NORMA INTERNACIONAL DE AUDITORIA (NIA)

El propósito de esta Norma Internacional es establecer reglas y suministrar criterios sobre el objetivo y principios generales que rigen una auditoría de los estados financieros.

TECNICAS DE AUDITORIA CON AYUDA DE COMPUTADORA (TAACs) (NIA 16)

AUDITORIA EN UN AMBIENTE DE SISTEMAS DE INFORMACION POR
COMPUTADORA (NIA 401)

El propósito de esta norma es proporcionar lineamientos en el uso de TAACs. Aplica a todos los usos de TAACs que impliquen una computadora de cualquier tipo o tamaño. Esta Norma describe dos de los tipos más comunes de TAACs; software de auditoría y datos de prueba usados para propósitos de auditoría.

- SOFTWARE DE AUDITORÍA

Consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditoría, para procesar datos de importancia de auditoría del sistema de contabilidad de la entidad. Consiste en:

• LOS PROGRAMAS EN PAQUETE

• LOS PROGRAMAS ESCRITOS PARA UN PROPÓSITO

• LOS PROGRAMAS DE UTILERÍA

Son programas generalizados de computadora diseñados para desempeñar funciones de procesamiento de datos que incluyen leer archivos de computadora, seleccionar información, realizar cálculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor.

Son programas generalizados de computadora diseñados para desempeñar funciones de procesamiento de datos que incluyen leer archivos de computadora, seleccionar información, realizar cálculos, crear archivos de datos e imprimir informes en un formato especificado por el auditor.

Son usados por la entidad para desempeñar funciones comunes de procesamiento de datos, como clasificación, creación e impresión de archivos.

- DATOS DE PRUEBA

Se usan para conducir procedimientos de auditoría alimentando datos (por ej., una muestra de transacciones) al sistema de computadora de una entidad, y comparando los resultados obtenidos con resultados predeterminados. Algunos ejemplos de dichos usos son:

  1. Datos de prueba usados para probar controles específicos en programas de computadora, como controles de palabras clave en sistemas en línea, y de acceso a datos.
  1. Transacciones de prueba seleccionadas de transacciones procesadas previamente o creadas por el auditor para probar características específicas de procesamiento del sistema de computadora de una entidad.
  1. Transacciones de prueba usadas en una instalación de pruebas integrada donde se establece una unidad “modelo” (por ej., un departamento o empleado).

- USOS DE TAACs

Pueden ser usadas para realizar diversos procedimientos de auditoría, incluyendo:

• Pruebas de detalles de transacciones y saldos.

• Procedimientos de revisión analítica.

• Pruebas de cumplimiento de controles generales de PED.

• Pruebas de cumplimiento de controles de aplicación de PED.

CONSIDERACIONES EN EL USO DE TAACs

Al planear la auditoría, el auditor deberá considerar una combinación apropiada de técnicas de auditoría manuales y con ayuda de computadora. Al determinar si se usan TAACs, los factores a considerar incluyen:

• Conocimiento, pericia y experiencia del auditor en computadoras.

• Disponibilidad de TAACs e instalaciones adecuadas de computación.

• No factibilidad de pruebas manuales.

• Efectividad y eficiencia.

• Oportunidad.

- CONOCIMIENTO, PERICIA Y EXPERIENCIA DEL AUDITOR EN COMPUTADORAS

El auditor deberá tener suficiente conocimiento para planear, ejecutar y usar los resultados de la TAAC adoptada. El nivel de conocimiento requerido depende de la complejidad y naturaleza de la TAAC y del sistema de contabilidad de la entidad. Consecuentemente, el auditor deberá estar consciente de que el uso de TAACs en ciertas circunstancias puede requerir de manera importante más conocimiento y pericia en computadoras que en otras.

- DISPONIBILIDAD DE TAACs E INSTALACIONES ADECUADAS DE COMPUTACIÓN

El auditor deberá considerar la disponibilidad de TAACs, instalaciones adecuadas de computación y los necesarios archivos y sistemas de contabilidad basados en computadoras. Se puede requerir la cooperación del personal de la entidad para proporcionar las instalaciones de procesamiento a un horario cómodo, para ayudar con actividades como la carga y corrida de TAACs.

