La auditoría de cuentas anuales en entornos...

1. INTRODUCCIÓN

El objetivo último de la auditoría de

cuentas es expresar una opinión sobre

si los estados financieros, en todos los

aspectos significativos, reflejan la ima-

gen fiel del patrimonio y de la situación

financiera de una empresa. No vamos a des-

cubrir nada nuevo si mencionamos que en el

entorno empresarial actual, globalizado y al-

tamente informatizado, especialmente en al-

gunos sectores de actividad, los procesos de

negocio y la información contable y de ges-

tión que éstos generan son totalmente de-

pendientes de los aplicativos informáticos

que soportan dichos procesos y las platafor-

mas tecnológicas que soportan dichos apli-

cativos. El uso intensivo de los sistemas de

información, unido a la complejidad de los

mismos, ha ido modificado gradualmente los

procesos de negocio que generan la infor-

mación contable y de gestión, sin que ello

modifique, evidentemente, el objetivo último

de la auditoría: la opinión sobre si los esta-

dos financieros presentan la imagen fiel de

la empresa.

En un escenario de evolución cambiante

y rápida como éste, del mismo modo que

las empresas han actualizado sus procesos

mediante la informatización para sobrevivir

al entorno competitivo actual, el auditor ne-

cesita también adaptar sus procedimientos

y técnicas de auditoría para la consecución

de las evidencias que sustentan su opinión,

sobre todo si pretende realizar una auditoría

eficiente y efectiva. En muchos casos, resul-

ta un imperativo realizar un análisis del con-

trol interno de los sistemas de información

en empresas con procesos informatizados y

automatizados, y ya no solamente en térmi-

nos de efectividad y eficiencia en la planifi-

pág

70pd

especial auditoría

Nuestros clientes requieren cada vez más que les demos confianza sobre lafiabilidad de la información contable y de gestión que utilizan para la tomade decisiones. Para ello es necesario una auditoría efectiva y eficiente, bajo

enfoques que incluyan la auditoría de los sistemas y procesos informatizadosde las compañías

La auditoría de cuentasanuales en entornos

informatizados

Francisco Javier Astiz Fernández y Marc Sole Bardia

Socio y Senior Manager de Sistemas y Procesos de la división Auditoría

PricewaterhouseCoopers

cación y ejecución de la auditoría a través

de los procedimientos del auditor, sino para

no obviar en dicha planificación la conside-

ración de los riesgos de auditoría derivados

de un entorno informatizado. En algunos

sectores altamente informatizados, y con

esto no nos referimos exclusivamente a

sectores como banca, seguros, telecomuni-

caciones, sin una comprensión del control

interno existente en los sistemas de infor-

mación y en los procesos de negocio, el au-

ditor no estaría en una posición de planificar

una auditoría eficiente, y podría no conside-

rar los riesgos tecnológicos existentes que

afectan a la integridad y exactitud de los da-

tos contables y de gestión.

En el ámbito nacional, el Instituto de

Contabilidad y Auditoría de Cuentas (ICAC),

en la resolución de 23 de junio de 2003, pu-

blicó la Norma Técnica de Auditoría sobre

“la auditoría de cuentas en entornos infor-

matizados”, con objeto de establecer reglas

y suministrar una guía respecto a los proce-

dimientos a seguir. Dicha norma, en su

FICHA RESUMEN

Autor: Francisco Javier Astiz Fernández y Marc Sole BardiaTítulo: La auditoría de cuentas anuales en entornos informatizadosFuente: Partida Doble, núm. 202, páginas 70 a 81, septiembre 2008Localización: PD 08.09.06Resumen: En la actualidad, el grado de dependencia de la información contable y de gestión en los sistemas yprocesos informatizados de las empresas requiere que el auditor financiero considere los riesgostecnológicos y el sistema de control interno informático dentro del contexto de una auditoría decuentas anuales. Este artículo se centra en la tendencia hacia un enfoque de auditoría basado en la confianza encontroles, y la reducción gradual de horas en el trabajo sustantivo, como un proceso natural, si sepretende la eficiencia y efectividad en los procedimientos del auditor, a la vez que se tienen enconsideración los riesgos tecnológicos derivados de un entorno informatizado.Descriptores ICALI: Sistemas de información. Auditoría.

pág

71pd www.partidadoble.es

apartado 2.4.10, menciona que ‘el conoci-

miento y evaluación preliminar de los siste-

mas de control interno de la entidad, inclu-

yendo los sistemas informáticos, constituye

un requisito mínimo de trabajo que sirve de

base a la planificación de la auditoría’. Asi-

mismo, indica que al planificar las áreas de

la auditoría que pueden resultar afectadas

por el entorno informatizado de la entidad,

el auditor debe alcanzar una adecuada

comprensión de la importancia y compleji-

dad de las actividades de los sistemas infor-

máticos, así como de la disponibilidad de

datos para su utilización en la auditoría.

