|
1009 -
TÉCNICAS DE AUDITORÍA CON AYUDA DE COMPUTADORA
Introducción
Los objetivos y alcance
global de una auditoría no cambian cuando se conduce una auditoría en un
ambiente de sistemas de información de cómputo (CIS). Sin embargo, la
aplicación de procedimientos de auditoría puede requerir que el auditor
considere técnicas conocidas como Técnicas de auditoría con ayuda de
computadora (TAACs) que usan la computadora como una herramienta de
auditoría.
Las TAACs pueden mejorar la
efectividad y eficiencia de los procedimientos de auditoría. Pueden también
proporcionar pruebas de control efectivas y procedimientos sustantivos
cuando no haya documentos de entrada o un rastro visible de auditoría, o
cuando la población y tamaños de muestra sean muy grandes.
El propósito de esta
declaración es proporcionar lineamientos sobre el uso de TAACs. Se aplica a
todos los usos de TAACs que requieran el uso de una computadora de cualquier
tipo o tamaño. Las consideraciones especiales que se refieren a ambientes de
CIS en entidades pequeñas se describen más adelante.
Descripción
de técnicas de auditoría con ayuda de computadora (TAACs — CAATs Computer
assisted audit techniques)
Esta
declaración describe las técnicas de auditoría con ayuda de computadora
incluyendo herramientas de auditoría, conocidas en forma colectiva como
TAACs. Las TAACs pueden usarse para desarrollar diversos procedimientos de
auditoría, incluyendo los siguientes:
• pruebas de detalles de
transacciones y saldos, por ejemplo, el uso de software de auditoría para
recalcular los intereses o la extracción de facturas por encima de un cierto
valor de los registros de computadora;
• procedimientos
analíticos, por ejemplo, identificar inconsistencias o fluctuaciones
importantes;
• pruebas de controles
generales, por ejemplo, pruebas de la instalación o configuración del
sistema operativo o procedimientos de acceso a las bibliotecas de programas
o el uso de software de comparación de códigos para verificar que la versión
del programa en uso es la versión aprobada por la administración;
• muestreo de programas
para extraer datos para pruebas de auditoría;
• pruebas de controles de
aplicación, por ejemplo, pruebas del funcionamiento de un control
programado; y
• rehacer cálculos
realizados por los sistemas de contabilidad de la entidad.
Las
TAACs son programas y datos de computadora que el auditor usa como parte de
los procedimientos de auditoría para procesar datos importantes para la
auditoría contenidos en los sistemas de información de una entidad. Los
datos pueden ser datos de transacciones, sobre los que el auditor desea
realizar pruebas de controles o procedimientos sustantivos, o pueden ser
otros tipos de datos. Por ejemplo, los detalles de la aplicación de algunos
controles generales pueden mantenerse en forma de archivos de texto u otros
archivos por aplicaciones que no sean parte del sistema contable. El auditor
puede usar TAACs para revisar dichos archivos para obtener evidencia de la
existencia y operación de dichos controles. Las TAACs pueden consistir en
programas de paquete, programas escritos para un propósito, programas de
utilería o programas de administración del sistema. Independientemente del
origen de los programas, el auditor ratifica que sean apropiados y su
validez para fines de auditoría antes de usarlos:
• Los programas en
paquete son programas generalizados de computadora diseñados para
desempeñar funciones de procesamiento de datos, tales como leer datos,
seleccionar y analizar información, hacer cálculos, crear archivos de datos
así como dar informes en un formato especificado por el auditor.
• Los programas escritos
para un propósito desempeñan tareas de auditoría en circunstancias
específicas. Estos programas pueden desarrollarse por el auditor, por la
entidad que está siendo auditada o por un programador externo contratado por
el auditor. En algunos casos el auditor puede usar los programas existentes
de una entidad en su estado original o modificados porque así puede ser más
eficiente que desarrollar programas independientes.
• Los programas de
utilerías se usan por una entidad para desempeñar funciones comunes de
procesamiento de datos, tales como clasificación, creación e impresión de
archivos. Estos programas generalmente no están diseñados para propósitos de
auditoría y, por lo tanto, pueden no contener características tales como
conteos automáticos de registros o totales de control.
