Buscar este blog

martes, 24 de septiembre de 2013

Propuesta del Sistema de Acciones para la implementación de la Auditoría con Informática

En la actualidad existe un gran avance de la tecnología de la información y con este un nuevo concepto Auditoría con Informática. De ahí la necesidad de un sistema de acciones, conjunto de normas o procedimientos para regular la actividad de la auditoría con informática y el papel del especialista de esta actividad.
Con el auge de la revolución tecnológica dentro del mundo empresarial nacen nuevas tecnologías informáticas en la economía, desarrollándose Sistemas informáticos para el procesamiento electrónico de la información, condicionando la existencia y el desarrollo de un nuevo concepto Auditoría con Informática.
Hay especialistas que opinan que la auditoría de gestión financiera con el uso de recursos informáticos, se denomina Auditoría Informática, sin embargo otros opinan que este término debe ser exclusivo de las auditorías que se hacen a la función informática.
Zavaro y Martínez expresan dos definiciones de la misma
Auditoría Informática: “Conjunto de procedimientos y técnicas que permiten en una entidad: evaluar, total o parcialmente, el grado en que se cumplen la observancia de los controles internos asociados al Sistema informático; determinar el grado de protección de sus activos y recursos; verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informática y general existentes en la entidad, y para conseguir la eficacia exigida en el arco de la organización correspondiente”
Auditoría con la informática: “utilización de las técnicas de auditoría asistida por computadora”
Blanco (2) dice al respecto: “La Auditoría Informática representa un cambio cualitativo total con respecto a la mal llamada auditoría tradicional. La Auditoría Informática es una actividad que cada vez gana más autonomía y personalidad. En realidad, es un conjunto de métodos y técnicas de trabajo, vinculados a la problemática de conservar adecuadamente los recursos informativos de las entidades y de avalar la autenticidad, corrección e integridad de las informaciones de estas...”
Liuba Loy Marichal (3) considera que se puede definir a la auditoría informática como el examen objetivo, crítico, sistemático y selectivo de las políticas, normas, prácticas, procedimientos y procesos para dictaminar respecto a la economía, eficiencia y eficacia de la utilización de las tecnologías de la información; la integridad, confiabilidad, oportunidad y validez de la información y la efectividad de los controles en las áreas, las aplicaciones, los Sistemas de redes u otros vinculados al desarrollo de la información.
En la actualidad hablar de una auditoría tradicional es utilizar un término anticuado. Se puede definir que la auditoría actual se realiza con y sobre la informática. Por eso se hace imperiosa la necesidad de incorporar especialistas informáticos en los grupos de auditores financieros, formando equipos multidisciplinarios capaces de incursionar en las auditorías informáticas y que sirvan de apoyo a las auditorías financieras.
¿Se deberá calificar la auditoría financiera con el uso de recursos de la informática, cómo auditoría informática?El Comité de Prácticas de Auditoría, en su NIA 15 (norma internacional de auditoría), usó el término: “Auditoría en un ambiente de información por computadoras”, expresando que era aplicable: “Cuando está involucrada una computadora de cualquier tipo o tamaño en el procesamiento por la entidad de información financiera de importancia para la auditoría, ya sea que dicha computadora sea operada por la entidad o por una tercera parte” (4).
La Auditoría con Informática constituye un método de control superior, cuyo principal objetivo está dirigido a brindar un servicio de asistencia constructiva y crear una expectativa favorable de prevención y seguridad. La práctica para la ejecución de toda auditoría, se rige por un conjunto de normas y procedimientos generalmente aceptados.
Según el diccionario Vox, un Sistema: “es un conjunto ordenado de normas y procedimientos que regulan el funcionamiento de un grupo o colectividad”. (Diccionario Vox, 2003) y la palabra acciones: “indica actividad o movimiento”. (Diccionario Vox, 2003). Por tanto un sistema de acciones, en este caso lo que se está proponiendo, es el conjunto de normas o procedimientos que se plantea para regular la actividad de la auditoría con informática. Este sistema de acciones es el resultado de un trabajo exhaustivo, investigativo y profundo de las diferentes normas y los diferentes procedimientos que se utilizan en Cuba y el mundo.
