Auditoría en un entorno informático

Relevante para los Documentos de nivel básico FAU y Documentos de calificación ACCA F8 y P7

Aspectos específicos de la auditoría en un entorno informático

La tecnología de la información (TI) es parte integral de los sistemas modernos de información contable y de gestión. Por lo tanto, es imperativo que los auditores sean plenamente conscientes de las repercusiones de esa información en la auditoría de los estados financieros de un cliente, tanto en el contexto de la forma en que el cliente la utiliza para reunir, procesar y presentar información financiera en sus estados financieros, como en el de la forma en que el auditor puede utilizarla en el proceso de auditoría de los estados financieros.
El propósito de este artículo es proporcionar orientación sobre los siguientes aspectos de la auditoría en un entorno de contabilidad basado en computadora:

  • Controles de aplicación, incluidos los controles de entrada, procesamiento, salida y archivos maestros establecidos por un cliente de auditoría, sobre su sistema de contabilidad basado en ordenador y
  • Técnicas de auditoría asistida por ordenador (CAAT) que pueden ser empleadas por los auditores para probar y concluir la integridad del sistema de contabilidad basado en ordenador de un cliente.

Las preguntas de examen sobre cada uno de los aspectos identificados anteriormente a menudo son respondidas con un estándar inadecuado por un número significativo de estudiantes, de ahí la razón de este artículo.
Se ocupa de los controles de aplicación y de los CAAT a su vez:
CONTROLES DE APLICACIÓN
Los controles de aplicación son aquellos controles (manuales e informatizados) que se refieren a la transacción y a los datos permanentes correspondientes a un sistema de contabilidad informatizado. Son específicos de una aplicación determinada y su objetivo es garantizar la integridad y exactitud de los registros contables y la validez de los asientos que figuren en ellos. Un sistema informático eficaz garantizará que existan controles adecuados en las etapas de entrada, procesamiento y salida del ciclo de procesamiento informático y en los datos permanentes contenidos en los archivos maestros. El auditor debe verificar, registrar y evaluar los controles de aplicación como parte del proceso de determinación del riesgo de inexactitudes significativas en los estados financieros del cliente de auditoría.
Controles de entrada
Las actividades de control diseñadas para garantizar que la entrada está autorizada, completa, precisa y oportuna se denominan controles de entrada. Dependiendo de la complejidad del programa de aplicación en cuestión, dichos controles variarán en términos de cantidad y sofisticación. Entre los factores que deben tenerse en cuenta para determinar estas variables figuran consideraciones de costos y requisitos de confidencialidad con respecto a la entrada de datos. Los controles de entrada comunes a los programas de aplicación más eficaces incluyen mecanismos de solicitud en pantalla (por ejemplo, una solicitud para que un usuario autorizado ‘inicie sesión’) y un mecanismo para producir una pista de auditoría que permita al usuario rastrear una transacción desde su origen hasta su disposición en el sistema.
Las comprobaciones de validación de entrada específicas pueden incluir:
Comprobaciones de formato
Estas aseguran que la información se introduce en la forma correcta. Por ejemplo, el requisito de que la fecha de una venta en voz se introduzca solo en formato numérico, no numérico y alfanumérico.
Controles de rango
Estos aseguran que la entrada de información sea razonable de acuerdo con las expectativas. Por ejemplo, cuando una entidad rara vez, si es que alguna vez, realiza compras al por mayor con un valor superior a 5 50,000, se rechaza una factura de compra con un valor de entrada superior a 5 50,000 para su revisión y seguimiento.
Comprobaciones de compatibilidad
Estas aseguran que la entrada de datos de dos o más campos es compatible. Por ejemplo, el valor de una factura de venta debe ser compatible con el importe del impuesto sobre las ventas que se cobra en la factura.
Comprobaciones de validez
Estas aseguran que la entrada de datos es válida. Por ejemplo, cuando una entidad opera un sistema de costos de trabajo, la entrada de costos a un trabajo completado previamente debe rechazarse como no válida.
Comprobaciones de excepción
Estas comprobaciones garantizan que se produzca un informe de excepción que resalte situaciones inusuales que hayan surgido tras la entrada de un elemento específico. Por ejemplo, el llevar adelante un valor negativo para el inventario.
Controles de secuencia
Estos controles facilitan el procesamiento completo al garantizar que los documentos procesados fuera de secuencia sean rechazados. Por ejemplo, en los casos en que se emitan notas de recepción de mercancías pre numeradas a ac knowledge the receipt de mercancías en el inventario físico, se rechazará cualquier entrada de notas fuera de secuencia.
Totales de control
Estos también facilitan la integridad del procesamiento al garantizar que los totales de control preparados manualmente y previos a la entrada se comparen con la entrada de totales de control. Por ejemplo, los totales no coincidentes de un “lote” de facturas de compra deberían dar lugar a una solicitud de usuario en pantalla o a la producción de un informe de excepción para el seguimiento. El uso de los totales de control de esta manera también se conoce comúnmente como controles de salida (véase más adelante).
Verificación de dígitos de verificación
Este proceso utiliza algoritmos para garantizar que la entrada de datos sea precisa. Por ejemplo, los códigos de referencia numéricos válidos de proveedores generados internamente deben formatearse de tal manera que cualquier entrada de facturas de compra con un código incorrecto se rechace automáticamente.
Controles de procesamiento
Existen controles de procesamiento para garantizar que toda la entrada de datos se procesa correctamente y que los archivos de datos se actualizan de manera adecuada y precisa en el momento oportuno. Los controles de procesamiento para un programa de aplicación específico deben diseñarse y probarse antes de que se ejecute “en vivo” con datos reales. Por lo general, pueden incluir el uso de controles de ejecución a ejecución, que garantizan que la integridad de los totales acumulados contenidos en los registros contables se mantenga de una ejecución de procesamiento de datos a la siguiente. Por ejemplo, el saldo arrastrado a la cuenta bancaria en el libro mayor general (nominal) de una empresa. Otros controles de procesamiento deben incluir el procesamiento posterior de los datos rechazados en el punto de entrada, por ejemplo:

