La auditoría de cuentas anuales en entornos...
Transcript of La auditoría de cuentas anuales en entornos...
1. INTRODUCCIÓN
El objetivo último de la auditoría de
cuentas es expresar una opinión sobre
si los estados financieros, en todos los
aspectos significativos, reflejan la ima-
gen fiel del patrimonio y de la situación
financiera de una empresa. No vamos a des-
cubrir nada nuevo si mencionamos que en el
entorno empresarial actual, globalizado y al-
tamente informatizado, especialmente en al-
gunos sectores de actividad, los procesos de
negocio y la información contable y de ges-
tión que éstos generan son totalmente de-
pendientes de los aplicativos informáticos
que soportan dichos procesos y las platafor-
mas tecnológicas que soportan dichos apli-
cativos. El uso intensivo de los sistemas de
información, unido a la complejidad de los
mismos, ha ido modificado gradualmente los
procesos de negocio que generan la infor-
mación contable y de gestión, sin que ello
modifique, evidentemente, el objetivo último
de la auditoría: la opinión sobre si los esta-
dos financieros presentan la imagen fiel de
la empresa.
En un escenario de evolución cambiante
y rápida como éste, del mismo modo que
las empresas han actualizado sus procesos
mediante la informatización para sobrevivir
al entorno competitivo actual, el auditor ne-
cesita también adaptar sus procedimientos
y técnicas de auditoría para la consecución
de las evidencias que sustentan su opinión,
sobre todo si pretende realizar una auditoría
eficiente y efectiva. En muchos casos, resul-
ta un imperativo realizar un análisis del con-
trol interno de los sistemas de información
en empresas con procesos informatizados y
automatizados, y ya no solamente en térmi-
nos de efectividad y eficiencia en la planifi-
pág
70pd
especial auditoría
Nuestros clientes requieren cada vez más que les demos confianza sobre lafiabilidad de la información contable y de gestión que utilizan para la tomade decisiones. Para ello es necesario una auditoría efectiva y eficiente, bajo
enfoques que incluyan la auditoría de los sistemas y procesos informatizadosde las compañías
La auditoría de cuentasanuales en entornos
informatizados
Francisco Javier Astiz Fernández y Marc Sole Bardia
Socio y Senior Manager de Sistemas y Procesos de la división Auditoría
PricewaterhouseCoopers
cación y ejecución de la auditoría a través
de los procedimientos del auditor, sino para
no obviar en dicha planificación la conside-
ración de los riesgos de auditoría derivados
de un entorno informatizado. En algunos
sectores altamente informatizados, y con
esto no nos referimos exclusivamente a
sectores como banca, seguros, telecomuni-
caciones, sin una comprensión del control
interno existente en los sistemas de infor-
mación y en los procesos de negocio, el au-
ditor no estaría en una posición de planificar
una auditoría eficiente, y podría no conside-
rar los riesgos tecnológicos existentes que
afectan a la integridad y exactitud de los da-
tos contables y de gestión.
En el ámbito nacional, el Instituto de
Contabilidad y Auditoría de Cuentas (ICAC),
en la resolución de 23 de junio de 2003, pu-
blicó la Norma Técnica de Auditoría sobre
“la auditoría de cuentas en entornos infor-
matizados”, con objeto de establecer reglas
y suministrar una guía respecto a los proce-
dimientos a seguir. Dicha norma, en su
FICHA RESUMEN
Autor: Francisco Javier Astiz Fernández y Marc Sole BardiaTítulo: La auditoría de cuentas anuales en entornos informatizadosFuente: Partida Doble, núm. 202, páginas 70 a 81, septiembre 2008Localización: PD 08.09.06Resumen: En la actualidad, el grado de dependencia de la información contable y de gestión en los sistemas yprocesos informatizados de las empresas requiere que el auditor financiero considere los riesgostecnológicos y el sistema de control interno informático dentro del contexto de una auditoría decuentas anuales. Este artículo se centra en la tendencia hacia un enfoque de auditoría basado en la confianza encontroles, y la reducción gradual de horas en el trabajo sustantivo, como un proceso natural, si sepretende la eficiencia y efectividad en los procedimientos del auditor, a la vez que se tienen enconsideración los riesgos tecnológicos derivados de un entorno informatizado.Descriptores ICALI: Sistemas de información. Auditoría.
pág
71pd www.partidadoble.es
apartado 2.4.10, menciona que ‘el conoci-
miento y evaluación preliminar de los siste-
mas de control interno de la entidad, inclu-
yendo los sistemas informáticos, constituye
un requisito mínimo de trabajo que sirve de
base a la planificación de la auditoría’. Asi-
mismo, indica que al planificar las áreas de
la auditoría que pueden resultar afectadas
por el entorno informatizado de la entidad,
el auditor debe alcanzar una adecuada
comprensión de la importancia y compleji-
dad de las actividades de los sistemas infor-
máticos, así como de la disponibilidad de
datos para su utilización en la auditoría.