Al estar soportadas hoy las operaciones contables mediante sistemas automatizados utilizando las Tecnologías de la Información y las Comunicaciones (TIC), se aprecia cada vez más clara, la necesidad de incorporar a la auditoría contable un auditor informático y acciones de estas tecnologías en la auditoría.
Basado en las Normas Cubanas de Auditoría (NCA 100) (5), el sistema de acciones a seguir para la ejecución de una auditoría con informática consta de cuatro fases, las cuales son:
  1. Planificación
  2. Ejecución
  3. Informe
  4. Seguimiento
La Planeación según NCA 100 (5) es la que determina el logro de los niveles de gestión óptimos (economía, eficiencia y eficacia) en el proceso de la auditoría; si se realiza una adecuada planeación, el resto de las fases alcanzan la calidad requerida.
El objetivo principal de la Planeación según NCA 400 (5) es garantizar la realización de una auditoría con calidad, definir los riesgos y determinar adecuada y razonablemente los procedimientos de auditoría que correspondan aplicar, cómo y cuándo se ejecutarán, para que se cumpla la actividad en forma eficiente y efectiva. Lo anterior, debe incluir los recursos técnicos, humanos y financieros necesarios para llevarla a cabo. La planeación es un proceso continuo e interactivo, comienza desde el estudio previo realizado a la entidad y continúa hasta la terminación del trabajo de auditoría.
Se definen cuatros fases de transición de la planeación:
  1. Estudio previo.
  2. Conocimiento del sujeto a auditar.
  3. Planificación.
  4. Mejora.
Primera fase: Estudio previo
Esta fase se realiza antes de iniciar la auditoría en el terreno, con período de antelación, constituye una etapa muy importante en la planeación de la auditoría porque se obtiene una información general del sujeto a auditar.
Para dicho estudio han de examinarse las funciones y actividades generales de la informática. Para su realización tanto el equipo auditor como el auditor informático deben conocer al menos lo siguiente:
Organización: Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto el auditor deberá fijarse en:
Organigrama: Refleja la estructura oficial de la organización a auditar.
Departamentos: Son los órganos que siguen inmediatamente a la dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos.
Relaciones Jerárquicas y funcionales entre órganos de la Organización: Es la verificación del cumplimiento de las relaciones funcionales y jerárquicas previstas por el organigrama, o por el contrario detectará, si algún empleado tiene dos jefes. Las relaciones de jerarquía implican la correspondiente subordinación. Las funcionales por el contrario, indican relaciones no estrictamente subordinables.
Flujos de Información: La estructura organizativa produce corrientes de información verticales intradepartamentales (dentro de los departamentos) y corrientes horizontales y oblicuas extradepartamentales (fuera de los departamentos). Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. Las organizaciones, en ocasiones, crean canales alternativos de información porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa. Estos flujos de información son indeseables y producen graves perturbaciones en la organización.
Entorno Operacional: El auditor informático debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando la ubicación geográfica de los distintos Centros de Proceso de Datos de la empresa.
Situación geográfica de los Sistemas: Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. El auditor informático, en su estudio inicial, debe tener en su poder la distribución e interconexión de los equipos.
Arquitectura y configuración de Hardware y Software: El auditor informático recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remoto, periféricos de todo tipo, entre otros. El inventario de software debe contener todos los productos lógicos del sistema, necesita conocer los sistemas contables que se usan para el control de la economía, las características y funcionamiento de cada uno de ellos.
Cantidad y complejidad de Bases de Datos y Ficheros: El auditor informático recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los ficheros, así como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visión aceptable de las características de la carga informática y también le ayudarán a determinar que herramientas podrá usar para la ejecución de la auditoría al Sistema.
