IAP TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)

Transcripción

1 IAP TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) Introducción 1. Como se indica en la Norma Internacional de Auditoría 401, "Auditoría en un contexto informatizado", los objetivos globales y el alcance de la auditoría no cambian al realizarse en un contexto informatizado; no obstante, la aplicación de procedimientos de auditoría en este entorno puede exigir que el auditor tenga en cuenta la posibilidad de aplicar técnicas que utilizan al ordenador como una herramienta de auditoría. Este tipo de operaciones se conocen como técnicas de auditoría asistida por ordenador (TAAO). 2. La Norma Internacional citada discute algunos de los usos de las TAAO de la siguiente manera: - La ausencia de documentos de entrada o la falta de rastro visible pueden exigir el uso de TAAO en la aplicación de procedimientos sustantivos y de cumplimiento. - La efectividad y eficiencia de los procedimientos de auditoría puede mejorarse mediante el uso de TAAO. 3. El propósito de la presente Declaración es de suministrar apoyo en el uso de las TAAO. Es de aplicación a todos los usos de TAAO en ordenadores de cualquier tipo y tamaño. Además, en el párrafo 24 se discuten las consideraciones especiales relacionadas con las pequeñas empresas informatizadas. Descripción de técnicas de auditoría asistida por ordenador (TAAO) 4. Esta Declaración describe dos de los tipos más comunes de TAAO: "software" de auditoría y verificación de datos usados para propósitos de auditoría. Sin embargo, las recomendaciones dadas en la misma son de aplicación a todos los tipos de TAAO. Software de auditoría 5. El "software" de auditoría consiste en un conjunto de programas de ordenador usados por el auditor, como otros procedimientos de auditoría más, para procesar datos del sistema contable de la entidad que son significativos para la auditoría. Pueden usarse paquetes de programas, programas específicos y programas de utilidad. Independientemente de la fuente de procedencia de tales programas, el auditor debe constatar su validez para la auditoría antes de empezar a usarlos. - paquetes de programas: son programas de ordenador de tipo general, diseñados para ejecutar funciones de proceso de datos que incluyen la lectura de archivos de ordenador, la selección de información, la ejecución de cálculos, la creación de archivos y la impresión de información en un formato especificado por el auditor; - programas específicos: son programas de ordenador escritos y diseñados para ejecutar tareas de auditoría en circunstancias específicas. Tales programas pueden ser preparados por el auditor, por la entidad o por un programador externo al servicio del auditor. En algunos casos, los programas ya existentes en la entidad pueden ser usados por el auditor, ya sea en su versión original o modificados, por ser más eficientes que Otros desarrollados independientemente; - programas de utilidad, son los usados por la entidad al ejecutar funciones comunes de procesamiento de datos, tales como clasificar, crear o imprimir archivos. Por lo general, estos

2 programas no están diseñados para los propósitos de la auditoría y, por tanto, no contienen dispositivos tales como contadores de registro automático o totalizadores de control. Verificación de datos 6. Las técnicas de verificación de datos se utilizan, al llevar a cabo procedimientos de auditoría, introduciendo datos (por ejemplo, una muestra. de transacciones) en el sistema informático de la entidad, y comparando los resultados obtenidos con otros previamente determinados. Ejemplos de tales usos son: - Verificación de datos usados para probar controles específicos en programas de ordenador, como, por ejemplo, los códigos de acceso en sistemas "en línea" y los controles de acceso de datos. - Transacciones de comprobación, seleccionadas de entre otras previamente procesadas o creadas por el auditor para verificar las características específicas del sistema informático de la entidad. Tales transacciones se procesan generalmente de forma separada del procesamiento normal en la entidad. - Transacciones de comprobación usadas dentro de una prueba integrada en la que se ha establecido una unidad ficticia (por ejemplo, un departamento o empleado), para la cual se introducen las transacciones de comprobación durante el ciclo normal de procesamiento. Cuando la verificación de datos se hace con el procesamiento normal de la entidad, el auditor debe asegurarse de que las transacciones de comprobación son eliminadas, una vez realizadas, de los registros contables de la entidad. Usos de las TAAO 7. Las TAAO pueden ser usadas al ejecutar diversos procedimientos de auditoría, entre los que se incluyen: - Comprobaciones de detalle en transacciones y saldos; así, por ejemplo, el uso del "software" de auditoría para comprobar la totalidad o una muestra de las transacciones en un archivo contable. - Procedimientos de revisión analítica (así, por ejemplo, el uso de "software" de auditoría para identificar partidas o fluctuaciones inusuales). - Pruebas de cumplimiento de los controles informáticos generales (así, por ejemplo, el uso de verificaciones de datos para comprobar los procedimientos de acceso a las bibliotecas de programas). - Pruebas de cumplimiento de los controles informáticos sobre aplicaciones (así, por ejemplo, el uso de verificaciones de datos para comprobar el funcionamiento de un procedimiento o prueba previamente programados). Consideraciones sobre el uso de TAAO 8. Al planificar la auditoría, el auditor debe considerar la combinación más apropiada de técnicas manuales y asistidas por ordenador. Para determinar si es conveniente el uso de TAAO, los factores a considerar son, entre otros: - Conocimientos informáticos, pericia y experiencia del auditor. - Disponibilidad de TAAO y de otros medios informáticos.