En la misma línea de actuación, el Inter-
national Federation of Accountants (IFAC),
también se refiere y desarrolla estos aspec-
tos en las secciones 315 y 401 del Interna-
tional Standards on Auditing (ISA 315- Un-
derstanding the Entity and its Environment
and Assessing the Risks of Material Missta-
tement, ISA 401- Auditing in a Computer In-
formation Systems Environment). En dichas
secciones se pone de manifiesto la obligato-
riedad y necesidad por parte del auditor de
comprender el entorno informático de la em-
presa, y de su consideración en la evalua-
ción del riesgo inherente y de control. Estas
directrices inciden en que el entorno infor-
matizado implica distintos tipos de riesgos y
características de control, que deben ser
evaluados por parte del auditor, con objeto
de diseñar los procedimientos de auditoría
necesarios para reducir el riesgo de audito-
ría a un nivel aceptable.
Dicho esto, y partiendo de la base que la
mayoría de empresas disponen de procesos
y sistemas complejos, donde difícilmente
podemos mitigar los riesgos de auditoría y
realizar una auditoría eficiente y efectiva a
través de procedimientos totalmente sustan-
tivos, la tendencia hacia un enfoque de au-
ditoría basado en la confianza en controles
debería ser el proceso natural, sobre todo
cuando nos enfrentamos a entornos infor-
matizados, complejos y con procesos de ne-
gocio y contables que manejan volúmenes
elevados de transacciones. La considera-
ción de proceso y sistema complejo contie-
ne cierta dosis de subjetividad, si bien pue-
de determinarse en función de ciertos crite-
rios cualitativos como:
• Sistemas que realizan cálculos automati-
zados de cierta complejidad
• Tecnología obsoleta no soportada por el
proveedor
• Sistemas desarrollados a medida o con
un nivel significativo de modificaciones
especial auditoría nº 202 septiembre 2008
pág
72pd
E S Q U E M A 1
AUDITORÍA DE SISTEMAS Y PROCESOS INFORMATIZADOSEN LAS DISTINTAS FASES DE UNA AUDITORÍA DE CUENTASANUALES
Comprensión del negocio• Comprensión de los sistemas de información, y los procesos de negocios
relacionados, relevantes al reporting financiero
Análisis de riesgos• Consideración de los riesgos inherentes y de control derivados del uso de
entornos informatizados (acceso no autorizado a datos, fraude, errores en
los programas informáticos que tratan datos contables, errores en procesos
y cálculos automatizados, etc.)
Plan de auditoría y respuesta a los riesgos identificadosRespuesta a los riesgos de error material mediante validación de controles,
procedimientos sustantivos o combinación de ambos.
• Determinación del alcance de la auditoría de procesos informatizados en
función del enfoque de auditoría.
Fase de Planificación
Validación del control interno• Revisión del control interno en el área de IT y en los procesos de negocio in-
formatizados
• Revisión de cálculos, procesos automatizados e interfases
• Revisión de informes relevantes al reporting financiero
• Revisión de la segregación de funciones y el acceso lógico en los sistemas
informáticos
Fase de Ejecución
Procedimientos sustantivos • Realización de pruebas sustantivas mediante el uso de técnicas de audito-
ría asistidas por ordenador
Informes de auditoría • Informe de recomendaciones sobre el control interno
Fase deConclusión y Reporting
• Análisis y evaluaciónde resultados
• Respuesta de auditoría
• Sistemas ERP (por ejemplo, SAP, JDE,
Oracle Financials, etc.)
• Número significativo de interfases entre
sistemas
• Infraestructuras tecnológicas comple-
jas u operaciones en entornos multina-
cionales
Es en este punto donde entra en consi-
deración la auditoría y evaluación del con-
trol interno del área de Tecnologías de la In-
formación de las empresas y, adicionalmen-
te, del control interno de los procesos de
negocio informatizados, como una fase ne-
cesaria de la auditoría de cuentas anuales.
2. AUDITORÍA DE SISTEMAS YPROCESOS INFORMATIZADOS
El esquema 1 pretende ilustrar las princi-
pales fases, dentro del marco de una audito-
ría de cuentas anuales, donde se realizan
procedimientos de auditoría de sistemas y
procesos informatizados.
La auditoría de sistemas y procesos infor-
matizados, dentro del marco de la auditoría
de cuentas anuales, debe considerarse des-
de la fase inicial de planificación de la audito-
ría. Es en la fase de planificación cuando el
auditor debe obtener un conocimiento sufi-
ciente de los sistemas de información, inclui-
dos también los procesos de negocio afecta-
dos por los sistemas, que sean relevantes al
reporting financiero.
La ISA 315 menciona explícitamente este
aspecto, indicando, entre otras, las siguien-
tes áreas sobre las que el auditor debe ob-tener un nivel adecuado de comprensión:
✓ Clases de transacciones en las operacio-
nes de la entidad que sean relevantes en
los estados financieros.
✓ Los procedimientos, a través de sistemas
de IT o manuales, mediante los cuales las
transacciones son iniciadas, registradas,
procesadas y reportadas en los estados fi-
nancieros.
✓ Los registros contables relacionados,
electrónicos o manuales, que soportan in-
formación y las cuentas en los estados fi-
nancieros
✓ Los procedimientos utilizados para transfe-
rir información desde los sistemas que pro-
cesan las transacciones hacia los sistemas
de contabilidad y reporting financiero.