En la misma línea de actuación, el Inter-

national Federation of Accountants (IFAC),

también se refiere y desarrolla estos aspec-

tos en las secciones 315 y 401 del Interna-

tional Standards on Auditing (ISA 315- Un-

derstanding the Entity and its Environment

and Assessing the Risks of Material Missta-

tement, ISA 401- Auditing in a Computer In-

formation Systems Environment). En dichas

secciones se pone de manifiesto la obligato-

riedad y necesidad por parte del auditor de

comprender el entorno informático de la em-

presa, y de su consideración en la evalua-

ción del riesgo inherente y de control. Estas

directrices inciden en que el entorno infor-

matizado implica distintos tipos de riesgos y

características de control, que deben ser

evaluados por parte del auditor, con objeto

de diseñar los procedimientos de auditoría

necesarios para reducir el riesgo de audito-

ría a un nivel aceptable.

Dicho esto, y partiendo de la base que la

mayoría de empresas disponen de procesos

y sistemas complejos, donde difícilmente

podemos mitigar los riesgos de auditoría y

realizar una auditoría eficiente y efectiva a

través de procedimientos totalmente sustan-

tivos, la tendencia hacia un enfoque de au-

ditoría basado en la confianza en controles

debería ser el proceso natural, sobre todo

cuando nos enfrentamos a entornos infor-

matizados, complejos y con procesos de ne-

gocio y contables que manejan volúmenes

elevados de transacciones. La considera-

ción de proceso y sistema complejo contie-

ne cierta dosis de subjetividad, si bien pue-

de determinarse en función de ciertos crite-

rios cualitativos como:

• Sistemas que realizan cálculos automati-

zados de cierta complejidad

• Tecnología obsoleta no soportada por el

proveedor

• Sistemas desarrollados a medida o con

un nivel significativo de modificaciones

especial auditoría nº 202 septiembre 2008

pág

72pd

E S Q U E M A 1

AUDITORÍA DE SISTEMAS Y PROCESOS INFORMATIZADOSEN LAS DISTINTAS FASES DE UNA AUDITORÍA DE CUENTASANUALES

Comprensión del negocio• Comprensión de los sistemas de información, y los procesos de negocios

relacionados, relevantes al reporting financiero

Análisis de riesgos• Consideración de los riesgos inherentes y de control derivados del uso de

entornos informatizados (acceso no autorizado a datos, fraude, errores en

los programas informáticos que tratan datos contables, errores en procesos

y cálculos automatizados, etc.)

Plan de auditoría y respuesta a los riesgos identificadosRespuesta a los riesgos de error material mediante validación de controles,

procedimientos sustantivos o combinación de ambos.

• Determinación del alcance de la auditoría de procesos informatizados en

función del enfoque de auditoría.

Fase de Planificación

Validación del control interno• Revisión del control interno en el área de IT y en los procesos de negocio in-

formatizados

• Revisión de cálculos, procesos automatizados e interfases

• Revisión de informes relevantes al reporting financiero

• Revisión de la segregación de funciones y el acceso lógico en los sistemas

informáticos

Fase de Ejecución

Procedimientos sustantivos • Realización de pruebas sustantivas mediante el uso de técnicas de audito-

ría asistidas por ordenador

Informes de auditoría • Informe de recomendaciones sobre el control interno

Fase deConclusión y Reporting

• Análisis y evaluaciónde resultados

• Respuesta de auditoría

• Sistemas ERP (por ejemplo, SAP, JDE,

Oracle Financials, etc.)

• Número significativo de interfases entre

sistemas

• Infraestructuras tecnológicas comple-

jas u operaciones en entornos multina-

cionales

Es en este punto donde entra en consi-

deración la auditoría y evaluación del con-

trol interno del área de Tecnologías de la In-

formación de las empresas y, adicionalmen-

te, del control interno de los procesos de

negocio informatizados, como una fase ne-

cesaria de la auditoría de cuentas anuales.

2. AUDITORÍA DE SISTEMAS YPROCESOS INFORMATIZADOS

El esquema 1 pretende ilustrar las princi-

pales fases, dentro del marco de una audito-

ría de cuentas anuales, donde se realizan

procedimientos de auditoría de sistemas y

procesos informatizados.

La auditoría de sistemas y procesos infor-

matizados, dentro del marco de la auditoría

de cuentas anuales, debe considerarse des-

de la fase inicial de planificación de la audito-

ría. Es en la fase de planificación cuando el

auditor debe obtener un conocimiento sufi-

ciente de los sistemas de información, inclui-

dos también los procesos de negocio afecta-

dos por los sistemas, que sean relevantes al

reporting financiero.

La ISA 315 menciona explícitamente este

aspecto, indicando, entre otras, las siguien-

tes áreas sobre las que el auditor debe ob-tener un nivel adecuado de comprensión:

✓ Clases de transacciones en las operacio-

nes de la entidad que sean relevantes en

los estados financieros.

✓ Los procedimientos, a través de sistemas

de IT o manuales, mediante los cuales las

transacciones son iniciadas, registradas,

procesadas y reportadas en los estados fi-

nancieros.

✓ Los registros contables relacionados,

electrónicos o manuales, que soportan in-

formación y las cuentas en los estados fi-

nancieros

✓ Los procedimientos utilizados para transfe-

rir información desde los sistemas que pro-

cesan las transacciones hacia los sistemas

de contabilidad y reporting financiero.