3 - Impracticabilidad de comprobaciones manuales. - Efectividad y eficiencia. - Tiempo. Conocimientos informáticos, pericia y experiencia del auditor 9. La Norma Internacional de Auditoría 401, "Auditoría en un contexto informatizado", se ocupa del nivel de conocimientos y competencia que el auditor debe poseer al llevar a cabo una auditoría dentro de un contexto informatizado, y suministra las recomendaciones pertinentes cuando se delega el trabajo en ayudantes con conocimientos informáticos o cuando se utiliza el trabajo ejecutado por otros auditores o expertos con tales conocimientos. Específicamente, deberá poseer los suficientes conocimientos para planificar, ejecutar y utilizar los resultados de las TAAO empleadas en su trabajo. El nivel de conocimientos exigidos depende de la complejidad y naturaleza de las TAAO y del sistema contable de la entidad. De acuerdo con ello, deberá ser consciente de que el uso de TAAO, en ciertas circunstancias, puede exigir unos conocimientos informáticos y una pericia significativamente mayores que en otras. Disponibilidad de TAAO y otros medios informáticos 10. El auditor tendrá en consideración la disponibilidad de TAAO, de otros medios informáticos y de los necesarios sistemas contables y archivos de base informática. Puede planificar la utilización de distintos medios informáticos cuando el uso de las TAAO del ordenador de la entidad sea poco práctico o antieconómico; por ejemplo, cuando existe incompatibilidad entre los paquetes de programas del auditor y el ordenador de la entidad. Deberá tener razonable seguridad de que los medios informáticos estén controlados del modo que se describe en los párrafos 18 a La cooperación del personal de la entidad puede ser requerida para prestar los servicios de procesamiento en el momento conveniente, para asistir al auditor en actividades tales como cargar o aplicar las TAAO en el sistema informático de la entidad, y para suministrar copias de archivos de datos en el formato exigido por el auditor. Impracticabilidad de comprobaciones manuales 12. Muchos sistemas contables informatizados ejecutan tareas para las que no existe disponible ninguna evidencia visual y, en tales circunstancias, puede ser impracticable para el auditor la realización de comprobaciones manuales. Esta falta de evidencia visual puede presentarse en diferentes momentos dentro del proceso contable; así, por ejemplo: - Los documentos de entrada pueden ser inexistentes si las órdenes de venta se introducen "en línea". Además, transacciones contables tales como descuentos y cálculos de intereses pueden ser generadas por los programas del ordenador, sin contar con ninguna autorización visible para cada transacción individual. - El sistema puede no producir un rastro visible de las transacciones procesadas a través del ordenador. Las notas de entrega y las facturas de los proveedores pueden ser cotejadas por un programa de ordenador. Además, los procedimientos de control programados, tales como la comprobación de los límites de crédito de clientes, pueden suministrar evidencia visible sólo en casos excepcionales. En tales circunstancias puede no existir evidencia visible de que todas las transacciones han sido procesadas.