• Los programas de
administración del sistema son herramientas de productividad mejorada
que típicamente son parte de un ambiente sofisticado de sistemas operativos,
por ejemplo, software de recuperación de datos o software de comparación de
códigos. Como los programas de utilerías, estas herramientas no están
diseñadas específicamente para usarlos en auditoría y su uso requiere un
cuidado adicional.
• Las rutinas de
auditoría incorporadas a veces están integradas en un sistema de
computadoras de una entidad para proporcionar datos de uso posterior por el
auditor. Incluyen:
— Fotos instantáneas: Esta
técnica implica tomar una foto de una transacción mientras fluye por los
sistemas de computadora. Las rutinas del software de auditoría están
incorporadas en diferentes puntos de la lógica del procesamiento para
capturar imágenes de la transacción mientras avanza por las diversas etapas
del procesamiento. Esta técnica permite al auditor rastrear los datos y
evaluar los procesos de computadora aplicados a los datos.
— Archivo de revisión de
auditoría del control del sistema. Este implica incorporar módulos de
software de auditoría dentro de un sistema de aplicaciones para proporcionar
monitoreo continuo de las transacciones del sistema. La información es
reunida en un archivo especial de computadora que el auditor puede examinar.
• Las técnicas de datos
de prueba a veces se usan durante una auditoría, alimentando datos (por
ejemplo, una muestra de transacciones) en el sistema de computadora de una
entidad y comparando los resultados obtenidos con resultados
predeterminados. Un auditor podría usar datos de prueba para:
— poner a prueba controles
específicos en programas de computadora, tales como controles en línea de
contraseñas y acceso a datos;
— poner a prueba
transacciones seleccionadas de transacciones previamente procesadas o
creadas por el auditor para poner a prueba características específicas de
procesamiento de los sistemas de información de una entidad. Dichas
transacciones generalmente son procesadas por separado del procesamiento
normal de la entidad; y
— poner a prueba
transacciones usadas en un mecanismo integrado de pruebas donde se establece
una unidad modelo (por ejemplo, un departamento o empleado ficticio), a la
cual se le registran las transacciones durante el ciclo de procesamiento
normal.
Cuando se procesan los datos de prueba con el procesamiento normal de la
entidad, el auditor se asegura de que las transacciones de prueba sean
eliminadas posteriormente de los registros contables de la entidad.
El
creciente poder y sofisticación de las microcomputadoras, particularmente
laptops, ha dado como resultado otras herramientas para uso del auditor. En
algunos casos, las laptops serán enlazadas a los sistemas de computadora
central del auditor. Ejemplos de estas técnicas incluyen:
• sistemas expertos, por
ejemplo en el diseño de programas de auditoría y en la planeación de
auditoría y evaluación de riesgos;
• herramientas para evaluar
los procedimientos de un cliente para la administración de riesgos;
• papeles de trabajo
electrónicos, planeados para la extracción directa de datos de los registros
de la computadora del cliente, por ejemplo: descargar el libro mayor para
pruebas de auditoría; y
• programas de modelaje
corporativo y financiero para usar como pruebas predecibles de auditoría.
Estas técnicas son más
comúnmente conocidas como “automatización de la auditoría.”
Consideraciones en el uso de TAACs
Al planear una auditoría, el
auditor puede considerar una combinación apropiada de técnicas de auditoría
manuales y con ayuda de computadora. Al evaluar el uso de TAACs, los
factores a considerar incluyen:
• el conocimiento, pericia
y experiencia del equipo de auditoría del ambiente de CIS;
• la disponibilidad de
TAACs e instalaciones y datos adecuados de computación;
• la imposibilidad de
pruebas manuales;
• efectividad y eficiencia;
y
• oportunidad.
Antes de usar TAACs el auditor considera los controles incorporados en el
diseño de los sistemas de computadora de la entidad a los que se aplicarían
éstas para determinar cómo deberían emplearse.
Conocimiento, pericia y experiencia del equipo de auditoría del ambiente de
CIS
La
NIA 401, “Auditoría en un Ambiente de Sistemas de Información por
Computadora” trata del nivel de habilidades y competencia que necesita el
equipo de auditoría para conducir una auditoría en un ambiente de CIS.