  • Una computadora produjo una impresión de artículos rechazados.
  • Instrucciones formales por escrito en las que se notifica al personal de tratamiento de datos los procedimientos a seguir en relación con los artículos rechazados.
  • Investigación/seguimiento adecuados con respecto a los artículos rechazados.
  • Evidencia de que los errores rechazados han sido corregidos y reingresados.

Controles de salida
Los controles de salida existen para garantizar que todos los datos se procesan y que la salida se distribuye solo a los usuarios autorizados prescritos. Si bien el grado de control de los resultados variará de una organización a otra (en función de la confidencialidad de la información y del tamaño de la organización), los controles comunes comprenden::

  • Uso de totales de control por lotes, como se ha descrito anteriormente (véase “controles de entrada”).
  • Revisión y seguimiento adecuados de la información del informe de excepciones para garantizar que no haya elementos de excepción pendientes de forma permanente.
  • Programación cuidadosa del procesamiento de datos para ayudar a facilitar la distribución oportuna de información a los usuarios finales.
  • Instrucciones formales por escrito en las que se notifica al personal de tratamiento de datos los procedimientos de distribución prescritos.
  • Supervisión permanente por un funcionario responsable de la distribución de la producción, para garantizar que se distribuye de conformidad con la política autorizada.

Controles de archivos maestros
El propósito de los controles de archivos maestros es garantizar la integridad continua de los datos permanentes contenidos en los archivos maestros. Es de vital importancia que se ejerzan controles estrictos de “seguridad” sobre todos los archivos maestros.
Estos incluyen:

  • uso adecuado de contraseñas, para restringir el acceso a los datos del fichero maestro
  • el establecimiento de procedimientos adecuados para la modificación de los datos, que incluyan una adecuada separación de funciones, y la facultad de modificación restringida a las personas responsables adecuadas
  • control periódico de los datos del fichero maestro a los datos autorizados, por un funcionario responsable independiente
  • controles de tratamiento de la actualización de los ficheros maestros, incluido el uso de recuentos de registros y totales de control.

TÉCNICAS DE AUDITORÍA ASISTIDA POR ORDENADOR (CAAT)
La naturaleza de los sistemas de contabilidad basados en ordenador es tal que los auditores pueden utilizar el ordenador de la empresa cliente de auditoría, o el suyo propio, como herramienta de auditoría, para ayudarles en sus procedimientos de auditoría. El grado en que un auditor puede elegir entre usar CAATs y técnicas manuales en un compromiso de auditoría específico depende de los siguientes factores:

  • la practicidad de llevar a cabo pruebas manuales
  • la rentabilidad del uso de CAATs
  • la disponibilidad del tiempo de auditoría
  • la disponibilidad de las instalaciones informáticas del cliente de auditoría
  • el nivel de experiencia en auditoría y experiencia en el uso de un CAAT especificado
  • el nivel de CAATs llevado a cabo por la función de auditoría interna del cliente de auditoría y la medida en que el auditor puede confiar en este trabajo.

Hay tres clasificaciones de CAATs, a saber::

