Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
1 Auditoría y Control de los Sistemas de Información Autor: Francisco Morteo 2 Concepto de auditoría. Comencemos por el principio: ¿qué es la auditoría? Etimológicamente, la palabra deriva del verbo latino audire, cuyo significado es oír, escuchar. Si bien parece no tener una relación directa, oír se asocia con la tarea del auditor debido a que en los primeros tiempos éstos ejercían su función juzgando la verdad o falsedad de lo que les era sometido “oralmente” a su verificación. Ésta raíz etimológica ya estaba presente en épocas del virreinato. Existía la Audiencia, tribunal público que Cabanellas lo define de la siguiente manera: “Del verbo audire; significa el acto de oír un juez o tribunal a las partes, para decidir los pleitos y causas. También se denomina audiencia al propio tribunal cuando es colegiado, y al lugar donde actúa.”. (1) Una derivación del verbo “audire”, también presente en esos años, era el de los “oidores”, jueces pertenecientes a dicho Órgano. Vemos que la necesidad de realizar controles y auditorías ya estaba presente en esas épocas. Con ciertos matices y adaptaciones a los tiempos es la idea que prevalece actualmente. Transcribimos a continuación una serie de definiciones de “auditoría”, pertenecientes a autores y Organismos reconocidos nacional e internacionalmente. La intención es sintetizar a partir de ellas los conceptos básicos que encierra el vocablo. 1. La Real Academia Española de la Lengua (RAE) nos provee 4 acepciones: a. f. Revisión sistemática de una actividad o de una situación para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas deben someterse. b. f. Revisión y verificación de las cuentas y de la situación económica de una empresa o entidad. c. f. Empleo de auditor. d. f. Tribunal o despacho del auditor. 2. “Es la recopilación y evaluación de datos sobre información de una entidad para determinar e informar sobre el grado de correspondencia 1 Cabanellas, Guillermo. Diccionario Jurídico elemental. Ver http://es.slideshare.net/YuhryGndara/diccionario- juridicoelementalguillermocabanellas. Revisdo el 8 de enero de 2017. Pág. 33. http://es.slideshare.net/YuhryGndara/diccionario-juridicoelementalguillermocabanellas http://es.slideshare.net/YuhryGndara/diccionario-juridicoelementalguillermocabanellas 3 entre la información y los criterios establecidos. La auditoría debe ser realizada por una persona competente e independiente”. (2) El eje de esta definición esta puesto en la gestión. Analizar si los datos concuerdan contra lo esperado. Agrega dos elementos importantes: informar lo analizado y la realizacion de la tarea por una persona competente e “independiente”, lo que descarta la idea de auditorías internas. 3. “Es el examen objetivo, sistemático y profesional de las operaciones ejecutadas con la finalidad de evaluarlas, verificarlas y emitir un informe que contenga comentarios, conclusiones y recomendaciones”. (3) También esta orientada a la gestión pero a partir del análisis de las operaciones y no de los datos, como propone la definición anterior. Especifica algunos de los contenidos que debe tener el informe (comentarios, conclusiones, recomendaciones). 4. “Es el examen de las demostraciones y registros administrativos. El auditor observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos”. (4) Se incluyen aquí algunos objetivos a perseguir por la auditoría (exactitud, integridad y autenticidad). Los objetos de la auditoría son tanto demostraciones como registros administrativos. 5. “La auditoría consiste en la realización de exámenes estructurados de programas de acción, organizaciones, actividades o segmentos operativos de una entidad, con el propósito de evaluar e informar sobre la utilización, de manera económica y eficiente, de sus recursos y el logro de sus objetivos. Es el proceso que tiende a medir el rendimiento real con relación a un rendimiento esperado. Tenderá a formular recomendaciones para mejorar el rendimiento real y alcanzar el éxito deseado.” (5) Esta definición es la más amplia. Los objetos sobre los que se realiza la auditoría pueden ser tanto programas, organizaciones, actividades o segmentos operativos. 2 Alonso Cepeda, Gustavo. Auditoría y Control Interno. Editorial McGraw-Hill. 1997. 3 Kell, Walter – Zeigler, Richar – Boynton, Williams. AUDITORÍA MODERNA, CECSA. México. 1998, p. 22 4 Holmes, Arthur. Auditoría. Principios y Procedimientos. 1967. 5 SLOSSE, Carlos y Otros. Auditoría: Un Nuevo Enfoque Empresarial, Segunda Edición. Buenos Aires, Macchi, 1995. 4 Agrega además el concepto de economicidad y eficiencia con que debe ser desarrollada la auditoría. Se incluye también una perspectiva proactiva. La finalidad última no es solo informar sino implementar cambios para mejorar el rendimiento. 6. “Auditoria es un examen que pretende servir de base para expresar una opinión sobre la razonabilidad, consistencia y apego a los principios de contabilidad generalmente aceptados, de estados financieros preparados por una empresa o por otra entidad para su presentación al Público o a otras partes interesadas”. (6) Esta es una típica definición de auditoría de Estados Contables. 7. “Una Auditoría es el examen independiente de la información de cualquier entidad, ya sea lucrativa o no, no importando su tamaño o forma legal, cuando tal examen se lleva a cabo con objeto de expresar una opinión sobre dicha información.” (7) Esta definición es muy amplia en donde se rescata el concepto de auditoría externa, de información, de entidades comerciales o no, y la emisión de informes sin muchos condiciones que limiten tales acciones. Vemos que existen definiciones de varios gustos. A partir de todas ellas vamos a sintetizar una que es la que tomaremos adoptaremos para el trabajo: “La auditoría es el trabajo que realiza el auditor, entendiendo por tal el examen crítico y sistemático que lleva a cabo un profesional independiente del sistema auditado, que tiene como propósito emitir una opinión objetiva y competente.”