4 - El sistema puede no producir información escrita. Además, las salidas escritas pueden contener únicamente resúmenes, permaneciendo los detalles de los totales retenidos en los archivos de] ordenador. Efectividad y eficiencia 13. Al obtener y evaluar la evidencia en auditoría, la efectividad y eficiencia de los procedimientos y pruebas pueden ser mejoradas mediante el uso de TAAO; así, por ejemplo: Algunos tipos de transacciones pueden ser verificadas más eficientemente, con un coste similar, utilizando el ordenador para examinar la totalidad de las mismas o, al menos, un mayor número de transacciones que las seleccionadas por otros medios. - Al aplicar procedimientos de revisión analítica, los detalles de las transacciones o saldos pueden ser revisados más eficientemente mediante el uso del ordenador que manualmente, logrando, además, información escrita sobre partidas inusuales. - El uso de las TAAO puede convertir a los procedimientos sustantivos adicionales en más eficientes que el mero hecho de confiar en los controles y en los procedimientos de cumplimiento relacionados con ellos. 14. Entre los extremos que el auditor puede necesitar tener en cuenta relacionados con la eficiencia están: - El tiempo consumido en planificar, diseñar, ejecutar y evaluar las TAAO. - Las horas de revisión y asistencia técnicas. - El diseño y la impresión de los formatos (por ejemplo, confirmaciones). - Verificación y comprobación de claves de las entradas. - Tiempo de ordenador. Al evaluar la efectividad y eficiencia de una TAAO, el auditor puede considerar el ciclo de vida de su aplicación. La planificación, diseño y desarrollo inicial de una TAAO pueden beneficiar las auditorías de períodos subsiguientes. Tiempo 15. Ciertos registros contables, tales como los archivos detallados de las transacciones, son retenidos sólo por períodos cortos de tiempo y pueden no estar disponibles de forma legible para la máquina cuando los necesita. Por ello, el auditor precisará tomar medidas para ordenar la retención de los datos que va a necesitar, o bien para alterar la programación de su trabajo que requiera de tales datos. 16. Cuando el tiempo disponible para ejecutar una auditoría está limitado, el auditor puede planear el uso de una TAAO, para poder así cumplir su programación temporal mejor que con otros procedimientos. Forma de utilización de TAAO 17. Los principales pasos que el auditor debe dar en la aplicación de las TAAO son: a) Establecer el objetivo de la aplicación TAAO. b) Determinar el contenido y accesibilidad de los archivos de la entidad. c) Definir los tipos de transacciones a comprobar.

5 d) Determinar las pruebas que se ejecutarán sobre los datos. e) Definir los requerimientos en cuanto a salidas de ordenador. f) Identificar el personal de auditoría e informática que puede participar en el diseño y aplicación de las TAAO. g) Estimar adecuadamente costes y beneficios. h) Asegurar de que el uso de las TAAO se controla y documenta apropiadamente. i) Disponer las actividades administrativas, incluyendo los conocimientos y medios informáticos necesarios. j) Ejecutar la aplicación de las TAAO. k) Evaluar los resultados. Control de la aplicación de TAAO 18. El uso de las TAAO debe ser controlado por el auditor, con el fin de llegar a tener seguridad razonable de que se han cumplido los objetivos de auditoría y las especificaciones detalladas sobre tales técnicas, y que las misma no ha sido manipuladas indebidamente por el personal de la entidad. Los procedimientos específicos necesarios para el control de] uso de las TAAO dependerán de cada aplicación. Al establecer el control de auditoría, el auditor deberá considerar la necesidad de: a) Aprobar las especificaciones técnicas y llevar a cabo una revisión técnica del trabajo que el uso de las TAAO implica. b) Revisar los controles informáticos generales de la entidad, en la medida en que puedan contribuir a la integridad de las TAAO (así, por ejemplo, los controles sobre cambios de programa y el acceso a los archivos informáticos). Cuando tales controles no ofrecen la confianza necesaria para asegurar la integridad de las TAAO, el auditor puede considerar la posibilidad de procesar las aplicaciones de las mismas en otro medio informático disponible. e) Asegurar, por parte del auditor, la integración apropiada de las salidas en el proceso de auditoría. 19. Entre los procedimientos que el auditor puede llevar a cabo para controlar las aplicaciones del "software" de auditoría, están los siguientes: a) Participar en el diseño y comprobación de los programas de ordenador. b) Verificar la codificación del programa para asegurar que es conforme con las especificaciones detalladas del mismo. c) Solicitar del personal informático de la entidad la revisión de las instrucciones del sistema operativo, para asegurarse de que el "software" podrá funcionar en las instalaciones informáticas de la entidad. d) Aplicar el "software" de auditoría sobre archivos pequeños de prueba, antes de emplearlo en los archivos de datos principales. e) Asegurarse de que se utilizan los archivos correctos, por ejemplo, comprobándolo con evidencia de tipo externo, tal como controlando los totales mantenidos por parte del usuario.