Segunda fase: Conocimiento del sujeto a auditar
Se comienza la auditoría en el terreno y se actualizan los aspectos que han variado de la información obtenida en el estudio previo. Esta fase tiene como propósito evaluar a priori el Sistema de Control Interno del sujeto a auditar, determinando la existencia de limitaciones y riesgos en los procesos, actividades y operaciones que conllevan al incumplimiento de leyes, reglamentos y procedimientos.
Tercera fase: Planificación
Es muy importante para el auditor informático conocer bien el entorno informático dónde se controla la información económica, debe tener muy presente la determinación de la materialidad, así como de la evaluación de riesgos, esto lo ayudará a planificar mejor su trabajo y realizar una auditoría con calidad.
Esta fase tiene como objetivo determinar y planificar la naturaleza, oportunidad, alcance y diseñar metodología y programa que permita conseguir los objetivos propuestos.
Objetivos y Alcance.
De una auditoría es necesario conocer, con precisión, que objetivos se persiguen. Una vez determinados los objetivos, el auditor tendrá presente que estos se añadirán a los dos objetivos generales y comunes a toda auditoría con informática, la verificación de la operatividad de los sistemas, la confiabilidad y del cumplimiento de los procedimientos y normativas establecidas (Comprobar si un sistema se encuentra certificado por la organización superior facultada, que puede ser a nivel gubernamental).
El alcance de la auditoría expresa el grado de profundidad en el análisis de los aspectos a auditar en estrecha correspondencia con los resultados obtenidos de las dos fases anteriores de transición de la planeación. Es preciso que haya un acuerdo preciso entre auditores y auditados sobre las funciones, las materias, y las áreas informáticas que serán auditadas.
Determinación de Recursos Necesarios para efectuar la Auditoría con Informática
Por razón de los resultados del estudio inicial, se determinarán los recursos humanos y materiales que han de emplearse en la auditoría:
Recursos humanos:
La dificultad de aunar la función del auditor financiero a la función informática constituye un significativo reto que impone transformaciones experimentadas en este campo. Existen excelentes auditores financieros y excelentes informáticos, pero no es habitual la simbiosis necesaria entre ambos.
La aplicación de ambos procedimientos en la ejecución de una auditoría dada no queda excluida, ya que en determinados momentos el auditor, puede demandar, a pesar de contar con un conjunto de herramientas informáticas y de poseer experiencia en su aplicación, de la participación interactiva del especialista en informática por encontrarse ante un hallazgo que demanda de un elevado grado de especialización, no obstante, en esto lo más importante es el trabajo conjunto de auditores y especialistas en informática, lo cual, además de resolver necesidades puntuales, producirá un constante enriquecimiento de los procedimientos de trabajo, en el empleo de estos sistemas, auditores para el trabajo de la auditoría a las bases de datos y en el perfeccionamiento de los mismos, a partir de la experiencia acumulada mediante un programa de trabajo previamente coordinado.
Por tanto, es necesario que el equipo de auditoría financiera cuente con un profesional informático, en este caso, en su función de auditor informático puesto que él mismo con su experiencia en sistemas operativos, software básico, administración de bases de datos, entre otros; facilitará el trabajo al equipo de auditoría, siendo este responsable de la utilización de las herramientas informáticas para auditar las bases de datos de los sistemas contables y realizar el resto de las pruebas relacionadas.
Recursos materiales:
Los fundamentales recursos materiales a determinar, tomando en consideración los medios portátiles con que cuenta el auditor informático, son:
Recursos materiales software: Programas propios de la auditoría. Son muy potentes y flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.
Recursos materiales hardware: Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las computadoras del auditado. Para lo cual habrá de convenir, tiempo de máquina, espacio de disco, impresoras ocupadas, entre otras. Con el uso de  herramientas de auditoría puestas en manos del auditor informático, las bases de datos de la contabilidad, previamente seleccionadas, pueden ser cargadas en los medios portátiles de dicho auditor y este proceder a su análisis sin continuar utilizando los medios del auditado y sobre todo su tiempo.