La comprensión de los sistemas informáti-

cos, su relación con los procesos de negocio y

el reporting financiero, así como otros aspec-

tos relacionados con el grado de automatiza-

ción de los procesos, complejidad

del entorno tecnológico, in-

terfases con contabili-

dad, introducción

manual de apun-

tes contables,

etc., constituye

un aspecto bá-

sico para que el

auditor pueda

obtener un conoci-

miento y realizar una

evaluación preliminar del

sistema de control interno que afecta al siste-

ma informático.

El nivel de comprensión del entorno infor-

mático y su sistema de control interno por

parte del auditor debe ser el necesario y sufi-

ciente para realizar una evaluación de riesgos

adecuada. El auditor debe considerar que un

entorno informatizado implica, entre otros,

riesgos de acceso y manipulación indebida de

datos, errores en programas informáticos que

puedan afectar a la integridad de los registros

contables, pérdida de información por errores

en transferencias y volcados de datos, riesgo

de fraude, etc.

En la elaboración del plan de auditoría, a

través del cual se pretende dar respuesta a

los riesgos identificados, el auditor, en fun-

ción del enfoque de auditoría adoptado, de-

termina las pruebas de control y/o procedi-

mientos sustantivos necesarios para alcan-

zar los objetivos de la auditoría. El enfoque

de auditoría determina el alcance y grado de

profundidad del trabajo de auditoría de siste-

mas y procesos informatizados que tendrá

lugar durante la fase de ejecución, en la cual

se obtienen las evidencias necesarias que

soportarán la opinión del auditor.

Cuando el auditor, un su enfoque de audi-

toría, pretende depositar confort sobre el con-

trol interno de un proceso informatizado, ba-

sándose en los controles del sistema informá-

tico y en información generada por el sistema,

pág


La auditoría de cuentas anuales en entornos informatizados

debe tener en consideración la evaluación de

los siguientes aspectos, que desarrollamos a

continuación en este artículo:

• Controles generales informáticos

• Controles de aplicación

• Cálculos automáticos, procesos automati-

zados e interfases

• Informes y hojas de cálculo relevantes al

reporting financiero

• Segregación de funciones y acceso lógico

en los sistemas informáticos

En el esquema 2 se muestra el flujo donde

se aprecia la relación entre los estados finan-

cieros, los controles de aplicación y los contro-

les generales.


pág

74pd

E S Q U E M A 2

FLUJO DE RELACIÓN ENTRE ESTADOS FINANCIEROS, CONTROLES DE APLICACIÓNY CONTROLES GENERALES

Financial StatementLine Item

(Significant Account)

Transaction Class/Sub-Process

InformationProcessing

Objectives (CAVR)

Manual ApplicationControls

Financial StatementAssertions

• Occurrence• Completeness• Accuracy• Cutoff• Existence• Rights/Obligations• Valuation• Presentation/ Disclosure

Risks

Business Process

BusinessPerformance

Reviews

Application Controls

Transaction

Automated ApplicationControls

Automated AccountingProcedures

Application-Generated Reports

Information Technology General Controls

1

2 3 4

5

7

8

912

11

10

6

1. En el proceso de auditoría, el auditor evalúa los riesgos de error material en los estados financieros a nivel de aserción.

2. Las distintas líneas que componen el balance y la cuenta de resultados se derivan de transacciones realizadas por la Entidad (p.ej.: un descuento comer-

cial).

3. Estas transacciones suelen formar parte de un subproceso (p.ej.: gestión de pedidos).

4. El subproceso forma parte, a su vez, de un proceso general (p.ej.: proceso de ventas).

5. El control interno del proceso de negocio debe garantizar los objetivos de totalidad, exactitud, validez y acceso restringido.

6. Los objetivos de totalidad, exactitud, validez y acceso restringido están sometidos a ciertos riesgos.

7. Los controles de aplicación están encaminados a mitigar estos riesgos.

8. La Entidad implementa controles de supervisión en el proceso de negocio encaminados a identificar anomalías en los resultados financieros.

9. La Entidad evalúa si estas anomalías pueden ser resultado de errores en los controles de aplicación.

10. Algunos controles de aplicación manuales y controles de supervisión se sustentan en informes generados por las aplicaciones y procesos informatizados.

11. Los controles generales informáticos efectivos soportan los controles de aplicación automáticos, los procesos contables automatizados y los reportes ge-

nerados por el sistema que son utilizados en los controles manuales.

12. Los controles de aplicación contribuyen directamente en el confort sobre las aserciones del balance y la cuenta de resultados.

El enfoque de auditoría con confianza en

los controles puede, y suele, combinarse con

trabajo sustantivo, en el transcurso del cual el

auditor puede apoyarse en técnicas de audito-

ría asistida por ordenador para la realización

de pruebas sustantivas de detalle.

Como veremos en el transcurso de los

apartados siguientes, la evaluación de los re-

sultados en cada una de las áreas de evalua-

ción anteriores y, sobre todo, el análisis de su

impacto en el plan de auditoría inicial debe

ser una constante durante la fase de ejecu-

ción de la auditoría, con objeto de dar una de-

bida respuesta de auditoría a las deficiencias

identificadas y realizar los cambios necesa-

rios en los procedimientos del auditor.

