audit Principles applicable to Information Technology throughout the time and provide some help to the audit professionals on this most interesting subject.
INTRODUCCIÓN
El avance de la tecnología de la información ha sido gigantesco y extremadamente rápido, haciendo que su uso sea cada día más extendido en todas las áreas de los negocios los que, a su vez, dependen cada vez más de los sistemas computarizados para manejar eficientemente sus operaciones.
Mientras la tecnología continúa automatizándose y evolucionando ¿qué sucede o ha sucedido con las normas de auditoría aplicables al PED (Procesamiento Electrónico de datos)?, como se le llamaba al inicio de los años setenta a lo que ahora llamamos Tecnología de la Información o IT, por sus siglas en inglés. ¿Se han mantenido estables esas normas? ¿O también han variado significativamente al igual que los sistemas a los que se aplican?
Para responder a estas interrogantes es necesario referirnos a las normas de Auditoría aplicables en aquel entonces, específicamente la Declaración sobre Normas de Auditoría No3, o SAS 3, por sus siglas en inglés, emitida por el Comité Ejecutivo de Normas de Auditoría (AICPA) en el año 1974, y compararla con los pronunciamientos más recientes que mencionamos a continuación.
La ley Sarbanes-Oxley, (SOX) de los Estados Unidos de América publicada en el año 2002, ha despertado la preocupación y el interés de todos los involucrados en cuanto a la dependencia de las empresas en la Tecnología de la Información. El Instituto de Auditores Internos de los Estados Unidos, THEIIA, por sus siglas en inglés, promulgó en el mes de noviembre de 2006 la Guía para la Evaluación de los Controles Generales de la Tecnología de la Información sobre la Base del Riesgo, GAIT, por sus siglas en inglés, precisamente para facilitar tanto a auditores internos como externos el cumplimiento de los requerimientos de la mencionada ley SOX. Esta Guía está en completa consonancia con la metodología descrita en el Pronunciamiento de Auditoría No. 2, de la Junta de Supervisión Contable de la Cía. Pública, (PCAOB), por sus siglas en inglés, que fue la entidad que nombró la Comisión de Valores, (SEC), por sus siglas en inglés, para la supervisión de la aplicación de la ley SOX.
Si bien la ley SOX es específica para las empresas americanas que cotizan en la Bolsa de Valores, es obvio que su influencia se extenderá al ámbito mundial de las auditorias de empresas. De hecho, esto ya está sucediendo.
La Federación Internacional de Contadores Públicos (IFAC), por sus siglas en inglés, creada en 1977 con el fin de desarrollar y promover una profesión contable con estándares armonizados, capaces de promover servicios de alta calidad consecuente con el interés público, ha publicado sus Normas Internacionales sobre Control de Calidad, Auditoría, Revisión, Otros Trabajos para Atestiguar y Servicios Relacionados. La Norma Internacional de Auditoría No. 315, que se refiere al entendimiento de la entidad y su entorno y evaluación de los riesgos de representación errónea de importancia relativa, define las características de elementos manuales y automatizados del control interno relevantes para la evaluación del riesgo por el auditor. En cuanto a los controles automatizados destaca el hecho que los mismos proporcionan beneficios potenciales de efectividad y eficiencia para el control interno al hacer posible que la entidad aplique de manera consistente reglas de negocios predefinidas al procesar grandes volúmenes de transacciones de una misma manera, así como mejorar la oportunidad, disponibilidad y exactitud de la información, al igual que facilita
La Tecnología de la Información se caracteriza por estar en un estado de constante cambio. Así mismo, su influencia en los negocios ha sido cada vez mayor y más amplia, al punto que nos encontramos con ella en toda función crítica de las empresas. También ha adquirido una importancia muy grande para los auditores encargados de revisar y evaluar los controles contables, en un momento en el que los mismos están siendo duramente criticados y cuestionados por autoridades e inversionistas, haciendo necesario y conveniente que nos preguntemos si los principios y normas para la revisión de los sistemas computarizados aún conservan toda su validez. Mediante la comparación y el análisis de los aspectos más relevantes del primer pronunciamiento del Instituto Americano de Contadores Públicos (AICPA), publicado en el año 1974,
LOS EFECTOS DEL PED SOBRE EL ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO DEL AUDITOR, SAS NO. 3, y los pronunciamientos más recientes sobre la Tecnología de la información, intento responder a esta interrogante acerca de los principios de auditoría aplicables a la Tecnología de la Información y proporcionar alguna ayuda a los profesionales de la Auditoría sobre este interesante aspecto.
