REVISIÓN DEL SISTEMA

REVISIÓN DEL SISTEMA

La revisión del sistema de control contable del cliente por el auditor debe comprender todas las actividades manuales, mecanizadas y de PED significativas e importantes y la relación entre el PED y los departamentos usuarios. La revisión debe comprender los procedimientos de control relacionados con transacciones, desde su origen o fuente hasta su registro en los libros de contabilidad y los procedimientos de control relacionados con el registro contable de los activos. La revisión es un proceso de obtención de información que depende de preguntas inteligentes hechas al personal del cliente, observación de los trabajos asignados y de los procedimientos de operación y referencia a la documentación disponible relacionada con el control contable.

La revisión del auditor debe estar diseñada para proporcionar un conocimiento del flujo de las transacciones a través del sistema contable, de la extensión en que el PED es usado en cada aplicación contable importante y de la estructura básica del control contable. Durante esta fase el auditor puede identificar algunos de los procedimientos específicos de control contable relacionados con cada aplicación y puede darse cuenta de debilidades materiales aparentes en los procedimientos. El conocimiento se obtiene ordinariamente por preguntas, pero también puede obtenerse por observación del personal del cliente y revisión de la documentación. Dicho conocimiento preliminar de los procedimientos de PED normalmente se refiere a los controles generales y a los controles de aplicación discutidos anteriormente.

Después de completar la fase preliminar de la revisión, el auditor debe estar en posición de evaluar, para cada aplicación contable sustancial, la importancia del control contable del PED en relación al sistema total de control contable y, por lo tanto, de determinar la extensión de su revisión del control contable del PED.

1. El auditor puede concluir que los procedimientos de control contable dentro de las porciones de la aplicación o aplicaciones de PED parecen proporcionar una base confiable suficiente para reducir la extensión de sus pruebas sustantivas. En ese caso, deberá completar su revisión de los procedimientos de control contable del PED, efectuar las pruebas de cumplimiento respectivas y evaluar los procedimientos de control para determinar la extensión a que pueden restringirse las pruebas sustantivas.

2. El auditor puede concluir que existen debilidades en los procedimientos de control contable en las porciones de la aplicación o aplicaciones de PED suficientes para eliminar su confianza en dichos procedimientos; no podrá confiar en esos procedimientos de control contable del PED. El auditor deberá evaluar el impacto potencial de dichas debilidades en los estados financieros que está examinado tan pronto como vengan a su atención y deberá cumplir con sus objetivos de auditoría por otros medios.

3. El auditor puede decidir no extender su revisión preliminar y no efectuar pruebas de cumplimiento relacionadas con los procedimientos de control contable dentro de las porciones de la aplicación o las aplicaciones de PED aún cuando concluya que los controles son aparentemente adecuados. En ese caso, no podrá confiar en esos procedimientos de control contable del PED. Las situaciones de este tipo podrán ser esas en las que,

1. El auditor puede concluir que el esfuerzo de auditoria requerido para completar su revisión y las pruebas de cumplimiento excederían la reducción de esfuerzo que podría lograrse al confiar en los controles contables del PED.

2. El auditor concluye que ciertos procedimientos de control contable del PED son redundantes debido a que existen otros procedimientos de control contable.

PRUEBAS DE CUMPLIMIENTO

El propósito de las pruebas de cumplimiento es proporcionar razonable seguridad de que los procedimientos de control contable son aplicados en la forma en que fueron descritos.

Algunos procedimientos de control contable dentro de la actividad de PED dejan evidencia visible que indica que los procedimientos fueron ejecutados.

Algunos procedimientos de control contable dentro de la actividad de PED, especialmente aquellos en programas que son diseñados para detectar datos erróneos o inválidos, no dejan evidencia visible que indique que los procedimientos fueron ejecutados. Por lo tanto, el auditor deberá probar estos controles revisando las transacciones entregadas para proceso para determinar que ninguna de las transacciones procesadas tiene condiciones inaceptables o que las condiciones inaceptables existentes fueron reportadas y resueltas adecuadamente. La revisión puede hacerse manualmente si las condiciones lo permiten, o el auditor puede tener la capacidad o considerar necesario utilizar el PED para detectar condiciones inaceptables, ya sea utilizando sus programas independientes o utilizando copias de los programas del cliente, los cuales el auditor ha determinado, en forma independiente, que son adecuados para sus propósitos.