2.1 Los controles generalesinformáticos

Los controles generales informáticos tie-

nen un impacto general sobre el proceso de

negocio informatizado, y pueden afectar a to-

dos los sistemas o aplicaciones del sistema

de gestión. Estos controles están relaciona-

dos, fundamentalmente, con la organización

del área de Tecnologías de la Información de

la entidad, sin olvidar que en la ejecución de

algunos de ellos la participación de las áreas

de negocio resulta un aspecto clave.

La revisión de controles generales incluye

diversas áreas de evaluación, las cuales, de

un modo simplificado, pueden agruparse en:

●● Gestión y organización de las TI

●● Adquisición, desarrollo y mantenimiento

de aplicaciones

●● Producción y explotación de los sistemas

●● Seguridad física y lógica en el acceso a

datos a nivel de redes de comunicacio-

nes, aplicaciones y bases de datos

Los controles generales están destinados

principalmente a mitigar los siguientes ries-gos:

• El acceso no autorizado a datos que pue-

da resultar en la eliminación o alteración

de información

• Los errores en el funcionamiento de las

aplicaciones informáticas, como conse-

cuencia de cambios deficientemente pro-

bados

• Los cambios no autorizados en las aplica-

ciones o programas que puedan afectar a

la integridad de los datos

• La pérdida potencial de información como

consecuencia de errores en la ejecución

de interfases y procesos

• La pérdida de información por deficiencias

en copias de seguridad

• La falta de garantía de la continuidad de

las actividades de la empresa por la ine-

xistencia de un plan de contingencias o

negocio

La evaluación del diseño y la efectividad

operativa de los controles generales infor-

máticos resulta clave cuando se pretende

depositar confort en los controles del siste-

ma informático del proceso de negocio y en

la información generada por el sistema. Las

debilidades en los controles generales infor-

máticos pueden tener un impacto en los

controles automáticos de las aplicaciones,

en los procesos automatizados, así como

en la fiabilidad de los informes que se utili-

zan en controles manuales y de supervisión.

Por ejemplo, supongamos que el auditor

confía en el listado de clasificación de deu-

da que genera el sistema, y también en el

proceso automatizado diario de facturación

que genera los apuntes contables en la apli-

cación de contabilidad. ¿Hasta qué punto el

auditor podría confiar en esta información si

identificamos que los listados no están sien-

do adecuadamente probados en el momen-

to de su desarrollo, las incidencias en la eje-

cución de procesos automatizados no se re-

suelven debidamente, y un número signifi-

cativo del personal de IT tiene acceso total

a las tablas con los datos de facturación y

de contabilidad?

Tal y como se desprende de los ejemplos

anteriores, las deficiencias de control identifi-

cadas en la revisión de los controles genera-

les informáticos requieren de una evaluación

detenida y rigurosa, con objeto de analizar el

posible impacto en la integridad de los datos

que generan las aplicaciones informáticas

afectadas y, más importante aún, el auditor

debe evaluar el impacto sobre su enfoque de

auditoría, evaluar hasta qué punto los proce-

pág



dimientos de auditoría ini-

cialmente planifica-

dos son suficien-

tes para dar res-

puesta al riesgo

derivado de la

deficiencia de con-

trol. Y, si procede,

adecuar los procedimien-

tos de auditoría convenientemen-

te, por ejemplo, a través del reenfoque de las

pruebas sobre la validación de controles o

del incremento del trabajo sustantivo sobre

una determinada área.

2.2 Los controles de aplicación

Los controles de aplicación pueden ser

manuales o automatizados y operan, gene-

ralmente, a nivel del proceso de negocio,

considerando también cualquier proceso ex-

clusivamente relacionado con la contabilidad

y el reporting financiero. Son controles espe-

cíficos sobre las aplicaciones que generan

los registros contables y su finalidad es ase-

gurar razonablemente que todas las transac-

ciones son autorizadas y registradas, y que

son procesadas de forma completa, adecua-

da y oportuna.

Los controles de aplicación se pueden

desarrollar mediante procedimientos manua-

les, que pueden o no apoyarse en las aplica-

ciones, o mediante procedimientos automáti-

cos diseñados en los propios programas in-

formáticos. El escenario más habitual en las

empresas es que el control interno del proce-

so informatizado se base en una combina-

ción de controles automáticos programados

en las aplicaciones, con controles manuales

basados en información generada por los

sistemas, para aquellas actividades de con-

trol que requieren de cierto juicio en su eje-

cución.

En la revisión del control interno en un en-

torno informatizado, del mismo modo que el

auditor no se plantea prescindir de la evalua-

ción de los controles manuales, tampoco de-

be prescindir de la evaluación de los contro-

les automáticos, sobre todo cuando éstos han

sido diseñados por la compañía para mitigar

riesgos del proceso y asegurar la integridad

de la información.

Con respecto a la relevancia de los con-

troles automáticos, y a modo de ejemplo, su-

pongamos un proceso de

compras cuyo control

interno se basa en

el uso obligatorio

de proveedores

h o m o l o g a d o s ,

sobre los cuales

existen procedimien-

tos de control adecuados

previos a su inclusión en el ma-

estro de proveedores. En la revisión de los

controles automáticos del proceso se detecta

que, para un tipo determinado de orden de

compra, la configuración de la aplicación per-

mite introducir un nuevo proveedor en el mo-

mento de procesar la orden, con independen-

cia de que el mismo esté dado de alta en el fi-

chero maestro de proveedores autorizados.