Proporciona lineamientos para cuando un auditor delega trabajo a ayudantes
con habilidades de CIS o cuando se usa el trabajo de otros auditores o
expertos con dichas habilidades. Específicamente, el equipo de auditoría
deberá tener suficiente conocimiento para planear, ejecutar y usar los
resultados de la TAAC particular que se adopte. El nivel de conocimiento
requerido depende de la complejidad y naturaleza de la TAAC y del sistema de
información de la entidad.
Disponibilidad de TAACs e instalaciones adecuadas de computación
El
auditor deberá considerar la disponibilidad de las TAACs, instalaciones
adecuadas de computación y los sistemas de información y datos necesarios
basados en computadoras. El auditor puede planear el uso de otras
instalaciones de computación cuando el uso de TAACs en una computadora de la
entidad no es económico o no es factible, por ejemplo, a causa de una
incompatibilidad entre el programa del paquete del auditor y la computadora
de la entidad. Además, el auditor puede elegir usar sus propias
instalaciones, como microcomputadoras o laptops.
Puede requerirse la cooperación del personal de la entidad para proporcionar
las instalaciones de procesamiento en un horario cómodo, para ayudar con
actividades como la carga y ejecución de las TAACs en el sistema de la
entidad, y proporcionar copias de archivos de datos en el formato requerido
por el auditor.
Imposibilidad de pruebas manuales
Quizá no sea posible desempeñar manualmente algunos procedimientos de
auditoría porque dependen de un procesamiento complejo (por ejemplo,
análisis estadístico avanzado) o implica cantidades de datos que
sobrepasarían cualquier procedimiento manual. Además, muchos sistemas de
información por computadora desempeñan tareas para las que no hay evidencia
de copias impresas disponibles y, por lo tanto, puede no ser factible para
el auditor desempeñar las pruebas manualmente. La falta de evidencia en
copias impresas puede ocurrir en diferentes etapas del ciclo de negocios.
• La fuente de información
puede ser iniciada electrónicamente por la activación de voz, imágenes
electrónicas de datos o transferencias electrónicas de fondos en el punto de
venta. Además, algunas transacciones como descuentos y cálculo de intereses,
pueden generarse directamente por programas de computadora sin autorización
específica de las transacciones individuales.
• Un sistema puede no
producir un rastro visible de auditoría que proporcione certeza sobre la
totalidad y exactitud de las transacciones procesadas. Por ejemplo, un
programa de computadora podría cotejar las notas de entrega con las facturas
de proveedores. Además, los procedimientos de control programados como
verificación de límites de crédito de clientes, pueden proporcionar
evidencia de copia impresa sólo con base en excepciones.
• Un sistema puede no
producir informes en copia impresa. Además, un informe impreso puede
contener sólo totales resumidos mientras que los archivos de computadora
retienen los detalles de soporte.
Efectividad
y eficiencia
La
efectividad y eficiencia de los procedimientos de auditoría pueden mejorarse
usando las TAACs para obtener y evaluar la evidencia de auditoría. Las TAACs
son a menudo un medio eficiente de poner a prueba un gran número de
transacciones o controles sobre grandes volúmenes por medio de:
• analizar y seleccionar
muestras de un gran volumen de transacciones;
• aplicar procedimientos
analíticos; y
• desarrollar
procedimientos sustantivos.
Los
asuntos relacionados con la eficiencia que pueden ser considerados por el
auditor incluyen:
• el tiempo para planear,
diseñar, ejecutar y evaluar la TAAC;
• revisión técnica y horas
de asistencia;
• diseño e impresión de
formas (por ejemplo, confirmaciones); y
• disponibilidad de
recursos de computación.
Al
evaluar la efectividad y eficiencia de una TAAC, el auditor puede considerar
el uso continuo de la aplicación de la TAAC. La planeación inicial, diseño y
desarrollo de una TAAC generalmente beneficiará a las auditorías de períodos
posteriores.