EVALUACIÓN DEL SISTEMA

La evaluación de los aspectos de PED en un sistema de control contable no es diferente conceptualmente de la evaluación de otros aspectos del sistema y deberá ser parte integral de la evaluación del sistema hecha por el auditor. Los procedimientos de control contable ejecutados tanto dentro de la actividad de PED como por los departamentos usuarios, influyen en la efectividad del sistema y deberán ser considerados en forma conjunta por el auditor.

La declaración sobre Normas de Auditoría No. 3, (SAS -3) fue emitida en el año 1974.

Existen actualmente varios pronunciamientos o guías de auditoría contra los cuales podríamos contrastar las normas de auditoría de sistemas enunciadas en el SAS 3 comentado arriba. Siendo que todos estos pronunciamientos actuales están directa y estrechamente relacionados, me permitiré hacer mi análisis comparativo con respecto a las Normas Internacionales de Auditoría por considerar que éstas, de alguna manera, son de aplicación más general y abarcan un ámbito más amplio de situaciones, a diferencia de aquellos pronunciamientos relacionados con la ley SOX que son de aplicación más restringida y específicos para las compañías americanas.

La norma internacional de auditoría 315, titulada "Entendimiento de la entidad y su entorno y evaluación de los riesgos de representación errónea de importancia relativa", tiene como propósito establecer normas y proporcionar guías para obtener un entendimiento de la entidad y su entorno, incluyendo su control interno. Específicamente establece que "El auditor deberá obtener un entendimiento de la entidad y su entorno, incluyendo su control interno, suficiente para identificar y evaluar los riesgos de representación errónea de importancia relativa de los estados financieros ya sea debido a fraude o error, y suficiente para diseñar y desempeñar procedimientos adicionales de auditoría".

En el apartado de Características de elementos manuales y automatizados del control interno relevantes para la evaluación del riesgo por el auditor, numeral 58, menciona lo siguiente:

"El uso de elementos manuales o automatizados en el control interno también afecta la manera en que las transacciones se inician, registran, procesan e informan. Los controles en un sistema manual pueden incluir procedimientos como aprobaciones y revisiones de actividades, y conciliaciones y seguimiento de partidas de conciliación. Alternativamente, una entidad puede usar procedimientos automatizados para iniciar, registrar, procesar e informar transacciones, en cuyo caso los registros en formato electrónico sustituyen documentos de papel como órdenes de compra, facturas, documentos de embarque y registro de contabilidad relacionados. Los controles en sistemas de TI consisten de una combinación de controles automatizados (por ejemplo, controles integrados en programas de computador) y controles manuales. Más aún, los controles manuales pueden ser independientes de TI, pueden usar información producida por TI, o pueden estar limitados a monitorear el funcionamiento efectivo de TI y de los controles automatizados y a manejar las excepciones. Cuando se usa TI para iniciar, registrar, procesar o informar transacciones, u otros datos financieros para inclusión en los estados financieros, los sistemas y programas pueden incluir controles relacionados con las correspondientes aseveraciones para cuentas de importancia relativa o pueden ser críticos para el funcionamiento efectivo de los controles manuales que dependan de TI.

En cuanto al proceso de evaluación del riesgo por la entidad, el auditor deberá obtener un entendimiento del sistema de información, incluyendo los procesos de negocio relacionados, relevante para la información financiera, incluyendo las áreas siguientes:

* Las clases de transacciones en las operaciones de la entidad que sean importantes para los estados financieros.

* Los procedimientos, tanto en sistemas de TI como manuales, por los que se inician, registran, procesan e informan dichas transacciones en los estados financieros.

* Los registros contables relacionados, ya sea electrónicos o manuales, que soportan información y cuentas específicas en los estados financieros, respecto de iniciar, registrar, procesar e informar las transacciones.

* Cómo captura el sistema de información los hechos y condiciones, distintos de clases de transacciones, que son importantes para los estados financieros.

* El proceso de información financiera utilizado para preparar los estados financieros de la entidad, incluyendo estimaciones contables y revelaciones importantes.