. Tomamos esta definición porque su amplitud nos permitirá que la apliquemos a varias situaciones y clasificaciones. Somos conscientes de que tradicionalmente hay una acepción que esta más generalizada principalmente en el ámbito de las ciencias económicas. Wikipedia nos aclara este punto: “… aunque existen muchos tipos de auditoría, la expresión se utiliza generalmente para designar a la “auditoría externa de estados financieros”, que es una auditoría realizada por un profesional experto en contabilidad, de los libros y registros contables de una entidad, para opinar sobre la razonabilidad de la información contenida en ellos y sobre el cumplimiento de las normas propias de la disciplina”. 6 Instituto Norteamericano de Contadores Públicos (AICPA). 1983. 7 Consejo de Normas Internacionales de Formación en Contaduría. La Federación Internacional de Contadores (International Federation of Accountants/IFAC) 5 Quizás ésta estrecha relación de la auditoría con la contabilidad se deba a que en sus orígenes la actividad surgió como una necesidad de controlar ciertas registraciones que efectuaban comerciantes y empresarios. Hagamos un poco de historia. En el siglo XV, como consecuencia del aumento exponencial del comercio internacional, los mercaderes se vieron obligados a mantener registro de las operaciones que llevaban a cabo, y la consiguiente necesidad de controlar la exactitud y pertinencia de esos datos, no solo en defensa de sus propios intereses sino además por que existía un número importante y creciente de interesados en conocer y controlar la evolución y confiabilidad de los números patrimoniales y económicos de las compañías. Esta necesidad, fuepotenciada con la constitución de sociedades que se creaban para limitar la responsabilidad de los dueños ante los cada vez mas frecuentes robos perpetrados principalmente por piratas. Debía entonces generarse una comunicación objetiva de los números y se requería por esta razón la generación de un lenguaje registral común. Surge entonces la adopción de la contabilidad basada en la partida doble y en la registración de las operaciones efectuadas en libros contables homogéneas para todas las empresas. Como la confección de los números por parte de los dueños de las empresas podía adolecer de vicios interesados, surge la idea de generar certificaciones de las registraciones a través de un profesional independiente que diera fe de manera objetiva y equidistante de los estados analizados. Nace así la auditoría como disciplina autónoma de la contabilidad. Una situación que alimenta la necesidad de realizar auditorías es la interrelación que las empresas comienzan a tener con los bancos a través de los depósitos que las primeras tienen en las entidades financieras y por el otro los prestamos que estas otorgan a los comercios. Es una necesidad simultánea de conocer el respaldo y objetividad de los registros de ambos tipos de organizaciones; los bancos para conocer el respaldo que las empresas tienen para responder a los préstamos que les otorguen y las empresas la necesidad que tienen de conocer el grado de seguridad que tienen al depositar su dinero en el banco. Exponemos a continuación y solo a título ilustrativo algunos hitos importantes en la historia de la auditoría: En 1284 en España, mientras ejercía el reinado Sancho VI “El Bravo”, se designó a varios hombres de confianza para realizar un control sobre el destino de los caudales públicos. Se considera que es el Origen del Tribunal de Cuentas en España. 6 Para algunos el verdadero nacimiento de la auditoría fue a finales del siglo XV, cuando nobles, ricos y familias pudientes de España, Inglaterra, Holanda, Francia y los demás países poderosos de ese entonces, recurrían a los servicios de revisores que revisaban las cuentas manejadas por los administradores de sus bienes, asegurándose de que no existieran fraudes en los reportes que se les presentaban. El descubrimiento de América en 1492, contribuyó también al crecimiento de la actividad de auditoría, ya que la Corona enviaba visitadores a revisar los resultados de sus colonias, supervisando que el registro y manejo de las cuentas fuera correcto y a su vez emitían una opinión sobre la actuación de los encargados. En diversos países de Europa, durante la edad media, surgen algunas asociaciones profesionales, que se encargaban de ejecutar funciones de auditorías, destacándose entre ellas los consejos Londinenses (Inglaterra), en 1310 y el Colegio de Contadores, de Venecia (Italia) en 1581. La Revolución Industrial, a partir de la séptima década de 1800, contribuyo para que las empresas alcancen un auge principalmente en actividades fabriles y mercantiles, trayendo consigo un notable crecimiento en sus operaciones, y naturalmente un notable incremento en la necesidad de registrar las operaciones contables. Todo esto impulsó la creación de la profesión de contador y a la par creció la demanda de ejercer mayor vigilancia en el registro de las operaciones financieras y la emisión de resultados financieros. Poco después de penetrar la contabilidad de los dominios científicos existe un preanuncio de la función de auditoría en 1845 en que el "Railway Companies Consolidation Act" obligaba a la verificación anual de los balances que debían hacer los auditores. El primer antecedente formal de la auditoría como profesión independiente fue la Ley Británica de Sociedades Anónimas de 1862. En ella se establecía que: “Un sistema metódico y normalizado de contabilidad era deseable para una adecuada información y para la prevención del fraude”. También reconocía: “Una aceptación general de la necesidad de efectuar una revisión independiente de las cuentas de las pequeñas y grandes empresas.”