Los programas de auditoría
Según NCA 400 (5) La elaboración de los programas de auditoría corresponde al supervisor y al jefe de grupo estableciendo una serie ordenada de operaciones necesarias para facilitar la planificación, ejecución y evaluación del trabajo, que encamina al auditor en métodos y sistemas del asunto a comprobar. Se desarrollan a partir del conocimiento del sujeto a auditar y sus sistemas, los que se elaboran con el fin de determinar los objetivos, alcance, procedimientos detallados y oportunidad de su aplicación. Pueden ser específicos o de general aplicación y variar en forma y contenido dependiendo de la naturaleza del trabajo a realizar.
Una vez asignados los recursos, se establece un plan de trabajo. Decidido éste, se procede a la programación del mismo. El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:
Motivos de la auditoría: La razón que originó la auditoría, que puede ser en cumplimiento del plan anual, ha pedido de la entidad, entre otras.
Objetivos y alcance de la auditoría: Se debe precisar las prioridades de materias auditables, de acuerdo siempre con las prioridades del auditado y los fines que va a lograr la ejecución de los exámenes a realizar.
Tipo de auditoría: Interna o externa (regular, especial o recurrente).
Recursos estimados: Según la magnitud, el número de auditores necesarios y las especialidades, así como la ayuda que el auditor ha de recibir del auditado.
Duración de la auditoría: Se registrará la fecha de inicio y terminación y el tiempo necesario, para la ejecución de las dos fases restantes (ejecución de la auditoría y confección y redacción del informe final).
Metodología de trabajo: Se hace referencia a reglas y normas a las que se sujetará el grupo de trabajo, como son: responsabilidad de cada auditor, documentos que deben entregar al jefe de equipo, forma y periodicidad de entrega de informes de avance de trabajo, resultados de la terminación de cada fase, entre otros.
Una vez elaborado el plan, se procede a la programación de actividades. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto. Este es uno de los pasos más importantes para la ejecución de la próxima fase, entre ellos:
  • Se toman en consideración las áreas establecidas como criticas.
  • Se asignan recursos humanos y materiales concretos para cada sector del plan.
  • Se establece el calendario real de actividades a realizar.
Cuarta fase: Mejora
El auditor durante el proceso de ejecución de la auditoría o concluido este proceso, en caso de detectar hallazgos no contemplados en las fases anteriormente, puede realizar ajustes en el plan de trabajo general de la auditoría.
Una planeación adecuada constituye la fase más importante del proceso de auditoría porque contribuye a conseguir los objetivos propuestos, siendo el papel del supervisor y el jefe de grupo los roles más importantes.
Ejecución
Según las NCA 100 (5) la Ejecución consiste  en la aplicación del programa de auditoría con la finalidad de alcanzar los objetivos propuestos, la que permite obtener la evidencia suficiente, competente y relevante. Se realizan actividades como:
  • Aplicación de pruebas sustantivas y de cumplimiento y recopilación de la evidencia.
  • Determinación de desviaciones: hallazgos de la auditoría.
  • Brindar la notificación de los resultados parciales de la auditoría.
La esencia del auditor informático es la auditoría a sistemas computarizados en explotación auxiliándose de los programas de auditoría, para asegurar que en un sistema no se han cometido ni errores ni fraudes, esto se logra mediante pruebas requeridas que detecte el nivel de confiabilidad del procesamiento de la información del sistema.
Las principales pruebas que realizará el auditor son las siguientes (3):
  • Pruebas de cumplimiento de controles.
  • Pruebas o procedimientos sustantivas.
En algunas circunstancias, las evidencias pueden ser obtenidas completamente de los procedimientos sustantivos.
Las pruebas de control tienen como objetivo determinar si los controles internos descritos en la documentación de usuarios del sistema, se usan y funcionan efectivamente. Según la NCA 700 (5) comprende las pruebas realizadas para obtener evidencia de auditoría sobre la adecuación del diseño y operación efectiva sobre los sistemas de contabilidad.