6 f) Obtener evidencia de que el "software" de auditoría funciona como se ha planeado; así, por ejemplo, controlando las salidas y el control de la información. g) Establecer las adecuadas medidas de seguridad para salvaguardar la manipulación de los archivos de datos de la entidad. Para asegurar que se llevan a cabo los procedimientos apropiados de control no se precisa, necesariamente, la presencia del auditor en el medio informático donde se esté aplicando las TAAO. Sin embargo, ello proporciona ventajas prácticas, tales como la posibilidad de controlar la distribución de las salidas y la seguridad de poder corregir a tiempo los errores; así, por ejemplo, cuando se está utilizando un archivo de entrada equivocado. 20. Entre los procedimientos que el auditor puede llevar a cabo para controlar las aplicaciones referidas a verificación de datos, están: a) Controlar la secuencia de realización en las verificaciones de datos que comprenden diversos ciclos de procesamientos. b) Ejecutar las comprobaciones con pequeñas cantidades de datos a verificar antes de hacerlo con los grandes conjuntos de datos a verificar e; la auditoría. c) Calcular anticipadamente los resultados de las verificaciones de datos para las transacciones individuales y los totales, y compararlos con los resultados conseguidos en la verificación llevada a cabo. d) Confirmar que las versiones actuales de los programas han sido las utilizadas para procesar los datos bajo comprobación. e) Obtener razonable seguridad de que los programas usados para procesar los datos bajo comprobación han sido los utilizados por la entidad a lo largo del período auditado. 21. Al usar una TAAO, el auditor puede solicitar la cooperación del personal de la entidad que tiene conocimiento extensivo de las instalaciones informáticas, En tales circunstancias, deberá tener razonable certeza de que el personal de la entidad no influye indebidamente en los resultados de la TAAO. Documentación 22. La normativa sobre papeles de trabajo y procedimientos de conservación para las TAAO debe ser consistente con la de toda la auditoría en conjunto (ver la Norma Internacional de Auditoría 230, "Documentación. Papeles de trabajo"). Puede ser conveniente guardar los papeles técnicos relativos al uso de las TAAO separados del resto de los papeles de trabajo de una auditoría. 23. Los papeles de trabajo deberán contener suficiente documentación descriptiva de las TAAO, tal como: a) Planificación: - Objetivos de las TAAO. - TAAO específicas a utilizar. - Controles a ejercitar. - Personal, programación temporal y coste. b) Ejecución:

7 - Preparación, procedimientos de prueba y controles sobre las TAAO. - Detalles de las comprobaciones ejecutadas por las TAAO. - Detalles de las entradas, del procesamiento y de las salidas. - Información técnica relevante acerca del sistema contable de la entidad, tal como la disposición usada para los archivos informáticos. e) Evidencia de auditoría: - Salidas suministradas. - Descripción del trabajo de auditoría desarrollado sobre las salidas. - Conclusiones de auditoría. d) Otros: - Recomendaciones a la dirección de la entidad. Además, puede ser útil dejar constancia documental de las sugerencias sobre el uso de las TAAO para años posteriores. Uso de TAAO en pequeñas empresas informatizadas 24. Los principios generales esbozados en esta Declaración son aplicables también para pequeñas empresas informatizadas. Sin embargo, debe prestarse, en tales casos, especial consideración a los siguientes puntos: a) El nivel de los controles generales informáticos puede ser tal que el auditor otorgue menor confianza al sistema de control interno. Ello puede dar lugar a: - Poner mayor énfasis en las comprobaciones de los detalles de las transacciones, saldos y procedimientos de revisión analítica, de manera que pueda mejorarse la efectividad de ciertas TAAO, particularmente en las referentes a la auditoría del "software". - La aplicación de procedimientos de auditoría para asegurar el funcionamiento apropiado de las TAAO, así como la validez de los datos de la entidad. b) En los casos donde sólo se procesan pequeñas cantidades de datos, los métodos manuales pueden ser más efectivos desde el punto de vista del coste. e) El auditor puede no disponer de asistencia técnica adecuada por parte de la entidad, haciéndose de esta forma impracticable el uso de las TAAO. d) Ciertos paquetes de programas de auditoría pueden no operar en pequeños ordenadores, restringiendo, de esta forma, las posibilidades de utilización de TAAO por parte del auditor. No obstante, los archivos de datos de la entidad pueden ser copiados y procesados en otro ordenador disponible.