. En cuanto al término auditor evidenciando al profesional que practica esta disciplina, apareció a finales del siglo XVIII, en Inglaterra durante el reinado de Eduardo I. Fueron importantes los auditores que entendían en cuestiones eclesiásticas como el Auditor Papae, que aconsejaba al Sumo Pontífice sobre temas teológicos en sus comienzos, pero abarcando luego mas temas hasta que en 1831 comienza a entender en asuntos disciplinaros o los Auditores eclesiásticos de la Rota Romana. Eran jueces de designación pontificia que resolvían en apelaciones matrimoniales eclesiásticas. 7 Misión y objetivos de la auditoría Recordemos los conceptos de misión y función. Misión: Es el motivo, propósito, fin o razón de ser. Define: 1) lo que se pretende cumplir en un determinado entorno o sistema social en el que actúa, 2) lo que se pretende hacer y 3) el para quien lo va a hacer. No es un concepto inalterable en el tiempo ya que evoluciona por las visiones de cada momento y por circunstancias históricas. Objetivo: Haremos primeramente una distinción entre Objetivo y Objeto. En algunos casos se confunden los términos; hay autores que se refieren al Objeto de la Auditoría para referirse a los objetivos que se buscan con el trabajo. Nos parece importante hacer esta distinción ya que el objeto de la auditoría es uno de los elementos importantes a considerar en el momento de hacer clasificaciones de la auditoría. Nosotros vamos a hablar de Objetivo para designar el fin que se persigue con la tarea de auditoría. Implica un proceso, una serie de actividades para conseguirlo. Por Objeto entenderemos el elemento sobre el que se realiza la actividad del auditor. Es algo estático que debería ser especificado en el objetivo de la auditoría. En el Manual de Auditoría editado por el área de Auditoría de la Federación de Consejos Profesionales de Ciencias Económicas se hace referencia a que el objeto del examen de la auditoría son los estados contables y las afirmaciones que lo conforman. (8) Como vemos misión expresa un panorama más general; en cambio objetivo es algo mas tangible y mas asequible que la misión. Pero existe una relación entre ellos; la misión esta apoyada por los objetivos. ¿Cómo han evolucionado las distintas misiones que persiguió la auditoría? En Inglaterra de fines del siglo XIX se hacía hincapié en la prevención y detección de fraudes, irregularidades y errores. Esta primera misión (prevención y detección de fraudes) que estaba destinada a defender intereses de los dueños continuó hasta aproximadamente 1940 en que la misión comienza a orientarse a realizar análisis para “atender los intereses de los clientes y terceros interesados”. Posteriormente, cuando desde la administración de empresas se comienza a hablar de eficiencia organizacional, de cambios en el entorno (principalmente tecnológicos) y otros aspectos, la auditoría se adapta a estos aspectos y amplía sus alcances. La misión es optimizar la eficiencia de las organizaciones, 8 Lattuca, Antonio – Mora, Cayetano y otros. Manual de Auditoría. Federación de Consejos Profesionales de Ciencias Económicas. Área 3. Pág. 69. 8 a través de la mejora en la ejecución de procedimientos y en la utilización de los recursos. Si bien hemos realizado divisiones estrictas según las distintas épocas, los cortes no son tan marcados. En esta proceso evolutivo distintas misiones han convivido. De hecho conviven ya que los motivos por los que se solicitan auditorías son amplios y se realizan por distintos intereses. Además pueden existir misiones propias de los distintos tipos de auditorías que veremos mas adelante. Este tema lo veremos en el punto específico. Como dijimos, estas misiones deben estar apoyadasen objetivos que permitan cumplir esta misión. Quizás algún objetivo pueda ser identificado para mas de una misión. ¿Cuales pueden ser algunos de estos objetivos según las distintas misiones que vimos? Cuando la misión era prevenir y detectar fraudes se podrían realizar acciones que tuvieran como objetivo “detectar diferencias entre documentación de caja y los arqueos”. Para atender los intereses de terceros es que se analizan xxxxxxxxxxxxxxxxxx. Ante la misión de optimizar la eficiencia un objetivo podía ser “revisar la posición financiera y de los resultados indicados en los estados financieros de manera que pudiera ofrecerse una opinión sobre la adecuación de estas presentaciones a las partes interesadas.” Pero tengamos en cuenta que si bien estamos hablando de Misión y Objetivos de la Auditoría, existe un condicionante: esos objetivos deben estar en línea con los objetivos y misión de la Organización para la que se está trabajando. Debe haber una encuadre con ellos, ya que la esencia de la auditoría es tener una proacción hacia la mejora continua. El auditor realizar su tarea alineada con la misión, visión, valores, objetivos y estrategias de la organización. 9 Clasificación de la Auditoría Existen varios puntos de vista a partir de los cuales realizar clasificaciones de auditoría. Pasamos a sintetizar algunas de ellas. A) Según la relación de dependencia del auditor. Es una clasificación tradicional y generalmente aceptada. Resulta particularmente importante ya que modifica el horizonte para realizar la planificación que debe llevar a cabo el auditor. A.1. Auditoría interna (AI) Según Castello: “Es una función de evaluación interna, ejercida por personal perteneciente a los cuadros de la empresa. Actúa como un servicio independiente de la línea jerárquica corriente, por lo que depende directamente de la Dirección de la organización. La auditoría interna mide y evalúa la confiabilidad y eficacia del sistema de control interno de la entidad con miras a lograr su mejoramiento.” (9) Cuando se comprendió la real importancia que tenía un buen sistema de control interno en las organizaciones, comenzó a generalizarse la creación de departamentos internas