No se encontró ninguna incongruencia entre lo que aquí se menciona y lo expuesto en el SAS 3. Si bien se nota una cierta especificidad en cuanto a los procedimientos a seguir por el auditor para lograr un entendimiento de la entidad y su entorno, todos los procedimientos se consideran incluidos dentro de las indicaciones más amplias del SAS 3.

El numeral 93, indica que el Auditor deberá obtener un entendimiento de cómo ha respondido la entidad a los riesgos que se originan de la TI. El uso de TI afecta la manera en que se implementan las actividades de control. El auditor considera si la entidad ha respondido de manera adecuada a los riesgos que se originan de TI estableciendo controles generales de TI efectivos y controles de aplicación. Desde la perspectiva del auditor, los controles sobre los sistemas de TI son efectivos cuando mantienen la integridad de la información y la seguridad de los datos que procesan dichos sistemas.

Al igual que en el SAS 3, se hace referencia a los controles especiales de TI, diferenciándolos entre controles generales y controles de aplicación. Sin embargo, se hace referencia a los mismos como respuesta a los riesgos que se originan de la TI. Es este aspecto o enfoque del riesgo en cuanto a los controles el que podría significar una diferencia, aunque no significativa o de fondo, entre los lineamientos del pasado y los del presente.

No encontré ningún otro pronunciamiento o norma internacional de auditoría que se refiriera a aspectos específicos de la TI, aunque hay varias normas que hacen mención de la misma pero de una manera muy general y ninguna de estas menciones presentan un aspecto que modifique o contradiga los principios enunciados en el SAS 3.De hecho, las siguientes normas y declaraciones específicas de TI fueron derogadas con ocasión de la entrada en vigor de la norma internacional de auditoria 315 que he comentado más arriba, a partir de diciembre de 2004, como sigue:

NIA 401, Auditoría en un ambiente de sistemas de información por computadora.

Declaraciones Internacionales de Prácticas de Auditoría:

1001 Ambientes de CIS-Computadoras independientes

1002 Ambientes de CIS-Sistemas de computadoras en línea

1003 Ambientes de CIS-Sistemas de Base de Datos

1008 Evaluación del riesgo y el control interno- Características y consideraciones del CIS

1009 Técnicas de Auditoría con ayuda de computadora.

Para finalizar con el análisis comparativo de las primeras normas de auditoría relativas al procesamiento electrónico de datos y las normas más recientes, nos referiremos al ambiente guatemalteco donde se emitió la norma de auditoría No. 26, Auditoría en un ambiente de PED. Esta norma fue promulgada por el INSTITUTO GUATEMALTECO DE CONTADORES PÚBLICOS Y AUDITORES, en el año 1993.

En su parte introductoria dicha norma establece que el objetivo y alcance globales de una auditoría no cambian en un ambiente de PED. Sin embargo, el uso de un computador cambia el procesamiento y conservación de la información financiera y puede afectar la organización y los procesamientos empleados por la entidad para alcanzar una adecuada estructura de control interno. En consecuencia, los procedimientos seguidos por el auditor en su evaluación del sistema de contabilidad y de los controles internos relativos, y la naturaleza, oportunidad y alcance de sus otros procedimientos de auditoría pueden ser afectados por un ambiente PED.

El principio de que el objetivo y el alcance de una auditoría no cambian, independientemente del método de procesamiento de datos utilizado, pero que éste sí puede influir en los procedimientos empleados por una entidad para el logro de sus objetivos de control contable se mantiene inalterable.

En cuanto a la capacidad y competencia del auditor, la Norma de auditoría No. 26 no añade ninguna nueva competencia a las ya requeridas por el SAS 3, más que los conocimientos suficientes de PED para implementar los procedimientos de auditoría que sean necesarios. En este caso, si bien el principio sigue siendo el mismo, sí cabe hacer la consideración que los conocimientos de PED necesarios para que el auditor lleve a cabo su trabajo con eficiencia y efectividad sí han cambiado y requieren de una educación continua de parte del auditor.