Esta debilidad en el control automático esta-

blecido posibilita la introducción de proveedo-

res no autorizados y, en consecuencia, poten-

cialmente la realización de compras a provee-

dores ficticios. La evaluación del auditor re-

quiere de un análisis más minucioso si, a raíz

de esta deficiencia de control detectamos,

además, que la compañía ha estado realizan-

do compras a estos proveedores no incluidos

en el maestro autorizado.

Otro ejemplo, supongamos que en un

proceso de ventas, en el momento de emitir

la factura al cliente, el sistema permite al

personal del departamento de facturación la

posibilidad de modificar a la baja la cantidad

entregada y, en consecuencia, el importe de

la factura. Evidentemente, la práctica prolon-

gada de esta transacción, con fines malin-

tencionados o simplemente por error, podría

tener un impacto significativo sobre las ven-

tas y las existencias contabilizadas. Final-

mente, supongamos que por un error en la

parametrización de un sistema ERP, las

ventas para un determinado tipo de pedido

no están siendo contabilizadas en la cuenta

contable correcta, ocasionando además dife-

rencias entre los auxiliares y la contabilidad

general.

Los ejemplos arriba expuestos, aunque

pueden ser algo sorprendentes, son algunos

de los muchos casos que nos hemos encon-

trado en el transcurso de nuestra carrera co-

mo auditores de sistemas y procesos informa-

tizados, y que confirman que los sistemas in-

formáticos no siempre están programados y/o

configurados como deberían, y que éstos re-

quieren de una especial atención en los pri-


pág

76pd

meros años de implantación, en periodos de

cambios significativos en las aplicaciones, y

en entornos de control interno informático po-

co evolucionados. Al igual que en los contro-

les generales informáticos, las deficiencias

identificadas en los controles automáticos re-

quieren de su correspondiente análisis y eva-

luación del impacto en los procedimientos de

auditoría.

Asimismo, y como hemos avanzado ante-

riormente, con cierta frecuencia el auditor so-

porta sus procedimientos en la efectividad de

controles manuales que se sustentan en in-

formación generada por los sistemas informá-

ticos (informes de excepciones, informes de

supervisión, etc.). Es evidente que la efectivi-

dad de este control manual depende de la fia-

bilidad del informe utilizado en la ejecución de

dicho control. La validación de informes en

entornos informatizados, sobre todo cuando

éstos forman parte de controles clave del pro-

ceso, requiere de una especial atención y ello

es objeto de un apartado específico en este

artículo.

En una auditoría de cuentas anuales en

un entorno informatizado, en la que el audi-

tor pretenda confiar en el control interno del

proceso informatizado, debe compaginarse

la revisión de los controles de aplicación con

los controles generales, dado que, como he-

mos visto anteriormente, la dependencia en-

tre ambos componentes es absoluta.

2.3. Procesos contablesautomatizados

Los procesos contables automatizados

son cálculos, clasificaciones, estimaciones o

cualquier otro proceso contable que realiza

un sistema informático. A modo de ejemplo,

un proceso contable automatizado en el sec-

tor bancario, sería el cálculo de la provisión

para insolvencias por morosidad en función

de las características y la situación de las

operaciones, siguiendo los criterios estable-

cidos por el Banco de España en las circula-

res que emite. Otro ejemplo, en el mismo

sector, sería el cálculo de las periodificacio-

nes de intereses para operaciones de Activo

y Pasivo. A pesar de que la complejidad de

los procesos puede variar, no hace falta

pensar demasiado para hallar multitud de

otros ejemplos en la contabilidad de las em-

presas: los cálculos de amortización, la apli-

cación de tramos de facturación según con-

trato con el cliente, clasificación del aging de

clientes, etc.

Como se aprecia en estos ejemplos, los

cálculos que se realizan en procesos conta-

bles automatizados pueden llegar a ser bas-

tante complejos y, en muchas ocasiones, la

validación por parte del auditor no es posible

a través del muestreo, si se pretende un enfo-

que eficiente a la vez que un nivel de confort

significativo en el cálculo que realiza el siste-

ma informático.

En muchos de los casos, el auditor debe

plantearse la opción de utilizar una herra-

mienta de interrogación de ficheros, en la que

es posible realizar procesos de réplica de cál-

culos complejos y ejecutar comparativas de

resultados. Estas pruebas pueden realizarse

para la totalidad de los registros y resulta un

procedimiento de auditoría clave en la valida-

ción independiente del sistema informático

por parte del auditor.