La comprensión de los sistemas informáti-
cos, su relación con los procesos de negocio y
el reporting financiero, así como otros aspec-
tos relacionados con el grado de automatiza-
ción de los procesos, complejidad
del entorno tecnológico, in-
terfases con contabili-
dad, introducción
manual de apun-
tes contables,
etc., constituye
un aspecto bá-
sico para que el
auditor pueda
obtener un conoci-
miento y realizar una
evaluación preliminar del
sistema de control interno que afecta al siste-
ma informático.
El nivel de comprensión del entorno infor-
mático y su sistema de control interno por
parte del auditor debe ser el necesario y sufi-
ciente para realizar una evaluación de riesgos
adecuada. El auditor debe considerar que un
entorno informatizado implica, entre otros,
riesgos de acceso y manipulación indebida de
datos, errores en programas informáticos que
puedan afectar a la integridad de los registros
contables, pérdida de información por errores
en transferencias y volcados de datos, riesgo
de fraude, etc.
En la elaboración del plan de auditoría, a
través del cual se pretende dar respuesta a
los riesgos identificados, el auditor, en fun-
ción del enfoque de auditoría adoptado, de-
termina las pruebas de control y/o procedi-
mientos sustantivos necesarios para alcan-
zar los objetivos de la auditoría. El enfoque
de auditoría determina el alcance y grado de
profundidad del trabajo de auditoría de siste-
mas y procesos informatizados que tendrá
lugar durante la fase de ejecución, en la cual
se obtienen las evidencias necesarias que
soportarán la opinión del auditor.
Cuando el auditor, un su enfoque de audi-
toría, pretende depositar confort sobre el con-
trol interno de un proceso informatizado, ba-
sándose en los controles del sistema informá-
tico y en información generada por el sistema,
pág
73pd www.partidadoble.es
La auditoría de cuentas anuales en entornos informatizados
debe tener en consideración la evaluación de
los siguientes aspectos, que desarrollamos a
continuación en este artículo:
• Controles generales informáticos
• Controles de aplicación
• Cálculos automáticos, procesos automati-
zados e interfases
• Informes y hojas de cálculo relevantes al
reporting financiero
• Segregación de funciones y acceso lógico
en los sistemas informáticos
En el esquema 2 se muestra el flujo donde
se aprecia la relación entre los estados finan-
cieros, los controles de aplicación y los contro-
les generales.
especial auditoría nº 202 septiembre 2008
pág
74pd
E S Q U E M A 2
FLUJO DE RELACIÓN ENTRE ESTADOS FINANCIEROS, CONTROLES DE APLICACIÓNY CONTROLES GENERALES
Financial StatementLine Item
(Significant Account)
Transaction Class/Sub-Process
InformationProcessing
Objectives (CAVR)
Manual ApplicationControls
Financial StatementAssertions
• Occurrence• Completeness• Accuracy• Cutoff• Existence• Rights/Obligations• Valuation• Presentation/ Disclosure
Risks
Business Process
BusinessPerformance
Reviews
Application Controls
Transaction
Automated ApplicationControls
Automated AccountingProcedures
Application-Generated Reports
Information Technology General Controls
1
2 3 4
5
7
8
912
11
10
6
1. En el proceso de auditoría, el auditor evalúa los riesgos de error material en los estados financieros a nivel de aserción.
2. Las distintas líneas que componen el balance y la cuenta de resultados se derivan de transacciones realizadas por la Entidad (p.ej.: un descuento comer-
cial).
3. Estas transacciones suelen formar parte de un subproceso (p.ej.: gestión de pedidos).
4. El subproceso forma parte, a su vez, de un proceso general (p.ej.: proceso de ventas).
5. El control interno del proceso de negocio debe garantizar los objetivos de totalidad, exactitud, validez y acceso restringido.
6. Los objetivos de totalidad, exactitud, validez y acceso restringido están sometidos a ciertos riesgos.
7. Los controles de aplicación están encaminados a mitigar estos riesgos.
8. La Entidad implementa controles de supervisión en el proceso de negocio encaminados a identificar anomalías en los resultados financieros.
9. La Entidad evalúa si estas anomalías pueden ser resultado de errores en los controles de aplicación.
10. Algunos controles de aplicación manuales y controles de supervisión se sustentan en informes generados por las aplicaciones y procesos informatizados.
11. Los controles generales informáticos efectivos soportan los controles de aplicación automáticos, los procesos contables automatizados y los reportes ge-
nerados por el sistema que son utilizados en los controles manuales.
12. Los controles de aplicación contribuyen directamente en el confort sobre las aserciones del balance y la cuenta de resultados.
El enfoque de auditoría con confianza en
los controles puede, y suele, combinarse con
trabajo sustantivo, en el transcurso del cual el
auditor puede apoyarse en técnicas de audito-
ría asistida por ordenador para la realización
de pruebas sustantivas de detalle.
Como veremos en el transcurso de los
apartados siguientes, la evaluación de los re-
sultados en cada una de las áreas de evalua-
ción anteriores y, sobre todo, el análisis de su
impacto en el plan de auditoría inicial debe
ser una constante durante la fase de ejecu-
ción de la auditoría, con objeto de dar una de-
bida respuesta de auditoría a las deficiencias
identificadas y realizar los cambios necesa-
rios en los procedimientos del auditor.