  • Software de auditoría
  • Datos de prueba
  • Otras técnicas

El software de auditoría
es un término genérico utilizado para describir programas informáticos diseñados para llevar a cabo pruebas de control y/o procedimientos sustantivos. Estos programas pueden clasificarse como:
Programas empaquetados
Estos consisten en programas generalizados preparados previamente utilizados por los auditores y no son “específicos del cliente”. Pueden utilizarse para llevar a cabo numerosas tareas de auditoría, por ejemplo, para seleccionar una muestra, ya sea estadística o de juicio, durante los cálculos aritméticos y comprobar si hay lagunas en el procesamiento de secuencias.
Programas escritos de propósito
Estos programas suelen ser “específicos del cliente” y pueden utilizarse para llevar a cabo pruebas de control o procedimientos sustantivos. Los programas informáticos de auditoría pueden comprarse o desarrollarse, pero en cualquier caso el plan de auditoría de la sociedad de auditoría debe garantizar que se adopten disposiciones para garantizar que los programas especificados sean adecuados para el sistema del cliente y las necesidades de la auditoría. Por lo general, pueden utilizarse para volver a llevar a cabo procedimientos de control informatizados (por ejemplo, cálculos del costo de las ventas) o tal vez para llevar a cabo un análisis de antigüedad de los saldos de créditos comerciales (deudores).
Programas de consulta
Estos programas son parte integral del sistema de contabilidad del cliente; sin embargo, pueden adaptarse para fines de auditoría. Por ejemplo, cuando un sistema prevé la presentación de informes rutinarios “mensuales” de los empleados que empiezan y dejan de trabajar, el auditor puede utilizar esta facilidad al auditar los sueldos y salarios en los estados financieros del cliente. Del mismo modo, un auditor podría utilizar un mecanismo para informar de los saldos pendientes de pago (acreedores) de operaciones de larga data al verificar el valor declarado de los acreedores.
Datos de prueba
Datos de prueba de auditoría
Los datos de prueba de auditoría se utilizan para probar la existencia y eficacia de los controles integrados en un programa de aplicación utilizado por un cliente de auditoría. Como tal, las transacciones ficticias se procesan a través del sistema informatizado del cliente. Los resultados del procesamiento se comparan con los resultados esperados del auditor para determinar si los controles funcionan de manera eficiente y si se está logrando la objetividad de los sistemas. Por ejemplo, dos operaciones de pago bancarias ficticias (una dentro y otra fuera de los parámetros autorizados) pueden procesarse con la expectativa de que el sistema solo “acepte” la operación procesada dentro de los parámetros. Es evidente que si las transacciones ficticias procesadas no producen los resultados esperados, el auditor tendrá que considerar la necesidad de aumentar los procedimientos sustantivos en la esfera que se examina.
Instalaciones de prueba integradas
Para evitar el riesgo de dañar el sistema de cuentas de un cliente, al procesar datos de prueba con otros datos “en vivo” del cliente, los auditores pueden instigar ejecuciones especiales de procesamiento de “solo datos de prueba” para datos de prueba de auditoría. La principal desventaja de esto es que el auditor no tiene total seguridad de que los datos de prueba se estén procesando de manera similar a los datos en vivo del cliente. Para resolver este problema, el auditor puede, por lo tanto, pedir permiso al cliente para establecer un centro de ensayo integrado dentro del sistema de contabilidad. Esto implica el establecimiento de una unidad ficticia, por ejemplo, una cuenta ficticia de proveedor con la que se procesan los datos de prueba del auditor durante las operaciones normales de procesamiento.
Otras técnicas
Esta sección contiene información básica útil para mejorar su comprensión general.
Otras CAAT incluyen:
Instalaciones de auditoría integradas (EAF)
Esta técnica requiere que el propio código de programa del auditor se incruste (incorpore) en el software de aplicación del cliente, de modo que se puedan llevar a cabo procedimientos de verificación según sea necesario en los datos que se están procesando. Por ejemplo, las pruebas de control pueden incluir la repetición de comprobaciones de validación de entradas específicas (véanse los controles de entrada anteriores): las transacciones seleccionadas pueden ser “etiquetadas” y seguidas a través del sistema para determinar si el sistema informático ha aplicado los controles y procesos establecidos a esas transacciones. Las CES deben velar por que los resultados de los ensayos se registren en un archivo especial seguro para su posterior revisión por el auditor, que debe poder llegar a conclusiones sobre la integridad de los controles de tratamiento en general, a partir de los resultados de los ensayos. Otro EAF, de los diez ignorados por los estudiantes, es el de un programa de revisión analítica que permite el desempeño simultáneo de procedimientos de revisión analítica en datos de clientes a medida que se procesan a través del sistema automatizado.
Examen del programa de aplicación
Al determinar el grado en que pueden confiar en los controles de aplicación, los auditores deben considerar el grado en que los controles especificados se han implementado correctamente. Por ejemplo, cuando se hayan introducido modificaciones en el sistema durante un ejercicio contable, el auditor necesitará garantías de que existen los controles necesarios antes y después de la modificación. El auditor puede tratar de obtener dicha seguridad mediante el uso de un programa de software para comparar los controles existentes antes y después de la fecha de modificación.
Resumen
Los objetivos clave de una auditoría no cambian, independientemente de que el trabajo de auditoría se realice en un entorno manual o informático. Por supuesto, el enfoque de auditoría, las consideraciones de planificación y las técnicas utilizadas para obtener pruebas de auditoría adecuadas y suficientes cambian. Se anima a los estudiantes a seguir leyendo para aumentar sus conocimientos de auditación en un entorno informático y a practicar su capacidad para responder preguntas de examen sobre el tema al intentar preguntas establecidas en exámenes anteriores de ACCA.
Escrito por un miembro del equipo de examen de auditoría

Deja una respuesta

Tu dirección de correo electrónico no será publicada.