Las pruebas sustantivas se usan para comprobar si hay errores o fraudes. Según la NCA 700 (5) son pruebas realizadas para obtener evidencia de la auditoría para detectar representaciones erróneas de importancia relativa en los Estados Financieros. Las Acciones encaminadas a obtener evidencia de auditoría pueden ser de dos tipos:
  • Pruebas de detalles de transacciones y saldos.
  • Procedimientos analíticos
Las pruebas de control y las sustantivas se adaptarán al ambiente informatizado, por lo que deberán ser diseñadas en consecuencia, y el auditor informático utilizara métodos tales como:
  • Auditoría a la información de entrada y salida al sistema
  • Auditoría a las bases de datos del sistema
  • Auditoría a los programas del sistema
Mediante la aplicación de técnicas y procedimientos de auditoría se obtiene resultados denominados Hallazgo de la auditoría que sirven como base al auditor para la confección del informe de auditoría.
Pruebas de cumplimiento de controles
Las Pruebas de Control su objetivo es determinar si los controles internos descritos en la documentación de usuario del sistema, verdaderamente se usan y funcionan efectivamente. El auditor informático deberá:
  • Utilizar datos de prueba (ficticios o reales), controladas por el auditor que produzcan en los programas efectos previstos. Los efectos deben ser todos los posibles.
  • Analizar los programas que se están utilizando, para evaluar las rutinas de validación y control existentes.
  • Realizar simulación paralela mediante un sistema de prueba análogo al que se audita. Si los resultados obtenidos son similares se supone que trabaje adecuadamente.
  • La combinación de las anteriores.
Si la prueba del control mediante los datos o mediante la revisión del programa no es satisfactoria, el auditor informático precisará de las pruebas sustantivas, para conocer el efecto que ha producido ese control débil o inadecuado.
Pruebas sustantivas
El objetivo de las Pruebas Sustantivas es detectar errores y fraudes. En este caso el auditor informático, con la ayuda del software de auditoría, realizará:
Auditoría a las bases de datos: buscar informaciones anormales en bases de datos.
Auditoría a las entradas y salidas: analizar las informaciones que entran y salen del sistema informático.
Análisis de las transacciones: realizar búsquedas en los ficheros de transacciones, tanto de entradas, como generadas automáticamente por el sistema, para detectar alteraciones indebidas en las mismas, repeticiones anormales, entre otras.
Auditoría desde el Sistema: crear un subsistema que se añade al sistema auditado, desde su creación e implantación, el cual registrará determinados hechos, a solicitud del auditor, el cual, en el momento de la auditoría, lee las bases de datos de ese subsistema para obtener datos que describan el funcionamiento del sistema principal.
Software de auditoría
La utilización de software de auditoría para la revisión de las bases de datos e informaciones contenidas en el software de contabilidad de una entidad auditada, es para el auditor informático una herramienta importante de apoyo en la realización de pruebas sustanciales y la verificación de las operaciones objeto de examen.
Existen software especializados para realización de una auditoría informática como WinIdea (Interactive Data Extraction and  Analysis for Windows) y ACL ambos de origen canadiense.
Con el uso de estas herramientas el auditor informático, realizará una auditoría más eficiente y podrá detectar con más facilidad y seguridad si se ha manipulado la información durante su procesamiento y si se han cometido fraudes o errores.
Informe
Esta fase consiste en la elaboración del informe de los resultados de la auditoría, NCA 100 (5) y se realizan actividades como:
  • Elaboración del informe de la auditoría
  • Informar el resultado final de la auditoría al sujeto auditado.
  • Emisión del informe de la auditoría.
Según NCA 1200 (5) el informe de auditoría debe expresar por escrito la opinión a la cual arriba el grupo de auditoría, que trasmita con seguridad y claridad el cumplimiento de los objetivos propuestos, sustentados por las evidencias suficientes, competentes y relevantes obtenidas en el curso de la auditoría.