2.1 Los controles generalesinformáticos
Los controles generales informáticos tie-
nen un impacto general sobre el proceso de
negocio informatizado, y pueden afectar a to-
dos los sistemas o aplicaciones del sistema
de gestión. Estos controles están relaciona-
dos, fundamentalmente, con la organización
del área de Tecnologías de la Información de
la entidad, sin olvidar que en la ejecución de
algunos de ellos la participación de las áreas
de negocio resulta un aspecto clave.
La revisión de controles generales incluye
diversas áreas de evaluación, las cuales, de
un modo simplificado, pueden agruparse en:
●● Gestión y organización de las TI
●● Adquisición, desarrollo y mantenimiento
de aplicaciones
●● Producción y explotación de los sistemas
●● Seguridad física y lógica en el acceso a
datos a nivel de redes de comunicacio-
nes, aplicaciones y bases de datos
Los controles generales están destinados
principalmente a mitigar los siguientes ries-gos:
• El acceso no autorizado a datos que pue-
da resultar en la eliminación o alteración
de información
• Los errores en el funcionamiento de las
aplicaciones informáticas, como conse-
cuencia de cambios deficientemente pro-
bados
• Los cambios no autorizados en las aplica-
ciones o programas que puedan afectar a
la integridad de los datos
• La pérdida potencial de información como
consecuencia de errores en la ejecución
de interfases y procesos
• La pérdida de información por deficiencias
en copias de seguridad
• La falta de garantía de la continuidad de
las actividades de la empresa por la ine-
xistencia de un plan de contingencias o
negocio
La evaluación del diseño y la efectividad
operativa de los controles generales infor-
máticos resulta clave cuando se pretende
depositar confort en los controles del siste-
ma informático del proceso de negocio y en
la información generada por el sistema. Las
debilidades en los controles generales infor-
máticos pueden tener un impacto en los
controles automáticos de las aplicaciones,
en los procesos automatizados, así como
en la fiabilidad de los informes que se utili-
zan en controles manuales y de supervisión.
Por ejemplo, supongamos que el auditor
confía en el listado de clasificación de deu-
da que genera el sistema, y también en el
proceso automatizado diario de facturación
que genera los apuntes contables en la apli-
cación de contabilidad. ¿Hasta qué punto el
auditor podría confiar en esta información si
identificamos que los listados no están sien-
do adecuadamente probados en el momen-
to de su desarrollo, las incidencias en la eje-
cución de procesos automatizados no se re-
suelven debidamente, y un número signifi-
cativo del personal de IT tiene acceso total
a las tablas con los datos de facturación y
de contabilidad?
Tal y como se desprende de los ejemplos
anteriores, las deficiencias de control identifi-
cadas en la revisión de los controles genera-
les informáticos requieren de una evaluación
detenida y rigurosa, con objeto de analizar el
posible impacto en la integridad de los datos
que generan las aplicaciones informáticas
afectadas y, más importante aún, el auditor
debe evaluar el impacto sobre su enfoque de
auditoría, evaluar hasta qué punto los proce-
pág
75pd www.partidadoble.es
La auditoría de cuentas anuales en entornos informatizados
dimientos de auditoría ini-
cialmente planifica-
dos son suficien-
tes para dar res-
puesta al riesgo
derivado de la
deficiencia de con-
trol. Y, si procede,
adecuar los procedimien-
tos de auditoría convenientemen-
te, por ejemplo, a través del reenfoque de las
pruebas sobre la validación de controles o
del incremento del trabajo sustantivo sobre
una determinada área.
2.2 Los controles de aplicación
Los controles de aplicación pueden ser
manuales o automatizados y operan, gene-
ralmente, a nivel del proceso de negocio,
considerando también cualquier proceso ex-
clusivamente relacionado con la contabilidad
y el reporting financiero. Son controles espe-
cíficos sobre las aplicaciones que generan
los registros contables y su finalidad es ase-
gurar razonablemente que todas las transac-
ciones son autorizadas y registradas, y que
son procesadas de forma completa, adecua-
da y oportuna.
Los controles de aplicación se pueden
desarrollar mediante procedimientos manua-
les, que pueden o no apoyarse en las aplica-
ciones, o mediante procedimientos automáti-
cos diseñados en los propios programas in-
formáticos. El escenario más habitual en las
empresas es que el control interno del proce-
so informatizado se base en una combina-
ción de controles automáticos programados
en las aplicaciones, con controles manuales
basados en información generada por los
sistemas, para aquellas actividades de con-
trol que requieren de cierto juicio en su eje-
cución.
En la revisión del control interno en un en-
torno informatizado, del mismo modo que el
auditor no se plantea prescindir de la evalua-
ción de los controles manuales, tampoco de-
be prescindir de la evaluación de los contro-
les automáticos, sobre todo cuando éstos han
sido diseñados por la compañía para mitigar
riesgos del proceso y asegurar la integridad
de la información.
Con respecto a la relevancia de los con-
troles automáticos, y a modo de ejemplo, su-
pongamos un proceso de
compras cuyo control
interno se basa en
el uso obligatorio
de proveedores
h o m o l o g a d o s ,
sobre los cuales
existen procedimien-
tos de control adecuados
previos a su inclusión en el ma-
estro de proveedores. En la revisión de los
controles automáticos del proceso se detecta
que, para un tipo determinado de orden de
compra, la configuración de la aplicación per-
mite introducir un nuevo proveedor en el mo-
mento de procesar la orden, con independen-
cia de que el mismo esté dado de alta en el fi-
chero maestro de proveedores autorizados.