que realizaran sugerencias y un seguimiento sobre el tema. Los auditores independientes promovieron esta creación ya que los favorecía, principalmente en lo relacionado con el alcance de las pruebas que debían realizar. En nuestros días, las funciones de los departamentos de auditoría interna se ha ampliado, llegando a realizar revisiones de todas las áreas y procedimientos de las corporaciones, de las que las operaciones financieras son una parte de ellas. A.2. Auditoría externa. (AE) 10 Es una función de evaluación externa, ejecutada por un ente externo e independiente de la línea jerárquica establecida. Actúa controlando algún aspecto particular de las operaciones o procedimientos establecidos en la organización. Si comparamos las auditorías internas con las externas, vemos que las primeras tienen como ventaja el conocimiento que tiene el auditor de la “cultura” de la organización y el hecho de que, al pertenecer a la plantilla de la empresa, no es visto como un cuerpo extraño y, por consiguiente, no se le 9 Castello, Ricardo. Auditoría en Entornos Informáticos. Segunda edición - Diciembre de 2006 I.S.B.N. 950-33-0199-8. Pág. 6 10 Castello, Ricardo. Op. Cit.. Pág. 6 y ss. 10 retacea información. Las externas, en cambio, cuentan como ventaja la independencia del auditor, quién puede aplicar sus propios criterios, libre del “sentimiento de pertenencia” a la estructura de la entidad. Veamos en el siguiente cuadro: (11) Aspectos Considerados Auditoría externa Auditoría interna Objetivo Opinar sobre la razonabilidad de la información reflejada en los Estados Contables, y si fueron elaborados de acuerdo con las Normas de Auditoría Vigentes Medir y evaluar la eficiencia de la operatoria del ente, así como la confiabilidad del control interno del mismo, proveyendo análisis y recomendaciones que tiendan a su mejoramiento Sujeto Contador Público Preferentemente profesional en Ciencias Económicas Tipo de Relación Contractual Relación de Dependencia Independencia Total Profesional en relación de dependencia Objeto principal de su examen Estados contables anuales o intermedios Actividades de control interno del ente, circuitos administrativos, manual de procedimientos y organigramas. Normas de aplicación Normas profesionales vigentes. Exigencias legales de órganos de control. Normas de auditoría interna. No obligatorias. Producto Final Informe sobre Estados Contables anuales o intermedios. Informes sobre control interno, gestión, desvíos presupuestarios. Responsabilidad Profesional, civil y penal Profesional y laboral Condiciones personales Independencia de criterio (respecto del ente auditado). Título habilitante. Cuidado profesional. Independencia de criterio (dependiendo del máximo nivel decisorio de la empresa). Capacidad técnica. Cualidades personales. En el Informe Nro. 18. de la Comisión de Estudios de Auditoría del CPCECF se hace una apreciación sobre el vínculo que debe existir entre la AE y la AI, a fin de que el Auditor Externo aproveche el conocimiento profundo que el AI tiene sobre el ente y su cultura. A esto se suman 3 ventajas adicionales: ▪ Evitar duplicación de esfuerzos ▪ Intercambio de conocimientos ▪ Reducción de costos. 11 Informe Nro. 18. Comisión de Estudios de Auditoría del CPCECF “La Tarea de Auditoría Externa y su Relación con la Auditoría Interna del Ente”. 11 ¿Cuál es el alcance de que debe tener esta relación? ¿Cuál es la coordinación que debe existir entre ambos profesionales? Debe comenzar en la planificación. En esta etapa se pueden incluir tareas a desarrollarse en forma conjunta o inclusive algunas que el auditor externo puede delegar en parte en la auditoria interna. Ahora bien, para que el Auditor Externo pueda confiar en la tarea, debe asegurarse razonablemente de la calidad de las rutinas. Para esto evaluará las siguientes variables: Grado de independencia de la AI Capacitación actual y programas de capacitación previstos par el personal de esa área Alcance del las rutinas desarrolladas por el área. Oportunidad de su ejecución. Seguimiento de sus informes Composición del plantel y criterios de selección del personal B) Por áreas de aplicación de la auditoría. Otra clasificación posible es aquella que considera cuál es el área de aplicación en el que se focaliza la auditoría. Aquí las misión que se persigue en cada clasificación, esta íntimamente relacionada con el área a la que corresponde. Haremos una síntesis de varias clasificaciones que existen. Auditoría contable. Es la realizada por un profesional experto en contabilidad, sobre los estados contables de una entidad. Auditoría administrativa. es la técnica de control administrativo que examina -sistemática e integralmente- el grado de eficiencia en la aplicación del proceso administrativo a las distintas funciones de una entidad, así como la manera en que esta eficiencia influye en la efectividad de las mismas. Auditoría medioambiental. Es el análisis y cuantificación de los logros y la posición medioambiental de una organización. Auditoría social. Es el proceso que una empresa u organización realiza con ánimo de presentar el balance de su acción social y su comportamiento ético. https://es.wikipedia.org/wiki/Auditoría_contable https://es.wikipedia.org/wiki/Estados_contables https://es.wikipedia.org/w/index.php?title=Auditoría_administrativa&action=edit&redlink=1 https://es.wikipedia.org/wiki/Auditoría_medioambiental https://es.wikipedia.org/wiki/Auditoría_social 12 Auditoría Sarbanes-Oxley o auditoría Sox. Es la revisión que se le practica a las firmas de auditoría de las compañías que cotizan en bolsa, de acuerdo a lo prescrito por la ley Sarbanes-Oxley. Auditoría forense. Es la revisión de datos y documentos históricos de empresas que se comparan con el fin de detectar principalmente fraudes, robos, argucias fiscales, trucos contables o cualquier otra situación anómala en la que se