ABSTRACT
Information Technology characterizes itself for being in a state of constant change. At the same time, its influence in business has been greater and broader, to the point that we find it in almost every critical function of the corporations. It has also become very important for auditors in charge of reviewing and evaluating accounting controls, at a moment when they are being strongly criticized and questioned by authorities and investors, rendering it necessary and convenient to wonder whether the principles and statements for auditing computerized systems remain still valid. Through the comparison and analysis of relevant aspects of the first statement of Auditing Standards on computerized operations by the American Institute of Certified Public Accountants, Published in 1974, titled "The effects of Electronic Data Processing on the Study and Evaluation of Internal Control by the auditor", SAS No. 3, and the more recent statements on Information Technology (IT) I try to answer this question about the resilience of Audit Principles applicable to Information Technology throughout the time and provide some help to the audit professionals on this most interesting subject.
INTRODUCCIÓN
El avance de la tecnología de la información ha sido gigantesco y extremadamente rápido, haciendo que su uso sea cada día más extendido en todas las áreas de los negocios los que, a su vez, dependen cada vez más de los sistemas computarizados para manejar eficientemente sus operaciones.
Mientras la tecnología continúa automatizándose y evolucionando ¿qué sucede o ha sucedido con las normas de auditoría aplicables al PED (Procesamiento Electrónico de datos)?, como se le llamaba al inicio de los años setenta a lo que ahora llamamos Tecnología de la Información o IT, por sus siglas en inglés. ¿Se han mantenido estables esas normas? ¿O también han variado significativamente al igual que los sistemas a los que se aplican?
Para responder a estas interrogantes es necesario referirnos a las normas de Auditoría aplicables en aquel entonces, específicamente la Declaración sobre Normas de Auditoría No3, o SAS 3, por sus siglas en inglés, emitida por el Comité Ejecutivo de Normas de Auditoría (AICPA) en el año 1974, y compararla con los pronunciamientos más recientes que mencionamos a continuación.
La ley Sarbanes-Oxley, (SOX) de los Estados Unidos de América publicada en el año 2002, ha despertado la preocupación y el interés de todos los involucrados en cuanto a la dependencia de las empresas en la Tecnología de la Información. El Instituto de Auditores Internos de los Estados Unidos, THEIIA, por sus siglas en inglés, promulgó en el mes de noviembre de 2006 la Guía para la Evaluación de los Controles Generales de la Tecnología de la Información sobre la Base del Riesgo, GAIT, por sus siglas en inglés, precisamente para facilitar tanto a auditores internos como externos el cumplimiento de los requerimientos de la mencionada ley SOX. Esta Guía está en completa consonancia con la metodología descrita en el Pronunciamiento de Auditoría No. 2, de la Junta de Supervisión Contable de la Cía. Pública, (PCAOB), por sus siglas en inglés, que fue la entidad que nombró la Comisión de Valores, (SEC), por sus siglas en inglés, para la supervisión de la aplicación de la ley SOX.
Si bien la ley SOX es específica para las empresas americanas que cotizan en la Bolsa de Valores, es obvio que su influencia se extenderá al ámbito mundial de las auditorias de empresas. De hecho, esto ya está sucediendo.
La Federación Internacional de Contadores Públicos (IFAC), por sus siglas en inglés, creada en 1977 con el fin de desarrollar y promover una profesión contable con estándares armonizados, capaces de promover servicios de alta calidad consecuente con el interés público, ha publicado sus Normas Internacionales sobre Control de Calidad, Auditoría, Revisión, Otros Trabajos para Atestiguar y Servicios Relacionados. La Norma Internacional de Auditoría No. 315, que se refiere al entendimiento de la entidad y su entorno y evaluación de los riesgos de representación errónea de importancia relativa, define las características de elementos manuales y automatizados del control interno relevantes para la evaluación del riesgo por el auditor. En cuanto a los controles automatizados destaca el hecho que los mismos proporcionan beneficios potenciales de efectividad y eficiencia para el control interno al hacer posible que la entidad aplique de manera consistente reglas de negocios predefinidas al procesar grandes volúmenes de transacciones de una misma manera, así como mejorar la oportunidad, disponibilidad y exactitud de la información, al igual que facilita
Suscribirse a:
Entradas (Atom)