Esta debilidad en el control automático esta-
blecido posibilita la introducción de proveedo-
res no autorizados y, en consecuencia, poten-
cialmente la realización de compras a provee-
dores ficticios. La evaluación del auditor re-
quiere de un análisis más minucioso si, a raíz
de esta deficiencia de control detectamos,
además, que la compañía ha estado realizan-
do compras a estos proveedores no incluidos
en el maestro autorizado.
Otro ejemplo, supongamos que en un
proceso de ventas, en el momento de emitir
la factura al cliente, el sistema permite al
personal del departamento de facturación la
posibilidad de modificar a la baja la cantidad
entregada y, en consecuencia, el importe de
la factura. Evidentemente, la práctica prolon-
gada de esta transacción, con fines malin-
tencionados o simplemente por error, podría
tener un impacto significativo sobre las ven-
tas y las existencias contabilizadas. Final-
mente, supongamos que por un error en la
parametrización de un sistema ERP, las
ventas para un determinado tipo de pedido
no están siendo contabilizadas en la cuenta
contable correcta, ocasionando además dife-
rencias entre los auxiliares y la contabilidad
general.
Los ejemplos arriba expuestos, aunque
pueden ser algo sorprendentes, son algunos
de los muchos casos que nos hemos encon-
trado en el transcurso de nuestra carrera co-
mo auditores de sistemas y procesos informa-
tizados, y que confirman que los sistemas in-
formáticos no siempre están programados y/o
configurados como deberían, y que éstos re-
quieren de una especial atención en los pri-
especial auditoría nº 202 septiembre 2008
pág
76pd
meros años de implantación, en periodos de
cambios significativos en las aplicaciones, y
en entornos de control interno informático po-
co evolucionados. Al igual que en los contro-
les generales informáticos, las deficiencias
identificadas en los controles automáticos re-
quieren de su correspondiente análisis y eva-
luación del impacto en los procedimientos de
auditoría.
Asimismo, y como hemos avanzado ante-
riormente, con cierta frecuencia el auditor so-
porta sus procedimientos en la efectividad de
controles manuales que se sustentan en in-
formación generada por los sistemas informá-
ticos (informes de excepciones, informes de
supervisión, etc.). Es evidente que la efectivi-
dad de este control manual depende de la fia-
bilidad del informe utilizado en la ejecución de
dicho control. La validación de informes en
entornos informatizados, sobre todo cuando
éstos forman parte de controles clave del pro-
ceso, requiere de una especial atención y ello
es objeto de un apartado específico en este
artículo.
En una auditoría de cuentas anuales en
un entorno informatizado, en la que el audi-
tor pretenda confiar en el control interno del
proceso informatizado, debe compaginarse
la revisión de los controles de aplicación con
los controles generales, dado que, como he-
mos visto anteriormente, la dependencia en-
tre ambos componentes es absoluta.
2.3. Procesos contablesautomatizados
Los procesos contables automatizados
son cálculos, clasificaciones, estimaciones o
cualquier otro proceso contable que realiza
un sistema informático. A modo de ejemplo,
un proceso contable automatizado en el sec-
tor bancario, sería el cálculo de la provisión
para insolvencias por morosidad en función
de las características y la situación de las
operaciones, siguiendo los criterios estable-
cidos por el Banco de España en las circula-
res que emite. Otro ejemplo, en el mismo
sector, sería el cálculo de las periodificacio-
nes de intereses para operaciones de Activo
y Pasivo. A pesar de que la complejidad de
los procesos puede variar, no hace falta
pensar demasiado para hallar multitud de
otros ejemplos en la contabilidad de las em-
presas: los cálculos de amortización, la apli-
cación de tramos de facturación según con-
trato con el cliente, clasificación del aging de
clientes, etc.
Como se aprecia en estos ejemplos, los
cálculos que se realizan en procesos conta-
bles automatizados pueden llegar a ser bas-
tante complejos y, en muchas ocasiones, la
validación por parte del auditor no es posible
a través del muestreo, si se pretende un enfo-
que eficiente a la vez que un nivel de confort
significativo en el cálculo que realiza el siste-
ma informático.
En muchos de los casos, el auditor debe
plantearse la opción de utilizar una herra-
mienta de interrogación de ficheros, en la que
es posible realizar procesos de réplica de cál-
culos complejos y ejecutar comparativas de
resultados. Estas pruebas pueden realizarse
para la totalidad de los registros y resulta un
procedimiento de auditoría clave en la valida-
ción independiente del sistema informático
por parte del auditor.