investiga a los involucrados intelectuales y materiales del hecho; regularmente se hacen estimaciones en dinero de las cifras malversadas. Auditoría financiera. Consiste en una revisión sistemática, explorativa y crítica, realizada por un profesional de contabilidad a los documentos contables, a los controles y registros de las operaciones financieras y a la emisión de estados financieros de una empresa, obtenidos durante un período determinado, a fin de evaluar y emitir una opinión sobre su razonabilidad, veracidad, confiabilidad y oportunidad, misma que se dará a conocer a sus accionistas, clientes, autoridades fiscales y terceros interesados, manteniéndolos al tanto de las utilidades obtenidas, pago de impuestos, y de la situación financiera y económica de la Institución. Auditoría Integral. Es aquella que implica una revisión exhaustiva, sistemática y global que realiza un equipo multidisciplinario de profesionales a todas las actividades y operaciones de una empresa, con el fin de evaluar el correcto desarrollo de las funciones en todas las áreas administrativas, y a su vez la revisión de las normas, políticas y lineamientos sobre el uso de todos los recursos de la empresa. Auditoría Gubernamental. Es la revisión exhaustiva, sistemática y concreta que se realiza a todas las actividades y operaciones de una entidad gubernamental, con el fin de evaluar el correcto desarrollo de las funciones de todas las áreas de dichas entidades. Se incluyen los métodos y procedimientos que regulan las actividades para cumplir los objetivos gubernamentales, estatales o municipales, aplicación y cumplimiento de presupuestos públicos, programas, normas, políticas y lineamientos que regulan la participación de los recursos de la entidad en la prestación de servicios a la sociedad. La auditoría gubernamental fue oficialmente reconocida en 1921 cuando el Congreso de los Estados Unidos estableció la Oficina General de contabilidad. Auditoría fiscales. Revisión exhaustiva, pormenorizada y completa que se realiza a los registros y operaciones contables de una empresa, así como la evaluación de la correcta elaboración de los resultados financieros de un ejercicio fiscal, con el propósito de dictaminar sobre el correcto ejercicio https://es.wikipedia.org/w/index.php?title=Auditoría_Sarbanes-Oxley&action=edit&redlink=1 https://es.wikipedia.org/wiki/Ley_Sarbanes-Oxley https://es.wikipedia.org/w/index.php?title=Auditoría_forense&action=edit&redlink=1 13 financiero y la razonabilidad en la presentación de los estados de resultados y, como consecuencia de ello, comprobar el correcto pago de los impuestos y demás contribuciones tributarias, tanto de la empresa como de sus empleados, acreedores y compradores. 12 Auditoría laboral. Es la revisión y evaluación especializada que se realiza a las actividades, funciones y operaciones relacionadas con el factor humano de una empresa; su propósito es dictaminar sobre el adecuado cumplimiento en la selección, capacitación y desarrollo del personal, la correcta aplicación de las prestaciones sociales y económicas, el establecimiento de las medidas de seguridad e higiene en la empresa, la elaboración de los contratos colectivos e individuales de trabajo, los reglamentos internos de trabajo, normas de conducta y demás actividades que intervienen en la gestión de personal de una empresa. 13 Auditoría de Sistemas. Constituye una revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información que se utilizan en una empresa, sean estas individuales, compartidas o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes, abarcando además a la gestión informática, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento de centro de cómputo. Por ejemplo, la Auditoría de sistemas tiene por misión aumentar la efectividad, eficiencia y operatividad de los elementos informáticos con que se llevan adelante los actividades de una organización. 12 Muñoz Razo, Carlos. Auditoría en Sistemas Computacionales. Ed. Pearson Education. Primera Edición. Año 2002. Pág. 21. 13 Muñoz Razo, Carlos. Op. Cit. Pág. 21. 14 Auditoría y Consultoría En el presente apartado pretendemos realizar una serie de aclaraciones que nos van a servir a lo largo del libro. Las realizamos para identificar claramente el área de actuación del auditor y del consultor y el objetivo de trabajo de cada uno de ellos. En este punto recurrimos nuevamente a Castello. 14 “ (…) Como ya lo expresáramos anteriormente, la auditoría comprende la realización del control y la revisión de una situación pasada, observando lo actuado y contrastándolo con normas predefinidas. La efectividad de un trabajo de auditoría se refleja en las mejoras recomendadas al sistema de control interno de la empresa y a la seguridad. En tanto, la consultoría tiene como misión implementar las recomendaciones propuestas en una auditoría previa o por un ejecutivo, con el propósito de mejorar la productividad de la empresa. Es una perspectiva de asesoramiento con visión de futuro. Es frecuente que una consultoría sea consecuencia o el resultado de una auditoría. Esto último supone que la consultoría se sustenta en un esfuerzo previo de conocimiento y diagnóstico de la organización (resultado de una auditoría), para luego elaborar las bases de la reorganización del ente y la tecnología de implementación. La efectividad de la labor de consultoría se podrá medir a medida que transcurra el tiempo desde la puesta en práctica de las soluciones.” Objetivo Momento Auditoría Controlar el desempeño Posterior a los eventos Consultoría Optimizar el desempeño Previo a los eventos En la década del 2000 se dieron una serie de escándalos financieros estrechamente vinculados a las tareas de auditoría y consultoría, que involucró a empresas como WorldCom, Parmalat, Vivendi, Ahold, Royal Dutch Shell, Adecco y Tyco. El caso emblemático fue el de Enron, empresa energética de los EEUU, que en 2001, se presentó en quiebra con deudas por más de u$s30.000 millones poco después de declarar ganancias por u$s1.000 M. y hacer estallar los paneles bursátiles con alzas espectaculares. La quiebra de esta compañía dejó en la ruina a miles de sus empleados que además de perder su trabajo vieron desplomarse las acciones (de u$s90 a u$s0,42) que habían adquirido estimulados por la propia compañía. Miles de pensionados quedaron sin haberes tras la quiebra de los fondos de pensiones que habían colocado su capital en títulos de Enron. 