2.4. Controles en interfases

Además de los controles de aplicación

automáticos y los cálculos programados en

las mismas aplicaciones, el auditor también

debe tener en especial consideración las

pág



E S Q U E M A 3

CONCEPTO DE CONTROLES EN UN ENTORNOINFORMATIZADO EN SAP R/3

Mangement&

User controls

Configurable controls

Access Controls

SAP Basis and Change Management

Operating System security

Network and other IT infrastructure controls

BusinessProcessControls

GeneralSystemControls

El siguiente esquema ilustra las distintas capas que el auditor debe evaluar en un

entorno informatizado basado en el ERP SAP R/3, y en el cual se requiera confort

en el control interno del proceso informatizado. La efectividad de los controles a ni-

vel del proceso de negocio depende también de la efectividad de los controles ge-

nerales informáticos.

interfases entre aplicaciones y entre bases

de datos. En este ámbito de control, mere-

cen una especial atención las interfases

que, además, estén directamente relaciona-

das con la aplicación de contabilidad gene-

ral y de reporting financiero. Los controles

de interfase son críticos para asegurar la in-

tegridad de la información durante las trans-

misiones de datos entre sistemas como, por

ejemplo, entre un sistema logístico que re-

gistra las expediciones de mercancías y el

sistema de facturación que genera las factu-

ras en función de los datos de expedición

que recibe de la aplicación de logística.

Los controles de interfase pueden ser ma-

nuales, por ejemplo a través de reconciliacio-

nes totalmente manuales, o apoyarse en pro-

cedimientos más automatizados que reconci-

lian automáticamente los datos entre los dos

sistemas y que requieren de la revisión ma-

nual de un informe con los resultados del pro-

ceso. El auditor debe evaluar si los controles

de interfase son adecuados y mitigan riesgos

de interfase, como la pérdida de datos por in-

terrupción de las comunicaciones, duplicación

de datos en el sistema destino, actualización

del sistema destino con datos correspondien-

tes a un período incorrecto, etc.

El auditor debe evaluar los controles de

interfase desde un punto de vista de diseño

del control, como de la efectividad operativa

del control de monitorización utilizado por la

compañía. Además, el cruce de la informa-

ción de distintas aplicaciones y el análisis de

la coherencia interna de los datos, mediante

la interrogación de ficheros y bases de datos

utilizando técnicas de auditoría asistida por

ordenador, es un procedimiento de auditoría

que confiere un confort importante sobre la

integridad de la información transmitida en-

tre distintos sistemas.

2.5. Informes y hojas de cálculorelevantes al reporting financiero

En el transcurso de la auditoría de cuen-

tas anuales, el auditor suele confiar en infor-

mes generados por el sistema informático du-

rante la ejecución de distintos procedimientos

de auditoría, tales como:

• La validación de controles manuales

• La validación de controles de supervisión

• La realización de pruebas sustantivas de

detalle

Cuando el auditor soporta sus procedi-

mientos de auditoría en informes generados

por el sistema informático, es de sentido co-

mún que valide la fiabilidad e integridad de

la información contenida en estos informes.

Esta validación debe realizarse, como míni-

mo, la primera vez que se pretende confiar

en el informe o cuando se han producido

cambios en los sistemas que puedan afectar

a la fiabilidad del informe. La validación pe-

riódica del informe en futuras auditorías de-

penderá de distintos criterios como, por

ejemplo, la relevancia del informe, pero tam-

bién, y como ya hemos mencionado con an-

terioridad, de la efectividad de los controles

generales informáticos.

En la misma línea, el auditor debe tener

en consideración el uso de hojas de cálculo

relevantes al reporting financiero y, en conse-

cuencia, evaluar la fiabilidad de las mismas.

Es muy habitual en las empresas que los de-

partamentos se apoyen en hojas de cálculo u

otras bases de datos, externas al sistema de

información principal, para la realización de

cálculos, más o menos complejos, pero que

con frecuencia afectan de un modo significati-

vo a los datos de contabilidad general. En

nuestra experiencia como auditores, hemos

identificado en varias ocasiones errores en

hojas de cálculo, relativamente sencillas, con

impacto potencial de un error material.

Existen distintos procedimientos para la

validación de informes y hojas de cálculo. El

recálculo y la interrogación de ficheros y ba-

ses de datos a través de técnicas de auditoría

asistida por ordenador, así como la revisión

de fórmulas, son procedimientos habituales y

que confieren un confort razonable al auditor

financiero.


pág

78pd

El escenario actual requiere que

el auditor considere los riesgos

tecnológicos y el sistema de control

interno informático dentro de una

auditoría de cuentas anuales

«

«

2.6. Segregación de funciones yderechos de acceso en el sistemainformático

La evaluación del control interno en entor-

nos informatizados requiere también una revi-

sión de la segregación de funciones y los de-

rechos de acceso definidos en el sistema in-

formático.

La división de responsabilidades y la res-

tricción de funciones dentro de la entidad es

un factor primordial en el control interno, y es-

te aspecto toma una especial relevancia

cuando se trata de procesos de negocio infor-

matizados. La entidad puede establecer pro-

cedimientos de control automáticos y manua-

les, incluso disponer de un modelo organizati-

vo estricto que evite las incompatibilidades

entre las funciones del personal. Sin embar-

go, desviaciones en cuanto a la segregación

de funciones y el acceso lógico definido en el

sistema informático pueden hacer totalmente

inefectivo un determinado control y traducirse

en transacciones de negocio no autorizadas,

fraude y malversaciones.