2.4. Controles en interfases
Además de los controles de aplicación
automáticos y los cálculos programados en
las mismas aplicaciones, el auditor también
debe tener en especial consideración las
pág
77pd www.partidadoble.es
La auditoría de cuentas anuales en entornos informatizados
E S Q U E M A 3
CONCEPTO DE CONTROLES EN UN ENTORNOINFORMATIZADO EN SAP R/3
Mangement&
User controls
Configurable controls
Access Controls
SAP Basis and Change Management
Operating System security
Network and other IT infrastructure controls
BusinessProcessControls
GeneralSystemControls
El siguiente esquema ilustra las distintas capas que el auditor debe evaluar en un
entorno informatizado basado en el ERP SAP R/3, y en el cual se requiera confort
en el control interno del proceso informatizado. La efectividad de los controles a ni-
vel del proceso de negocio depende también de la efectividad de los controles ge-
nerales informáticos.
interfases entre aplicaciones y entre bases
de datos. En este ámbito de control, mere-
cen una especial atención las interfases
que, además, estén directamente relaciona-
das con la aplicación de contabilidad gene-
ral y de reporting financiero. Los controles
de interfase son críticos para asegurar la in-
tegridad de la información durante las trans-
misiones de datos entre sistemas como, por
ejemplo, entre un sistema logístico que re-
gistra las expediciones de mercancías y el
sistema de facturación que genera las factu-
ras en función de los datos de expedición
que recibe de la aplicación de logística.
Los controles de interfase pueden ser ma-
nuales, por ejemplo a través de reconciliacio-
nes totalmente manuales, o apoyarse en pro-
cedimientos más automatizados que reconci-
lian automáticamente los datos entre los dos
sistemas y que requieren de la revisión ma-
nual de un informe con los resultados del pro-
ceso. El auditor debe evaluar si los controles
de interfase son adecuados y mitigan riesgos
de interfase, como la pérdida de datos por in-
terrupción de las comunicaciones, duplicación
de datos en el sistema destino, actualización
del sistema destino con datos correspondien-
tes a un período incorrecto, etc.
El auditor debe evaluar los controles de
interfase desde un punto de vista de diseño
del control, como de la efectividad operativa
del control de monitorización utilizado por la
compañía. Además, el cruce de la informa-
ción de distintas aplicaciones y el análisis de
la coherencia interna de los datos, mediante
la interrogación de ficheros y bases de datos
utilizando técnicas de auditoría asistida por
ordenador, es un procedimiento de auditoría
que confiere un confort importante sobre la
integridad de la información transmitida en-
tre distintos sistemas.
2.5. Informes y hojas de cálculorelevantes al reporting financiero
En el transcurso de la auditoría de cuen-
tas anuales, el auditor suele confiar en infor-
mes generados por el sistema informático du-
rante la ejecución de distintos procedimientos
de auditoría, tales como:
• La validación de controles manuales
• La validación de controles de supervisión
• La realización de pruebas sustantivas de
detalle
Cuando el auditor soporta sus procedi-
mientos de auditoría en informes generados
por el sistema informático, es de sentido co-
mún que valide la fiabilidad e integridad de
la información contenida en estos informes.
Esta validación debe realizarse, como míni-
mo, la primera vez que se pretende confiar
en el informe o cuando se han producido
cambios en los sistemas que puedan afectar
a la fiabilidad del informe. La validación pe-
riódica del informe en futuras auditorías de-
penderá de distintos criterios como, por
ejemplo, la relevancia del informe, pero tam-
bién, y como ya hemos mencionado con an-
terioridad, de la efectividad de los controles
generales informáticos.
En la misma línea, el auditor debe tener
en consideración el uso de hojas de cálculo
relevantes al reporting financiero y, en conse-
cuencia, evaluar la fiabilidad de las mismas.
Es muy habitual en las empresas que los de-
partamentos se apoyen en hojas de cálculo u
otras bases de datos, externas al sistema de
información principal, para la realización de
cálculos, más o menos complejos, pero que
con frecuencia afectan de un modo significati-
vo a los datos de contabilidad general. En
nuestra experiencia como auditores, hemos
identificado en varias ocasiones errores en
hojas de cálculo, relativamente sencillas, con
impacto potencial de un error material.
Existen distintos procedimientos para la
validación de informes y hojas de cálculo. El
recálculo y la interrogación de ficheros y ba-
ses de datos a través de técnicas de auditoría
asistida por ordenador, así como la revisión
de fórmulas, son procedimientos habituales y
que confieren un confort razonable al auditor
financiero.
especial auditoría nº 202 septiembre 2008
pág
78pd
El escenario actual requiere que
el auditor considere los riesgos
tecnológicos y el sistema de control
interno informático dentro de una
auditoría de cuentas anuales
«
«
2.6. Segregación de funciones yderechos de acceso en el sistemainformático
La evaluación del control interno en entor-
nos informatizados requiere también una revi-
sión de la segregación de funciones y los de-
rechos de acceso definidos en el sistema in-
formático.
La división de responsabilidades y la res-
tricción de funciones dentro de la entidad es
un factor primordial en el control interno, y es-
te aspecto toma una especial relevancia
cuando se trata de procesos de negocio infor-
matizados. La entidad puede establecer pro-
cedimientos de control automáticos y manua-
les, incluso disponer de un modelo organizati-
vo estricto que evite las incompatibilidades
entre las funciones del personal. Sin embar-
go, desviaciones en cuanto a la segregación
de funciones y el acceso lógico definido en el
sistema informático pueden hacer totalmente
inefectivo un determinado control y traducirse
en transacciones de negocio no autorizadas,
fraude y malversaciones.