14 Castello, Ricardo. Op. Cit. Pág. 13. 15 El daño financiero total causado a los empleados, accionistas, acreedores, etc. de Enron ha sido estimado por encima de los sesenta mil millones de dólares. Esta cifra proviene de las compensaciones excesivas a altos ejecutivos y “socios”, el despilfarro de fondos por las grandes financiaciones de campañas políticas y sobornos y a inversiones poco planificadas. Pero no fue un problema limitado a los Estados Unidos, tuvo repercusiones en todos los mercados financieros del mundo. El escándalo contable consistió en maniobras fraudulentas llevadas a cabo para disimular grandes pasivos que tenía la empresa. El escándalo repercutió a la consultora Andersen, una de las firmas másimportantes de auditoría contable que en era quien llevaba a cabo la Auditoría Externa de Enron desde 1980 y también Auditor Interno desde 1990. En el 2000 facturó 25 millones de dolares por servicios de auditoría y 27 millones por servicios de consultoría. Las enseñanzas que dejaron estos hechos fueron: EROSIÓN CULTURAL DE LA ÉTICA DE LOS NEGOCIOS Y LA CONFIANZA PÚBLICA: No es un problema de contabilidad, sino de los analistas, de los inversores banqueros, juntas de directores, fijadores de normas, firmas de contadores y abogados PERIODICIDAD DE LA AUDITORÍA: Si los analistas e inversores hacen bien su labor, el maquillaje contable no sería posible. El plazo anual para realizar la auditoría puede resultar insuficiente de cara al inversor. BRECHA DE EXPECTATIVAS DE AUDITORIA: El “gap” o brecha de expectativas es la diferencia entre lo que los usuarios de la información esperan de una auditoría y los objetivos que realmente ésta persigue. INDEPENDENCIA: Se ha concluido que siempre que una empresa contrata al auditor para un trabajo distinto del de Auditoría se produce pérdida de Independencia. Las repercusiones llegaron al Congreso de los EEUU, que decidió votar en el 2002 la ley Sarbanes Oxley destinada a proteger las empresas de defraudación y fortalecer los controles internos y externos y establecer reglas de gobierno corporativo. La importancia de esta ley es que una dirección corporativa responsable y adecuadas prácticas éticas en los negocios ya no son detalles opcionales de las organizaciones, sino que son una ley a cumplir. Y la importancia no es solo para los Estados Unidos sino que todas aquellas sucursales, compañías afiliadas o subsidiarias de empresas que están 16 inscriptas en la bolsa de valores de Estados Unidos debieron adaptarse a las exigencias de esta ley. Las disposiciones de esta ley impactan en las tareas de auditoría ya que: Establece un nuevo consejo de vigilancia, supervisado por la SEC (Security Exchange Commision - Comisión de Valores de Estados Unidos). Define nuevas funciones y responsabilidades para el comité de auditoría, que debe tener miembros independientes a la administración. Define un esquema de medición del control interno que se aplica constantemente. El auditor externo tiene que verificar la certificación del control interno y emitir un dictamen al respecto. Establece la rotación de los auditores cada cinco años. Especifica los servicios que no podrán ser realizados por los auditores externos. Limita el alcance de los servicios que los auditores pueden prestar a sus clientes. La independencia de las firmas de auditoría es un factor clave en el nuevo esquema normativo, dado que la credibilidad en los informes financieros de las empresas supone que existe independencia entre la firma que realiza la auditoría y la compañía auditada. La autonomía que debe caracterizar la relación entre ambas entidades se protegerá al prohibir que los auditores lleven a cabo actividades de consultoría o brinden servicios de asesoría, debido a que ello podría derivar en conflictos de interés. Es así que si realizo una Consultoría puedo consensuar la planificación, validar controles internos, estrategia de pruebas y planes de solucionarlos, pero NO puedo participar en la evaluación y testeo de la efectividad de la estructura y procedimientos de control interno. En cambio, si estoy llevando a cabo una Auditoría estoy habilitado para brindar ayuda a la gerencia, para evaluar la efectividad de la estructura y procedimientos de control interno al cierre del ejercicio, pero NO puedo certificar las afirmaciones de la gerencia con respecto al control interno. Por aplicación de las disposiciones de esta ley, Richard Causey, responsable de auditoría de Enron, fue inculpado y llegó a un acuerdo. Admitió que cometió fraude, conspiración, mentiras a los auditores y uso de información privilegiada. A cambio pago una multa de 1,25 millones de dólares y fue sentenciado a 7 años en prisión. Aunque a priori parece un mal trato, si lo comparamos con los 25 años a la sombra a los que fue sentenciado el pasado julio Bernie Ebbers, el antiguo CEO de Enron, o con los 10 años en la cárcel que cumplirá su ayudante, no parece demasiado. 