El auditor informático de sistemas contables, al estar integrado al grupo de auditores contables, no realiza un informe de auditoría, sino una notas del trabajo que irán al informe final y sus papeles de trabajo que van al expediente de la auditoría.
En resumen la confección y redacción de las notas del auditor informático deben ser:
  • Exactas, claras, concisas, oportunas y corteses
  • Descripción de la deficiencia (¿Qué estuvo errado?).
  • Criterio aplicado (¿Por qué estándares fue juzgado?).
  • Efecto de la deficiencia (¿Qué efectos tuvo?).
  • Causa de la deficiencia (¿Qué sucedió?).
  • Recomendaciones del auditor para la acción correctiva (¿Cuál es la solución?).
Seguimiento
Esta fase es el seguimiento a la presentación por el sujeto auditado  del plan de medidas, así como de las medidas disciplinarias propuestas y adoptadas con los responsables directos y colaterales, según las NCA 100 (5).
Emitir criterios de la propuesta de las medidas disciplinarias presentadas por la entidad auditada.
Revisar el Plan de Medidas presentado por el sujeto auditado, así como las medidas disciplinarias adoptadas con los responsables directos y colaterales, y hacer llegar las consideraciones dentro de los diez días siguientes de su presentación al referido sujeto.
Aunque no estén definidos los límites entre las fases de la auditoría: Planeación, Ejecución, Informe y Seguimiento, es importante que el auditor reconozca su existencia y realice sus labores de acuerdo a cada una de ellas, lo que permite una revisión y supervisión adecuada desde su inicio hasta la aprobación del informe de la auditoría.
Conclusiones
Se confeccionó un Sistema de Acciones para la implementación de la Auditoría con Informática basado en las Normas Cubanas de Auditoría que con la intervención de un auditor informático y el uso de softwares de Auditoría, que permitirán que la auditoría financiera opere en un ambiente de eficiencia y mayor confiabilidad. Para cada una de las acciones se hace una breve descripción de los aspectos a tener en cuenta para la realización de las mismas.
Se describió la acción de principales pruebas (de cumplimiento de controles y sustantivas), con la intervención de un auditor informático y el empleo de las herramientas WinIdea y ACL para la realización de auditorías a los Sistemas contables, que permitirán que la auditoría financiera opere en un ambiente de eficiencia y mayor confiabilidad.
Referencias Bibliográficas.
  1. Zavaro Babani, León y Martínez García, Ceferino.Auditoría Informática. Cimex. La Habana : s.n., 1999
  2. Blanco, L.La auditoría de los Sistemas automatizados: una introducción a su estudio. La Habana : Revista “Economía y desarrollo” Pp. 21-45, 1982. No. 67.
  3. Auditoría con Informática a Sistemas Contables. Martínez, Yeiniel Alfonso, Blanco Alfonso, Briseida y Loy Marichal, Liuba.No.2, Matanzas : Revista de Arquitectura e Ingeniería, 2012, Vol. Vol.6. ISSN 1990-8830.
  4. Comité Internacional de Prácticas de Auditoría.. Codificación de normas internacionales de auditoría (NIAs) y declaraciones internacionales de auditoría. Editado por el Instituto Mexicano de Contadores Públicos. México D.F. 1995. p.135.
  5. Resolución No. /2012 de la Contraloría General de la República, Normas Cubana de Auditoría, Tema I: Auditoría y revisión de la información. 2012.
  6. Distribuidor Internacional de WinIdea con sede en Canada. [En línea] caseware.com
  7. Fonseca, Guillermo Wood.Curso de Introducción a la auditoría con Informática. pág 28. Revista auditoría y control. Editada por: Ministerio de Auditoría y Control. No 5 del 2002. 57pp.
  8. Toraño, LF. Peréz.Auditoría de Estados Financieros. México : s.n., 1999.
  9. Contraloría General de la República de Cuba. Resolución No. 60/11. 2011

No hay comentarios:

Publicar un comentario