Por ejemplo, supongamos un ciclo de
compras tradicional donde las transacciones
de orden de compra, introducción de la factu-
ra del proveedor, y procesamiento del pago
están organizativamente segregadas en los
departamentos correspondientes de Com-
pras, Facturación y Tesorería. En este esce-
nario, la entidad puede disponer de controles
en el proceso de negocio de compras, pero la
efectividad del control interno en dicho proce-
so podría cuestionarse si detectamos que la
mayoría de los usuarios de las aplicaciones
disponen de acceso lógico a ejecutar el con-
junto de las transacciones anteriormente cita-
das y, por lo tanto, potencialmente realizar
una compra ficticia, aceptar la factura y pro-
cesar el pago.
Cuando el auditor considera que la segre-
gación de funciones es importante para miti-
gar los riesgos identificados a nivel de aser-
ción, el riesgo de fraude o de error en los es-
tados financieros, el análisis del acceso lógico
en las aplicaciones informáticas requiere de
una especial atención.
Es totalmente comprensible que la dimen-
sión de la entidad, su organización interna, y
otros factores varios ocasionen que, frecuen-
temente, las empresas combinen funciones y
responsabilidades que idealmente deberían
estar segregadas. En este caso, el auditor de-
berá evaluar los procedimientos alternativos o
compensatorios que mitiguen estos riesgos.
No obstante, en cualquier caso, la entidad y
el auditor deben ser conscientes que la divi-
sión de responsabilidades y la restricción de
funciones del personal no es un aspecto ex-
clusivamente relacionado con la organización
interna y ubicación física de las personas, si-
no que, adicionalmente, requiere de una
apropiada definición de roles en las aplicacio-
nes informáticas y los sistemas de gestión.
3. LA INTEGRACIÓN DEESPECIALISTAS Y FORMACIÓN DELAUDITOR FINANCIERO
Dada la complejidad actual de los siste-
mas y las plataformas tecnológicas, el uso de
especialistas auditores informáticos en la vali-
dación de los controles generales y los con-
troles de aplicación y otros procesos automa-
tizados resulta clave. Pero tan importante es
el conocimiento técnico del especialista, co-
mo la capacidad, por parte
del auditor financiero, de
entender cuándo y por-
qué debe involucrarse al
especialista. El auditor
financiero debe apoyarse
en el auditor informático en el
transcurso de la auditoría
de cuentas anuales, pero
este apoyo no debe con-
vertirse en una delegación
total de la comprensión de los ries-
gos y los controles existentes en el
entorno informatizado.
La integración ‘auditor financie-
ro-auditor informático’ debe existir
desde la fase de planificación de la au-
ditoría, en la que se realiza la evaluación
inicial de riesgos y se determina el enfoque
de auditoría, hasta la fase de conclusiones en
la ejecución del plan de auditoría, donde, a
raíz de las deficiencias detectadas, debe
valorarse conjuntamente si el nivel
de confort en el control interno
del entorno informatizado es
el inicialmente previsto por
el auditor. El análisis
conjunto debe llevar al
auditor a determinar si
los aspectos de con-
trol identificados
pág
79pd
La auditoría de cuentas anuales en entornos informatizados
www.partidadoble.es
requieren de procedimientos adicionales de
auditoría, previsiblemente, de naturaleza más
sustantiva.
El éxito de una auditoría de cuentas anua-
les efectiva y eficiente en un entorno altamente
informatizado radica en el nivel de integración
del auditor financiero con el auditor informático.
Esta integración de capacidades lleva a un
nuevo perfil del auditor financiero, que aprove-
cha el uso de procedimientos y técnicas de au-
ditoría para hacer eficiente la auditoría en un
entorno informatizado. A la vez que no obvia,
durante las fases de evaluación de riesgos,
aquellos riesgos derivados del uso intensivo de
las tecnologías de información en el proceso
de negocio que genera los datos contables.
El perfil generalizado del auditor financiero
actual está todavía demasiado lejos de este
perfil ideal, que combina conocimientos en au-
ditoría de cuentas y en auditoría de sistemas y
procesos informatizados. El auditor actual re-
quiere de una mayor formación en riesgos tec-
nológicos, en controles en procesos informati-
zados, herramientas de soporte a la auditoría
y, en general, en estándares de auditoría bajo
entornos informatizados. Asimismo, el auditor
financiero debe obtener un nivel de formación
suficiente en tecnología que le permita perder
el miedo que, en ocasiones, le genera el inten-
tar comprender los sistemas informáticos de
una organización y su relación con los proce-
sos de negocio y los estados financieros.
Tampoco pretendemos que un auditor fi-
nanciero, generalmente, con formación en
ciencias económicas o empresariales, se con-
vierta en un experto en tecnología (para ello
ya tiene a los especialistas), pero sí que ten-
ga una formación suficiente para evitar actitu-
des que consideran que los sistemas informá-
ticos son, simplemente, una ‘caja negra’ en
su proceso de auditoría de cuentas anuales,
cuya revisión alternativa es simplemente la
realización de pruebas sustantivas.
4. HERRAMIENTAS DE SOPORTE AL AUDITOR
En la evaluación de sistemas y procesos
informatizados, el auditor puede soportar la
ejecución de los procedimientos de auditoría
a través de distintas herramientas. El uso de
herramientas de auditoría se basa en la infor-
mación extraída directamente de los sistemas
de la compañía, e incluso, de los datos conta-
bles que provienen de aplicativos o servido-
res de información.
