En cuanto a los riesgos específicos de la TI respecto del control interno menciona, entre otros, los siguientes:

En cuanto a los riesgos específicos de la TI respecto del control interno menciona, entre otros, los siguientes:

* Posibilidad de que los errores se multipliquen al procesar los datos de manera inexacta o datos no exactos, o ambas cosas.

* Acceso no autorizado a datos o cambios no autorizados a sistemas o programas.

* Potencial pérdida de datos o incapacidad de acceder a los datos según se requiere.

En cuanto a los sistemas manuales, destaca que los mismos pueden ser más adecuados donde se requiera juicio y discreción, como en el caso de registro de transacciones inusuales o no recurrentes, o circunstancias donde los errores sean difíciles de definir, anticipar o predecir. Y, al monitorear la efectividad de controles automatizados.

El auditor deberá obtener un entendimiento de cómo ha respondido la entidad a los riesgos que se originan de la TI.

Si bien el enfoque de la auditoría sobre la base del riesgo es un nuevo concepto que no se mencionaba en las guías de auditoría de los años setenta, las normas más recientes mantienen en sus textos las referencias a los Controles Generales y los Controles de Aplicación al igual que las normas que les precedieron.

Debemos hacer notar en este punto que el enfoque de la auditoría sobre la base del riesgo no es propio, ni exclusivo, de la tecnología de la información, sino que se aplica a todas las áreas de la auditoría.

DEBATE

La Declaración sobre Normas de Auditoría No.3, (SAS 3), acerca de los efectos del PED sobre el estudio y evaluación del control interno del auditor, en su parte introductoria, hace referencia a la sección 320.33 del SAS 1 en cuanto a que, debido a que la definición y los conceptos básicos relativos al control contable se expresan en términos de objetivos, ellos son independientes del método de procesamiento de datos usado, consecuentemente, se aplican igualmente a sistemas manuales, mecanizados y de procesamiento electrónico de datos. Sin embargo, la organización y los procedimientos requeridos para lograr estos objetivos pueden ser influenciados por el método de procesamiento de datos utilizado.

Esta influencia puede afectar también los procedimientos empleados por el auditor en el estudio y evaluación del control contable para determinar la naturaleza, oportunidad y extensión de los procedimientos de auditoría aplicables a su examen de los estados financieros. Define, además, que un sistema de procesamiento de datos puede ser totalmente manual o puede incluir una combinación de actividades manuales, actividades mecánicas y actividades de procesamiento electrónico de datos PED. Las aplicaciones de PED varían considerablemente, desde aplicaciones rutinarias, como el proceso de una pequeña nómina, hasta aplicaciones complejas e integradas que procesan simultáneamente información contable, de producción, de mercadotecnia y administrativa. Cuando el PED es utilizado en aplicaciones contables importantes, el auditor debe considerar a la actividad del PED en su estudio y evaluación del control contable, sin importar qué tan limitado o extenso es su uso, o si las instalaciones de PED son operadas bajo la dirección del cliente del auditor o por un tercero.

Finaliza la parte introductoria del SAS 3 haciendo referencia a lo que indica la primera norma general de auditoría en cuanto a que el examen debe ser efectuado por personas que tengan entrenamiento técnico adecuado y experiencia como auditores. Si un cliente utiliza PED en su sistema contable, el auditor necesita entender el sistema entero en forma suficiente para permitirle identificar y evaluar sus características esenciales de control contable. Las situaciones que incluyen aplicaciones de PED más complejas, normalmente requerirán que el auditor aplique conocimientos especializados de PED en la ejecución de los procedimientos de auditoría necesarios.

PROCEDIMIENTOS DE CONTROL CONTABLE EN EL PED.

En cuanto a los procedimientos de control contable en el PED, la declaración define que algunos procedimientos se refieren a todas las actividades del PED (controles generales) y algunos se refieren a funciones contables específicas, tales como la preparación de relaciones contables o nóminas (controles de aplicación).

Los controles generales comprenden:

1. El plan de organización y operación de la actividad de PED,

2. Los procedimientos para la documentación, revisión, prueba y aprobación de los sistemas o programas y los cambios a los mismos,

3. Controles incorporados en el quipo por el fabricante (normalmente conocidos como "controles de equipo)",

4. Controles sobre el acceso al equipo y los archivos de datos y

5. Otros controles de datos y de procedimiento que incluyen en forma global las operaciones de PED.

Las debilidades en los controles generales tienen frecuentemente efectos trascendentales. Cuando los controles generales son débiles o inexistentes, el auditor deberá considerar el efecto de dichas debilidades o inexistencias en la evaluación de los controles de aplicación.