- NO FACTIBILIDAD DE PRUEBAS MANUALES

Muchos sistemas de contabilidad computarizados realizan tareas para las que no hay evidencia visible disponible y, en estas circunstancias, puede no ser factible para el auditor realizar pruebas en forma manual. La falta de evidencia visible puede ocurrir en diferentes etapas del proceso contable, por ejemplo:

• Pueden no existir documentos de entrada en donde las órdenes de venta se alimentan en línea.

• El sistema puede no producir un rastro visible de auditoría de las transacciones procesadas a través de la computadora.

• Puede ser que el sistema no produzca informes de salida.

- EFECTIVIDAD Y EFICIENCIA

La efectividad y eficiencia de los procedimientos de auditoría pueden mejorarse mediante el uso de TAACs al obtener y evaluar evidencia de auditoría, por ejemplo:

• Algunas transacciones pueden ser probadas más efectivamente por un nivel similar de costo usando la computadora para examinar.

• El uso de TAACs puede hacer más eficientes los procedimientos sustantivos adicionales que apoyarse en los controles.

• Al aplicar procedimientos de revisión analítica, los detalles de la transacción o de saldos pueden revisarse e imprimirse informes de partidas inusuales.

- OPORTUNIDAD

Ciertos archivos de computadora, como los archivos de transacciones detalladas, a menudo se conservan por sólo un tiempo corto, y pueden no estar disponibles en forma legible por la maquina cuando el auditor lo requiere.

- UTILIZACIÓN DE TAACs

Los pasos principales que debe tomar el auditor en la aplicación de una TAAC, son:

• Fijar el objetivo de la aplicación de la TAAC.

• Determinar el contenido y accesibilidad de los archivos de la entidad.

• Definir los tipos de transacción que van a ser probados.

• Definir los procedimientos que se realizarán en los datos.

• Definir los requerimientos de datos de salida.

• Identificar al personal de auditoría y de computación que pueda participar en el diseño y aplicación de la TAAC.

• Refinar los estimados de costos y beneficios.

• Asegurarse de que el uso de la TAAC está controlado y documentado en forma apropiada.

• Organizar las actividades administrativas, incluyendo las habilidades necesarias y las instalaciones de computación.

• Ejecutar la aplicación de la TAAC.

• Evaluar los resultados.

- CONTROL DE LA APLICACIÓN DE LA TAAC

Deberá ser controlado por el auditor para proporcionar razonable certeza de que los objetivos de auditoría y las especificaciones detalladas de la TAAC han sido satisfechos, y de que la TAAC no es manipulada en forma inapropiada por el personal de la entidad. Al establecer el control de auditoría, el auditor deberá considerar la necesidad de:

• Aprobar las especificaciones técnicas, y realizar una revisión técnica del trabajo que implica el uso de la TAAC.

• Revisar los controles generales de PED de la entidad que puedan contribuir a la integridad de la TAAC — por ejemplo, los controles sobre cambios en programas y acceso a archivos de computadora.

• Asegurar la integración apropiada de los datos de salida por parte del auditor dentro del proceso de auditoría.

- DOCUMENTACIÓN

El estándar de papeles de trabajo y de procedimientos de retención para una TAAC deberá ser consistente con el de la auditoría como un todo. Los papeles de trabajo deberán contener suficiente documentación para describir la aplicación de la TAAC, tal como:

  • Planeación

• Ejecución

• Evidencia de auditoria

• Otro

- UTILIZACIÓN DE TAACs EN ENTORNOS DE COMPUTADORA EN NEGOCIOS PEQUEÑOS

Los principios generales explicados en esta Norma son aplicables en los entornos de computadora de negocios pequeños. Sin embargo, en estos entornos deberá darse especial consideración a los siguiente puntos:

• El nivel de controles generales de PED puede ser tal que el auditor deposite menos confiabilidad en el sistema de control interno.

• En casos donde se procesen menores volúmenes de datos, los métodos manuales pueden ser más efectivos en costo.

• La asistencia técnica adecuada puede no estar disponible al auditor por parte de la entidad, haciendo así poco factible el uso de TAACs.

• Ciertos programas de auditoría en paquete pueden no operar en computadoras pequeñas, restringiendo así la opción del auditor en cuanto a TAACs.