Algunos de los beneficios en el uso de
estas herramientas son:
✓ Facilidad de manejo de grandes volúme-
nes de datos
✓ Mayor cobertura y alcance de las pruebas
✓ Aprovechamiento de la informatización de
datos de las empresas
✓ Fiabilidad de los datos obtenidos
✓ Manejabilidad de los datos
✓ Rapidez en el procesamiento de los datos
Las herramientas de auditoría asististida
por ordenador (CAATs - Computer Assisted
Audit Tools) son softwares específicos que
permiten un cierto nivel de programación y
poder procesar rutinas y cálculos, de cierta
especial auditoría nº 202 septiembre 2008
pág
80pd
E S Q U E M A 4
PROCESO DE GENERACIÓN DE INFORMACIÓN
Como se puede ver el proceso de generación de información en una empresa se
asemeja a la estructura de una caja, en la que la base es la infraestructura tecno-
lógica que soporta las aplicaciones, que a su vez soportan los procesos de nego-
cios que generan la información contable.
complejidad, sobre volúmenes significativos
de datos. Estas herramientas son útiles para
ejecutar procedimientos de auditoría en dis-
tintos ámbitos, tales como la validación de
procesos contables automatizados, fiabilidad
de las interfases, fiabilidad de informes, así
como la realización de procedimientos sus-
tantivos y pruebas de detalle.
El uso de CAATs se extiende también en
la ejecución de los procedimientos de audito-
ría en relación a la consideración, por parte
del auditor, de los riesgos de error material
debido a fraude (ISA 240 - The auditor’s res-
ponsibility to consider fraud in an audit of fi-
nancial statements). Por ejemplo, los procedi-
mientos de auditoría sobre la posible manipu-
lación de los estados financieros a través de
la introducción de apuntes manuales pueden
verse significativamente reforzados mediante
el análisis de la totalidad de estas transaccio-
nes manuales en base a criterios varios (ajus-
tes por encima de la materialidad, apuntes in-
troducidos con posterioridad al corte del ejer-
cicio, Ley de Benford, etc.) .
También existe una variedad de herra-
mientas de auditoría específicas por platafor-
ma tecnológica y por ERP, que pueden apo-
yar al auditor en la evaluación de la seguri-
dad, el acceso lógico y la segregación de fun-
ciones, e incluso en el análisis de la configu-
ración de los controles automáticos en deter-
minadas aplicaciones.
En entornos cada vez más informatizados,
la evolución natural de los procedimientos de
auditoría encaminados a la obtención de las
evidencias del auditor, se orienta hacia técni-
cas cada vez más automatizadas que incorpo-
ran métodos, dentro del concepto de auditoría
en tiempo real, basados en inteligencia artificial
y análisis de modelos de comportamiento, para
la detección de fraude o de transacciones inu-
suales en los estados financieros.
5. CONCLUSIONES
En el escenario empresarial actual, el gra-
do de dependencia de la información contable
y de gestión en los sistemas y procesos infor-
matizados requiere que el auditor financiero
considere los riesgos tecnológicos y el siste-
ma de control interno informático dentro del
contexto de una auditoría de cuentas anua-
les. La información financiera y de gestión se
ve afectada por la fiabilidad de los procesos
de negocio y éstos, a su vez, se ven afecta-
dos por la fiabilidad de los sistemas y proce-
sos informáticos que los soportan.
En procesos y sistemas complejos, la ten-
dencia hacia un enfoque de auditoría basado
en la confianza en controles, y la reducción
gradual de horas en el trabajo sustantivo, de-
bería ser el proceso natural, si se pretende la
eficiencia y efectividad en los procedimientos
del auditor, a la vez que se tienen en conside-
ración los riesgos tecnológicos derivados de
un entorno informatizado.
La ejecución de una auditoría de cuentas
anuales con un enfoque eficiente y adecuado
en controles incrementa el conocimiento de
los procesos de negocio por parte del auditor,
y la posibilidad de agregar valor al cliente den-
tro del proceso de auditoría, por una parte, a
través de recomendaciones de control interno,
y por otra, a través de soluciones derivadas
de una mayor comprensión de los problemas
con los que se enfrenta el cliente. Este segun-
do aspecto es cada vez más importante y más
reclamado por parte del mercado a la profe-
sión de auditor financiero. Nuestros clientes
requieren que les demos confianza sobre la
fiabilidad y razonabilidad de la información
contable y de gestión que utilizan para la toma
de decisiones, y que alimentan los reportes e
informes que emiten al exterior: cuentas anua-
les, memoria social, informes de responsabili-
dad social corporativa, informes a regulado-
res, etc. Todo ello en un marco de auditoría
efectiva y eficiente realizada en el menor tiem-
po posible, lo que sólo se puede conseguir,
generalmente, bajo enfoques que incluyen la
auditoría de los sistemas y procesos informati-
zados de las compañías. ✽
pág
81pd www.partidadoble.es
La auditoría de cuentas anuales en entornos informatizados
El perfil del auditor financiero
actual está aún demasiado lejos del
ideal, que combina conocimientos
en auditoría de cuentas y
auditoría de sistemas y
procesos informatizados
«
«