Por ejemplo, supongamos un ciclo de

compras tradicional donde las transacciones

de orden de compra, introducción de la factu-

ra del proveedor, y procesamiento del pago

están organizativamente segregadas en los

departamentos correspondientes de Com-

pras, Facturación y Tesorería. En este esce-

nario, la entidad puede disponer de controles

en el proceso de negocio de compras, pero la

efectividad del control interno en dicho proce-

so podría cuestionarse si detectamos que la

mayoría de los usuarios de las aplicaciones

disponen de acceso lógico a ejecutar el con-

junto de las transacciones anteriormente cita-

das y, por lo tanto, potencialmente realizar

una compra ficticia, aceptar la factura y pro-

cesar el pago.

Cuando el auditor considera que la segre-

gación de funciones es importante para miti-

gar los riesgos identificados a nivel de aser-

ción, el riesgo de fraude o de error en los es-

tados financieros, el análisis del acceso lógico

en las aplicaciones informáticas requiere de

una especial atención.

Es totalmente comprensible que la dimen-

sión de la entidad, su organización interna, y

otros factores varios ocasionen que, frecuen-

temente, las empresas combinen funciones y

responsabilidades que idealmente deberían

estar segregadas. En este caso, el auditor de-

berá evaluar los procedimientos alternativos o

compensatorios que mitiguen estos riesgos.

No obstante, en cualquier caso, la entidad y

el auditor deben ser conscientes que la divi-

sión de responsabilidades y la restricción de

funciones del personal no es un aspecto ex-

clusivamente relacionado con la organización

interna y ubicación física de las personas, si-

no que, adicionalmente, requiere de una

apropiada definición de roles en las aplicacio-

nes informáticas y los sistemas de gestión.

3. LA INTEGRACIÓN DEESPECIALISTAS Y FORMACIÓN DELAUDITOR FINANCIERO

Dada la complejidad actual de los siste-

mas y las plataformas tecnológicas, el uso de

especialistas auditores informáticos en la vali-

dación de los controles generales y los con-

troles de aplicación y otros procesos automa-

tizados resulta clave. Pero tan importante es

el conocimiento técnico del especialista, co-

mo la capacidad, por parte

del auditor financiero, de

entender cuándo y por-

qué debe involucrarse al

especialista. El auditor

financiero debe apoyarse

en el auditor informático en el

transcurso de la auditoría

de cuentas anuales, pero

este apoyo no debe con-

vertirse en una delegación

total de la comprensión de los ries-

gos y los controles existentes en el

entorno informatizado.

La integración ‘auditor financie-

ro-auditor informático’ debe existir

desde la fase de planificación de la au-

ditoría, en la que se realiza la evaluación

inicial de riesgos y se determina el enfoque

de auditoría, hasta la fase de conclusiones en

la ejecución del plan de auditoría, donde, a

raíz de las deficiencias detectadas, debe

valorarse conjuntamente si el nivel

de confort en el control interno

del entorno informatizado es

el inicialmente previsto por

el auditor. El análisis

conjunto debe llevar al

auditor a determinar si

los aspectos de con-

trol identificados

pág

79pd


www.partidadoble.es

requieren de procedimientos adicionales de

auditoría, previsiblemente, de naturaleza más

sustantiva.

El éxito de una auditoría de cuentas anua-

les efectiva y eficiente en un entorno altamente

informatizado radica en el nivel de integración

del auditor financiero con el auditor informático.

Esta integración de capacidades lleva a un

nuevo perfil del auditor financiero, que aprove-

cha el uso de procedimientos y técnicas de au-

ditoría para hacer eficiente la auditoría en un

entorno informatizado. A la vez que no obvia,

durante las fases de evaluación de riesgos,

aquellos riesgos derivados del uso intensivo de

las tecnologías de información en el proceso

de negocio que genera los datos contables.

El perfil generalizado del auditor financiero

actual está todavía demasiado lejos de este

perfil ideal, que combina conocimientos en au-

ditoría de cuentas y en auditoría de sistemas y

procesos informatizados. El auditor actual re-

quiere de una mayor formación en riesgos tec-

nológicos, en controles en procesos informati-

zados, herramientas de soporte a la auditoría

y, en general, en estándares de auditoría bajo

entornos informatizados. Asimismo, el auditor

financiero debe obtener un nivel de formación

suficiente en tecnología que le permita perder

el miedo que, en ocasiones, le genera el inten-

tar comprender los sistemas informáticos de

una organización y su relación con los proce-

sos de negocio y los estados financieros.

Tampoco pretendemos que un auditor fi-

nanciero, generalmente, con formación en

ciencias económicas o empresariales, se con-

vierta en un experto en tecnología (para ello

ya tiene a los especialistas), pero sí que ten-

ga una formación suficiente para evitar actitu-

des que consideran que los sistemas informá-

ticos son, simplemente, una ‘caja negra’ en

su proceso de auditoría de cuentas anuales,

cuya revisión alternativa es simplemente la

realización de pruebas sustantivas.

4. HERRAMIENTAS DE SOPORTE AL AUDITOR

En la evaluación de sistemas y procesos

informatizados, el auditor puede soportar la

ejecución de los procedimientos de auditoría

a través de distintas herramientas. El uso de

herramientas de auditoría se basa en la infor-

mación extraída directamente de los sistemas

de la compañía, e incluso, de los datos conta-

bles que provienen de aplicativos o servido-

res de información.