Establecer normas y proporcionar lineamientos sobre los procedimientos que deben seguirse cuando se conduce una auditoría en un ambiente de sistemas de información computarizada (SIC)1.

- HABILIDAD Y COMPETENCIA

El auditor debería tener suficiente conocimiento del SIC para planear, dirigir, supervisar y revisar el trabajo desarrollado. Estas pueden necesitarse para:

• Obtener una suficiente comprensión de los sistemas de contabilidad y de control interno afectados por el ambiente SIC.

• Determinar el efecto del ambiente SIC sobre la evaluación del riesgo global y del riesgo al nivel de saldo de cuenta y de clase de transacciones.

• Diseñar y desempeñar pruebas de control y procedimientos sustantivos apropiados.

- PLANEACIÓN

El auditor debería obtener una comprensión de los sistemas de contabilidad y de control interno, suficiente para planear la auditoría y desarrollar un enfoque de auditoría efectivo, el auditor debería obtener una comprensión de la importancia y complejidad de las actividades de SIC y la disponibilidad de datos para uso en la auditoría. Esta comprensión incluiría asuntos como:

  1. La importancia y complejidad del procesamiento por computadora en cada operación importante de contabilidad. Se puede considerar como compleja una aplicación cuando, por ejemplo:

• La computadora automáticamente genera transacciones o entradas de importancia relativa directamente a otra aplicación.

• La computadora desarrolla cómputos complicados de información financiera y/o automáticamente genera transacciones o entradas de importancia relativa.

• El volumen de transacciones es tal que los usuarios encontrarían difícil identificar y corregir errores en el procesamiento.

• Las transacciones son intercambiadas electrónicamente con otras organizaciones.

  1. La estructura organizacional de las actividades SIC del cliente y el grado de concentración o distribución del procesamiento por computadora en toda la entidad.
  1. La disponibilidad de datos. Los documentos fuente, ciertos archivos de computadora, y otro material de evidencia que pueden ser requeridos por el auditor, pueden existir por un corto periodo de tiempo o sólo en forma legible por computadora.

Cuando el SIC es significativo, el auditor deberá también obtener una comprensión del ambiente SIC y de si puede influir en la evaluación de los riesgos inherente y de control: La naturaleza de los riesgos y las características del control interno en ambientes SIC incluyen lo siguiente:

• Falta de rastros de las transacciones.

• Procesamiento uniforme de transacciones.

• Falta de segregación de funciones.

• Potencial para errores e irregularidades.

• Iniciación o ejecución de transacciones.

• Dependencia de otros controles del procesamiento por computadora.

• Potencial para mayor supervisión de la administración.

• Potencial para el uso de técnicas de auditoría con ayuda de computadora.

- EVALUACIÓN DEL RIESGO

De acuerdo con NIA "Evaluación del riesgo y control interno", el auditor debería hacer una evaluación de los riesgos inherente y de control para las aseveraciones importantes de los estados financieros.

  1. Los riesgos inherentes y los riesgos de control en un ambiente SIC pueden tener tanto un efecto general como un efecto específico por cuenta en la probabilidad de representaciones erróneas importantes, como:

• Los riesgos pueden resultar de deficiencias en actividades generales de SIC como desarrollo y mantenimiento de programas, soporte al software de sistemas, operaciones, seguridad física de SIC.

• Los riesgos pueden incrementar el potencial de errores o actividades fraudulentas en aplicaciones específicas, en bases de datos específicas o en archivos maestros, o en actividades de procesamiento específicas.

  1. Al surgir nuevas tecnologías de SIC, frecuentemente son empleadas por los clientes para construir sistemas de computación cada vez más complejos que pueden incluir enlaces micro a redes, bases de datos distribuidas, procesamiento de usuario final, y sistemas de administración de negocios que alimentan información directamente a los sistemas de contabilidad.

- PROCEDIMIENTOS DE AUDITORÍA

• El auditor debería considerar el ambiente SIC al diseñar los procedimientos de auditoría para reducir el riesgo de auditoría a un nivel aceptablemente bajo.

• Los objetivos específicos de auditoría del auditor no cambian ya sea que los datos de contabilidad se procesen manualmente o por computadora.

• El auditor puede usar procedimientos de auditoría manuales, técnicas de auditoría con ayuda de computadora, o una combinación de ambos para obtener suficiente material de evidencia.