17 Auditoría y Seguridad De la misma manera que distinguimos entre auditoría y consultoría nos parece importante realizar la misma distinción con relación a la seguridad. Identificamos algunos equívocos motivados quizás por el trabajo de control en la seguridad informática que llevan a cabo los auditores. Sin embargo es necesario rescatar estas diferencias para orientar correctamente el trabajo. La principal diferencia que impacta en el tipo de tarea es que la Seguridad Informática es netamente operativa y su eficiencia se medirá en relación con el grado de efectividad que tengan las medidas adoptadas para reducir los riesgos inherentes a la seguridad. En cambio la auditoría no se dedica a implementar medidas sino a controlar que aquellas que están implementadas son eficientes. En todo caso podrá sugerir alternativas de solución, cuya implementación tampoco cae en la esfera de su competencia. 18 Metodología para realizar una auditoría Existen diferentes metodologías pero tomaremos como referencia la que propone la Resolución Técnica 37 de la Federación de Consejos Profesionales de Ciencias Económicas (15). Si bien esta orientada a la auditoría de Estados Contables, los pasos que enumera pueden ser adaptados a otros tipos de auditoría. Es en el punto 3 en donde se detallan los pasos de la metodología. Un resumen de ellos es: 3.1. Obtener un conocimiento apropiado de la estructura del ente. Esta visión general es fundamental para confeccionar un plan de auditoría objetivo. En esta etapa se debe conocer, entre otras cosas, la estructura organizacional, las disposiciones legales, y todo aquello que sea apto para saber como funciona la empresa. 3.2. Identificar el objeto del examen. Este punto es amplio en función de las distintas áreas de aplicación en las que se realizan la auditoría. 3.3. Planificar en forma adecuada el trabajo de auditoría. En esta etapa el auditor debe definir cual es la estrategia específica con que encarará su trabajo. Deben incluirse los objetivos y alcance que se persiguen en la auditoría, los recursos materiales y humanos que utilizará, los procedimientos que se ejecutarán, las tareas que va a realizar tanto él como de cada uno de los integrantes del grupo y la distribución de estos elementos en el tiempo. Con esta planificación se garantiza el éxito en la ejecución de la auditoría. El objetivo es el propósito por el cual es requerida la auditoría. El alcance tiene que ver con la extensión del examen, es decir los objetos sobre los que se trabajará y también puede estar referido a los período a examinar. Es una buena práctica que la planificación sea formalizada por escrito y, que contenga programas de trabajo detallados. 3.4. Reunir los elementos de juicio válidos y suficientes que permitan emitir su informe a través de la aplicación de los siguientes procedimientos de auditoría. Requiere: 3.4.1. Evaluación del control interno. El desarrollo de este procedimiento implica cumplir los siguientes pasos: 3.4.1.1. Relevar las actividades formales de control interno que son pertinentes a su revisión. 3.4.1.2. Comprobar que esas actividades formales de control interno se aplican en la práctica. 3.4.1.3. Evaluar las actividades reales de control interno, comparándolas con las que se consideren razonables en las circunstancias. 15 Resolución Técnica Nro 37. Federación de Consejos Profesionales de Ciencias Económicas. 19 3.4.1.4. Determinar el efecto de la evaluación mencionada sobre la planificación, de modo de replantear, en su caso, la naturaleza, extensión y oportunidadde los procedimientos de auditoría seleccionados previamente. Es decir que hay que analizar que los controles existan, que sean los adecuados y que están aplicados. En este punto se enumeran a continuación una serie de técnicas que se pueden aplicar principalmente en auditorías de estados de contables. 3.5. Obtener elementos de juicio válidos y suficientes sobre la idoneidad de la utilización por parte de la dirección de la hipótesis de empresa en funcionamiento para la preparación y presentación de los estados contables, y concluir si a su juicio existe una incertidumbre significativa con respecto a la capacidad del ente para continuar como una empresa en funcionamiento durante un período al menos de doce meses. Esta etapa constituye la esencia de la auditoría pues dentro de ella se realizan todas las pruebas y análisis, se utilizan todas las técnicas o procedimientos para encontrar evidencias, se detectan errores, se evalúan los resultados de las pruebas y se identifican los hallazgos de auditoría, que sustentarán el informe. 3.6. Controlar la ejecución de lo planificado 3.7. Evaluar la validez y suficiencia de los elementos de juicio examinados. 3.8. Sobre la base de los elementos de juicio obtenidos, el contador debe formarse una opinión acerca de la razonabilidad, 3.9. Emitir su informe teniendo en cuenta las disposiciones legales, reglamentarias y profesionales que fueran de aplicación. 4. El contador podrá emitir, en su caso, un informe con las observaciones recogidas durante el desarrollo de la tarea y las sugerencias para el mejoramiento del control interno examinado.” 20 Evidencias de Auditoría y Papeles de Trabajo La evidencia de auditoría es toda información que obtiene el auditor para determinar si la información que se está auditando, se presenta de acuerdo al criterio establecido. Para poder apoyar las afirmaciones que está formulando, el auditor debe evaluar la suficiencia y completitud de la evidencia de auditoría generada. Siguiendo el documento S14 de las normas Cobit, para que una evidencia sea apropiada debe incluir: Los procedimientos realizados por el auditor Los resultados de los procedimientos realizados por el auditor Los documentos fuente (en formato electrónico o impresos en papel), registros e información de colaboración utilizados para apoyar la auditoría Los hallazgos y resultados del trabajo de auditoría El auditor debe también asegurarse de que la evidencia es fiable. Para esto deben tenerse en cuenta propiedades tales como la fuente de la evidencia, su naturaleza (por ejemplo, escrito, oral, visual, electrónica) y su autenticidad (por ejemplo si son firmas digitales, manuales, sellos que pudieran tener, etc.). Una vez procesada la evidencia es