Oportunidad
Ciertos datos, como detalles de transacciones, a menudo se conservan por
sólo un corto tiempo, y pueden no estar disponibles en forma legible por la
máquina para cuando el auditor lo requiere. Así, el auditor necesitará hacer
arreglos para la retención de los datos requeridos, o puede necesitar
alterar la programación del trabajo que requiera de estos datos.
Cuando el tiempo disponible
para desempeñar una auditoría sea limitado, el auditor puede planear el uso
de una TAAC, porque cumplirá con su requerimiento de tiempo mejor que otros
procedimientos posibles.
Utilización
de TAACs
Los
pasos principales que debe tomar el auditor en la aplicación de una TAAC
son:
(a)
establecer el
objetivo de aplicación de la TAAC;
(b)
determinar el
contenido y accesibilidad de los archivos de la entidad;
(c)
identificar
los archivos específicos o bases de datos que deben examinarse;
(d)
entender la
relación entre las tablas de datos cuando deba examinarse una base de datos;
(e)
definir las
pruebas o procedimientos específicos y transacciones relacionadas y saldos
afectados;
(f)
definir los
requerimientos de datos de salida;
(g)
convenir con
el usuario y departamentos de CIS, si es apropiado, en las copias de los
archivos relevantes o tablas de bases de datos que deben hacerse en la fecha
y momento apropiado del corte;
(h)
identificar al
personal que puede participar en el diseño y aplicación de la TAAC;
(i)
refinar las
estimaciones de costos y beneficios;
(j)
asegurarse que
el uso de la TAAC está controlado y documentado en forma apropiada;
(k)
organizar las
actividades administrativas, incluyendo las habilidades necesarias e
instalaciones de computación;
(l)
conciliar los
datos que deban usarse para la TAAC con los registros contables;
(m)
ejecutar la
aplicación de la TAAC; y
(n)
evaluar los
resultados.
Control de
la aplicación de la TAAC
Los
procedimientos específicos necesarios para controlar el uso de una TAAC
dependen de la aplicación particular. Al establecer el control, el auditor
considera la necesidad de:
(a)
aprobar
especificaciones y conducir una revisión del trabajo que deba desarrollar la
TAAC;
(b)
revisar los
controles generales de la entidad que puedan contribuir a la integridad de
la TAAC, por ejemplo, controles sobre cambios a programas y acceso a
archivos de computadora. Cuando dichos controles no son confiables para
asegurar la integridad de la TAAC, el auditor puede considerar el proceso de
la aplicación de la TAAC en otra instalación de computación adecuada; y
(c)
asegurar la
integración apropiada de los datos de salida dentro del proceso de auditoría
por parte del auditor.
Los procedimientos llevados
a cabo por el auditor para controlar las aplicaciones de la TAAC pueden
incluir:
(a)
participar en
el diseño y pruebas de la TAAC;
(b)
verificar, si
es aplicable, la codificación del programa para asegurar que esté de acuerdo
con las especificaciones detalladas del programa;
(c)
solicitar al
personal de computación de la entidad revisar las instrucciones del sistema
operativo para asegurar que el software correrá en la instalación de
computación de la entidad;
(d)
ejecutar el
software de auditoría en pequeños archivos de prueba antes de ejecutarlo en
los archivos principales de datos;
(e)
verificar si
se usaron los archivos correctos, por ejemplo, verificando la evidencia
externa, como totales de controles mantenidos por el usuario, y que dichos
archivos estén completos.
(f)
obtener
evidencia de que el software de auditoría funcionó según lo planeado, por
ejemplo, revisando los datos de salida y la información de control; y
(g)
establecer
medidas apropiadas de seguridad para salvaguardar la integridad y
confidencialidad de los datos.
Cuando el auditor tiene la intención de desarrollar procedimientos de
auditoría en forma concurrente con procesamiento en línea, el auditor revisa
dichos procedimientos con el personal apropiado del cliente y obtiene
aprobación antes de conducir las pruebas para ayudar a evitar la alteración
inadvertida de los registros del cliente.
Para asegurar procedimientos
de control apropiados, no se requiere necesariamente la presencia del
auditor en la instalación de computación durante la ejecución de una TAAC.