En cuanto a la planeación de la auditoría, los lineamientos generales en cuanto al conocimiento que debe obtener el auditor en cuanto al ambiente de PED en la entidad a ser auditada, el grado de utilización del mismo, el flujo de las transacciones y los controles generales así como los controles de aplicación, todo ello con el fin de determinar el grado de confianza que espera depositar en los controles PED en su evaluación global de la estructura de control interno, se mantienen invariables con respecto a lo normado por el SAS 3.

En cuanto al sistema de contabilidad y la estructura de control interno, la norma No. 26 hace de nuevo referencia a que, si el auditor planea apoyarse en controles internos para efectuar su auditoría, debe tomar en cuenta los controles generales de PED y los controles de aplicación PED, o sea, mantiene la importancia de identificar, analizar y evaluar estos controles, como lo hizo en su momento el SAS 3.

Finalmente, en cuanto a la evidencia de auditoría, la norma No. 26 señala las instancias en las que podría ser necesaria la utilización de técnicas de auditoría con ayuda del computador, TAACS, O CAATS por sus siglas en inglés, que también fueron referidas en su oportunidad por el SAS 3.

CONCLUSIÓN

Como se desprende del análisis comparativo de los aspectos esenciales de las normas anteriores (años setenta) y las actuales, las normas del trabajo de auditoría en un ambiente computarizado, fundamentalmente no han cambiado, a pesar de los admirables avances tecnológicos. No obstante, debido a la naturaleza cambiante de la Tecnología de la Información, el Auditor debe actualizarse constantemente para estar siempre al día con las nuevas tecnologías y usos y aplicaciones de las mismas así como de sus riesgos inherentes. Como se mencionaba en la parte introductoria del SAS 3, refiriéndose a la primera norma general de Auditoría, el estudio y evaluación del control interno debe ser efectuado por una persona o personas que tengan entrenamiento técnico adecuado y experiencia como auditores. El auditor necesita entender el sistema entero en forma suficiente para permitirle identificar y evaluar sus características esenciales de control contable. Esto sólo se logra con una capacitación constante para mantenerse informado de los nuevos productos, nuevos procesos y nuevas habilidades.

Otra conclusión importante de nuestro análisis comparativo es la relativa a que los conceptos básicos relativos al control contable se aplican igualmente a sistemas manuales, mecanizados y de procesamiento electrónico de datos. Sin embargo, el método de procesamiento de datos utilizado sí puede influenciar la organización y los procedimientos requeridos para mantener un adecuado control contable y, por lo tanto, afecta también los procedimientos empleados por el auditor para su estudio y evaluación del control contable.

Finalmente, tanto el SAS 3, como los pronunciamientos más recientes enfatizan la clasificación y la importancia de los controles específicos de la Tecnología de la Información en Controles Generales y Controles de Aplicación.

De una manera más general, podríamos concluir que los cambios han sido más de forma que de fondo. Los sistemas son más poderosos, los diseños más atractivos, hay una mayor capacidad y velocidad de procesamiento, utilización más generalizada, etc. También se han desarrollado nuevas aplicaciones, como la Internet, las máquinas portátiles para el ingreso de datos, y otras aplicaciones posibles debido a los adelantos en la tecnología de la comunicación. Así mismo se han integrado nuevos conceptos en el desarrollo del trabajo de la auditoría, tales como el enfoque sobre la base del riesgo, que como ya comentamos anteriormente, no es un concepto propio del área de TI, sino que aplica a todo el trabajo de la auditoria en general, y la mayor relevancia que se le asigna a la participación efectiva de la gerencia en el monitoreo de los controles contables y financieros.

BIBLIOGRAFÍA

DECLARACION SOBRE NORMAS DE AUDITORIA No.3, (1976). Traducción Autorizada del Statement of Auditing Standards, del American Institute of Certified Public Acountants, publicada por el Instituto Mexicano de Contadores Públicos, Primera Reimpresión.

NORMAS INTERNACIONALES DE AUDITORIA, (2006). Emitidas por el Comité Internacional de Práctica de Auditoría (IFAC), publicadas por el Instituto Mexicano de Contadores Públicos.

NORMAS DE AUDITORIA, (2006). Instituto Guatemalteco de Contadores Públicos y Auditores.

José Luis Nuñez Urrutia

jlnunez[arroba]c.net.gt