Los controles de aplicación se refieren a los trabajos específicos realizados por el PED. Su función es proporcionar seguridad razonable de que el registro, procesamiento y reporte de los datos se efectúan en forma adecuada. Hay una variedad considerable de procedimientos particulares y de registros que se usan para poner en efecto controles de aplicación. Los controles de aplicación son frecuentemente clasificados como "controles sobre la entrada (input)", "controles de procesamiento" y "controles sobre la salida (output)".

LOS EFECTOS DEL PED SOBRE LAS CARACTERÍSTICAS DEL CONTROL CONTABLE

Segregación de funciones

Muchos sistemas de PED no sólo procesan datos contables sino también incluyen procedimientos para detectar errores e irregularidades y para proporcionar autorización específica para ciertos tipos de transacciones. Debido a que los procedimientos pueden ser combinados, es más probable que se combinen funciones incompatibles en una actividad de PED que en una actividad manual.

Frecuentemente, las funciones que podrían ser consideradas como incompatibles si fueran realizadas por un solo individuo en una actividad manual, son realizadas mediante el uso de un programa o una serie de programas de PED. Una persona que tiene la oportunidad de efectuar cambios no aprobados a cualquiera de dichos programas, realiza funciones incompatibles en relación con la actividad de PED.

Los archivos de datos del PED frecuentemente son registros básicos de un sistema de contabilidad. No pueden ser leídos o cambiados sin el uso del PED, pero pueden ser cambiados mediante el uso del PED sin evidencia visible que el cambio ha ocurrido. Una persona en posición para efectuar cambios no aprobados en archivos de datos del PED realiza funciones incompatibles.

Los programas supervisores son usados en algunos sistemas de PED para realizar funciones generales en más de un programa de aplicación. Los programas supervisores incluyen (a) "sistemas operativos", que controlan el equipo de PED y que puede procesarse uno o más programas de aplicación en un momento dado y (b) "sistemas de manejo de datos" que realizan funciones estándar de manejo de datos para uno o más programas de aplicación. Un individuo que puede hacer cambios no aprobados en los programas supervisores tiene la oportunidad de iniciar transacciones no autorizadas similares a aquellas de una persona que puede efectuar cambios no aprobados en programas de aplicación o archivos de datos; por tanto, esa persona, realiza funciones incompatibles.

Los párrafos anteriores comentan las funciones incompatibles correspondientes a aspectos tales como la asignación de funciones, cambios en programas, mantenimiento de archivos de datos y sistemas operativos y de manejo de datos. Si los individuos involucrados realizan funciones incompatibles, pueden aplicarse controles compensatorios. Por ejemplo, un plan de organización y operación puede contener controles sobre el acceso al equipo de PED, controles efectivos sobre la biblioteca y prever un supervisión y rotación de personal efectiva. También, los departamentos usuarios u otros grupos de control pueden establecer en forma independiente conteos de documentos o totales de campos de datos significativos. Los controles compensatorios son complementados frecuentemente por procedimientos de auditoría interna.

Ejecución de transacciones

La extensión en que es usado el PED en la ejecución de los pasos en el ciclo de una transacción varía. En función de la extensión en que el PED es usado para ejecutar pasos en el ciclo de una transacción, el programa de aplicación de PED normalmente incluye procedimientos de control contable diseñados para asegurar que los pasos son ejecutados de acuerdo con autorizaciones específicas o generales emitidas por personas (incluyendo, en sistemas avanzados, a clientes u otras personas no empleadas por la entidad) actuando dentro de su campo de autoridad. Estos procedimientos pueden incluir verificaciones para identificar datos que caen fuera de límites predeterminados o pruebas de razonabilidad en forma general.

Registro de transacciones

El uso de PED para procesar o iniciar transacciones puede afectar la fuente y extensión de posibles errores. La efectividad del control contable sobre el registro de transacciones por PED depende de a) el funcionamientos de los procedimientos de PED que registran las transacciones y producen la información de salida (tal como listados o cuadros contables, sumarias, archivos magnéticos y reportes de excepción), y de b) el seguimiento u otras acciones de los usuarios de la información de salida.

Acceso a los Activos

El personal de PED tiene acceso a los activos si la actividad de PED incluye la preparación o procesamiento de documentos que lleven al uso o disposición de los activos. En este caso, los controles compensatorios de los que se comentó anteriormente, deben ser implementados para minimizar las posibilidades de acceso no autorizado a los activos por el personal de PED.

Comparación de los Registros Contables con los Activos

El PED es frecuentemente usado para comparar los registros contables con los activos. Las condiciones en que pueden ocurrir errores e irregularidades deben ser consideradas.