Sin embargo, esto puede proporcionar ventajas prácticas, como controlar la
distribución de los datos de salida y asegurar la corrección oportuna de
errores, por ejemplo, si se fuera a usar un archivo de entrada equivocado.
Los procedimientos de
auditoría para controlar las aplicaciones de datos de prueba pueden incluir:
• controlar la secuencia de
presentación de datos de prueba cuando se extienda a varios ciclos de
procesamiento;
• realizar corridas de
prueba que contengan pequeñas cantidades de datos de prueba antes de
presentar los datos de prueba principales de la auditoría;
• predecir los resultados
de los datos de prueba y compararlos con la salida real de datos de pruebas,
para las transacciones individuales y, en total;
• confirmar que se usó la
versión actual de los programas para procesar los datos de prueba; y
• poner a prueba si los
programas usados para procesar los datos de prueba fueron utilizados por la
entidad durante el periodo aplicable de auditoría.
Cuando el auditor utilice una TAAC, puede requerir la cooperación de
personal de la entidad con amplio conocimiento de la instalación de
computación. En estas circunstancias, el auditor puede considerar si el
personal influyó en forma inapropiada en los resultados de la TAAC.
Los
procedimientos de auditoría para controlar el uso de un software de ayuda
para la auditoría pueden incluir:
• verificar la totalidad,
exactitud y disponibilidad de los datos relevantes, por ejemplo, pueden
requerirse datos históricos para elaborar un modelo financiero;
•
revisar la razonabilidad de los supuestos usados en la aplicación del
conjunto de herramientas, particularmente cuando se usa software de
modelaje;
• verificar la
disponibilidad de recursos con habilidad en el uso y control de las
herramientas seleccionadas; y
• confirmar lo adecuado del
conjunto de herramientas para el objetivo de auditoría, por ejemplo, puede
ser necesario el uso de sistemas específicos para la industria en el diseño
de programas de auditoría para negocios con ciclos únicos.
Documentación
El
estándar de papeles de trabajo y de procedimientos de retención para una
TAAC es consistente con el de la auditoría como un todo (ver NIA 230,
“Documentación”).
Los papeles de trabajo
necesitan contener suficiente documentación para describir la aplicación de
la TAAC, tal como:
a)
Planeación
• objetivos de la TAAC;
• consideración de la TAAC
especifica que se va a usar
• controles que se van a
ejercer; y
• personal, tiempo, y
costo.
b)
Ejecución
• preparación de la TAAC y
procedimientos de prueba y controles;
• detalles de las pruebas
realizadas por la TAAC;
• detalles de datos de
entrada, procesamiento y datos de salida; e
• información técnica
relevante sobre el sistema de contabilidad de la entidad, tal como la
organización de archivos.
c)
Evidencia de auditoría
• datos de salida
proporcionados;
• descripción del trabajo
de auditoría desarrollado en los datos de salida; y
• conclusiones de
auditoría.
d) Otros
• recomendaciones a la
administración de la entidad,
• además, puede ser útil
documentar las sugerencias para usar la TAAC en años futuros.
Utilización
de TAACs en ambientes de CIS
en entidades pequeñas
Aunque los principios generales explicados en esta declaración se aplican a
ambientes de CIS en entidades pequeñas, los siguientes puntos necesitan
consideración especial:
(a)
El nivel de
controles generales puede ser tal que el auditor deposite menos
confiabilidad en el sistema de control interno. Esto dará como resultado un
mayor énfasis sobre pruebas de detalles de transacciones y saldos y
procedimientos analíticos de revisión, lo que puede incrementar la
efectividad de ciertas TAACs, particularmente software de auditoría.
(b)
Cuando se procesan volúmenes menores de datos, los métodos manuales
pueden ser de costo más efectivo.
(c)
Una entidad
pequeña quizá no pueda proporcionar al auditor ayuda técnica adecuada,
haciendo poco factible el uso de TAACs.
Ciertos
programas de auditoría en paquete pueden no operar en computadoras pequeñas,
restringiendo así la opción del auditor en cuanto a TAACs. Sin embargo, los
archivos de datos de la entidad pueden copiarse y procesarse en otra
computadora adecuada.
|