Algunos de los beneficios en el uso de

estas herramientas son:

✓ Facilidad de manejo de grandes volúme-

nes de datos

✓ Mayor cobertura y alcance de las pruebas

✓ Aprovechamiento de la informatización de

datos de las empresas

✓ Fiabilidad de los datos obtenidos

✓ Manejabilidad de los datos

✓ Rapidez en el procesamiento de los datos

Las herramientas de auditoría asististida

por ordenador (CAATs - Computer Assisted

Audit Tools) son softwares específicos que

permiten un cierto nivel de programación y

poder procesar rutinas y cálculos, de cierta


pág

80pd

E S Q U E M A 4

PROCESO DE GENERACIÓN DE INFORMACIÓN

Como se puede ver el proceso de generación de información en una empresa se

asemeja a la estructura de una caja, en la que la base es la infraestructura tecno-

lógica que soporta las aplicaciones, que a su vez soportan los procesos de nego-

cios que generan la información contable.

complejidad, sobre volúmenes significativos

de datos. Estas herramientas son útiles para

ejecutar procedimientos de auditoría en dis-

tintos ámbitos, tales como la validación de

procesos contables automatizados, fiabilidad

de las interfases, fiabilidad de informes, así

como la realización de procedimientos sus-

tantivos y pruebas de detalle.

El uso de CAATs se extiende también en

la ejecución de los procedimientos de audito-

ría en relación a la consideración, por parte

del auditor, de los riesgos de error material

debido a fraude (ISA 240 - The auditor’s res-

ponsibility to consider fraud in an audit of fi-

nancial statements). Por ejemplo, los procedi-

mientos de auditoría sobre la posible manipu-

lación de los estados financieros a través de

la introducción de apuntes manuales pueden

verse significativamente reforzados mediante

el análisis de la totalidad de estas transaccio-

nes manuales en base a criterios varios (ajus-

tes por encima de la materialidad, apuntes in-

troducidos con posterioridad al corte del ejer-

cicio, Ley de Benford, etc.) .

También existe una variedad de herra-

mientas de auditoría específicas por platafor-

ma tecnológica y por ERP, que pueden apo-

yar al auditor en la evaluación de la seguri-

dad, el acceso lógico y la segregación de fun-

ciones, e incluso en el análisis de la configu-

ración de los controles automáticos en deter-

minadas aplicaciones.

En entornos cada vez más informatizados,

la evolución natural de los procedimientos de

auditoría encaminados a la obtención de las

evidencias del auditor, se orienta hacia técni-

cas cada vez más automatizadas que incorpo-

ran métodos, dentro del concepto de auditoría

en tiempo real, basados en inteligencia artificial

y análisis de modelos de comportamiento, para

la detección de fraude o de transacciones inu-

suales en los estados financieros.

5. CONCLUSIONES

En el escenario empresarial actual, el gra-

do de dependencia de la información contable

y de gestión en los sistemas y procesos infor-

matizados requiere que el auditor financiero

considere los riesgos tecnológicos y el siste-

ma de control interno informático dentro del

contexto de una auditoría de cuentas anua-

les. La información financiera y de gestión se

ve afectada por la fiabilidad de los procesos

de negocio y éstos, a su vez, se ven afecta-

dos por la fiabilidad de los sistemas y proce-

sos informáticos que los soportan.

En procesos y sistemas complejos, la ten-

dencia hacia un enfoque de auditoría basado

en la confianza en controles, y la reducción

gradual de horas en el trabajo sustantivo, de-

bería ser el proceso natural, si se pretende la

eficiencia y efectividad en los procedimientos

del auditor, a la vez que se tienen en conside-

ración los riesgos tecnológicos derivados de

un entorno informatizado.

La ejecución de una auditoría de cuentas

anuales con un enfoque eficiente y adecuado

en controles incrementa el conocimiento de

los procesos de negocio por parte del auditor,

y la posibilidad de agregar valor al cliente den-

tro del proceso de auditoría, por una parte, a

través de recomendaciones de control interno,

y por otra, a través de soluciones derivadas

de una mayor comprensión de los problemas

con los que se enfrenta el cliente. Este segun-

do aspecto es cada vez más importante y más

reclamado por parte del mercado a la profe-

sión de auditor financiero. Nuestros clientes

requieren que les demos confianza sobre la

fiabilidad y razonabilidad de la información

contable y de gestión que utilizan para la toma

de decisiones, y que alimentan los reportes e

informes que emiten al exterior: cuentas anua-

les, memoria social, informes de responsabili-

dad social corporativa, informes a regulado-

res, etc. Todo ello en un marco de auditoría

efectiva y eficiente realizada en el menor tiem-

po posible, lo que sólo se puede conseguir,

generalmente, bajo enfoques que incluyen la

auditoría de los sistemas y procesos informati-

zados de las compañías. ✽

pág



El perfil del auditor financiero

actual está aún demasiado lejos del

ideal, que combina conocimientos

en auditoría de cuentas y

auditoría de sistemas y

procesos informatizados

«

«

La auditoría de cuentas anuales en entornos...

Documents

Transcript of La auditoría de cuentas anuales en entornos...