necesario que la misma sea protegida de accesos y modificaciones no autorizados. Además, debe retenerse durante el tiempo que resulte necesario para cumplir con todas las leyes, normas y políticas aplicables. Es necesario catalogar de forma adecuada la evidencia de auditoría en un Legajo de Auditoría siguiendo procedimientos adecuados. En el legajo deben incluirse aspectos tales como los objetivos y alcance del trabajo, el programa de auditoría si se realizaran varios programas simultáneos, los pasos de auditoría realizados, la evidencia recogida, los hallazgos, conclusiones y recomendaciones, etc. Clasificación de las evidencias Una primera clasificación que damos es la de Lattuca y Mora (16). Es la siguiente: 1. Según el esfuerzo intelectual requerido: Evidencia natural: Es aquella que se obtiene a través de los sentidos. Requiere un escaso esfuerzo mental pero en cambio tiene gran poder de persuasión sobre el auditor. Ejemplo: recuento de fondos realizados por el auditor. En este caso sus sentidos le indican la clase y cantidad de moneda existente al momento del arqueo. 16 Lattuca, Antonio - Mora, Cayetano y otros. 21 Evidencia creada: Es aquella que se produce ("crea") realizando pruebas de auditoría. Para que el auditor se persuada de la cifra de ventas expuesta en los estados contables, "crea" evidencia mediante la revisión entre otras cosas de la documentación de respaldo (nota de pedido u orden de compra, remitos conformados, guías de transporte, facturas, etc.). Requiere corno se ve un trabajo intelectual más elaborado pues necesita definir los procedimientos a aplicar, el momento más adecuado, la cantidad de casos a observar, la complementación con procedimientos de otros rubros. (Ver capítulo 5 de este Manual). Evidencia derivada de una argumentación racional: En este caso la evidencia se obtiene a partir de hechos establecidos pero que requieren de una interpretación lógica. Precisamente el requisito de una interpretación hace que el auditor deba poseer adecuada preparación. Necesita de la habilidad en el observador para que a partir de determinados hechos pueda realizar juicios lógicos. Así, si el auditor ha establecido que el ente ha vendido un bien de uso, deberá encontrar un ingreso por la venta, la baja del activo, el ajuste de las amortizaciones acumuladas y en caso de haber sido revaluado técnicamente, el tratamiento dado al saldo de revalúo. Es decir que partiendo de un hecho establecido el auditor "debe" saber qué evidencias adicionales ha de buscar. 2. Según su fuente: Evidencia interna: Es aquella que surge del ente, originada tanto en sus registros contables como en las múltiples operaciones que realiza. Ejemplos: vales de caja, informes de recepción, facturas de venta, subdiario de ventas, diario general. Evidencia externa: Se produce fuera del ente y comprende tanto fuentes documentales (facturas de proveedores, resúmenes de cuenta de terceros) corno testimoniales (pedidos de confirmación de saldos solicitados a deudores). Otra clasificación es la que considera el tipo de evidencia que se genera: Evidencia Física. Por ejemplo muestra de materiales, mapas, fotos. Evidencia Documental: cheques, facturas, contratos, etc. Evidencia Testimonial: obtenida de personas que trabajan en el negocio o que tienen relación con el mismo. Evidencia Analítica: datos comparativos, cálculos, etc. Requisitos de las evidencias Las evidencias deben reunir los siguientes requisitos: 22 Pertinencia: Implica que las pruebas deben referirse a la afirmación que se desea verificar y a los aspectos de ella que importan al auditor. Es una forma de medir calidad de la evidencia. Validez: Significa la fuerza de persuasión que tienen sobre el juicio del auditor, lo que incluye su confiabilidad. La fuerza de persuasión varía de evidencia a evidencia. Es mas fiables si: Son escritas, en lugar de orales. Se obtiene de fuentes independientes. Es obtenida por el auditor en lugar de obtenerlo de la entidad que se está auditando. Es certificada por una entidad independiente. Es mantenida por una entidad independiente. Por otra parte, la confiabilidad aportada por un conjunto de elementos de juicio coincidentes, relativos a una misma afirmación es, generalmente, de un valor persuasivo mayor que la simple suma de las que aportan las evidencias individuales. Si la tarea realizada por un auditor es revisada por otra persona aumenta su grado de fiabilidad y validez. Suficiencia: Significa que los procedimientos aplicados generan la cantidad necesaria para formar la opinión del auditor sobre la razonabilidad de las afirmaciones. La evidencia puede considerarse suficiente si soporta todas las preguntas materiales referentes al objetivo y al alcance de la auditoría. La suficiencia es una medida de la cantidad de evidencias de auditoría. La determinación de la suficiencia de las pruebas debe llevarse a cabo considerando la relativa importancia de las afirmaciones. Si bien a priori no hay ningún tiempo determinadopara una auditoría, debemos recordar que la información del informe debe ser útil. Así, la necesidad de suficiencia de los elementos de juicio, está permanentemente afectada por el tiempo y con el costo del trabajo. Sin embargo, estas no son razones válidas para omitir la ejecución de un procedimiento de auditoría necesario. Una manera de determinar la suficiencia y objetividad de las evidencias es que un tercero independiente repita la ejecución de las pruebas y obtenga los mismos resultados. 23 Un problema grave al que el auditor se enfrenta es que existen ciertas afirmaciones para las cuales no se puede obtener (aún sin restricciones de costo y tiempo) elementos de juicio que le permitan estar absolutamente seguro de si ellas son ciertas o falsas. En estos casos, deberá reportar este hecho de una manera coherente durante la comunicación de los resultados de auditoría. Evaluación de las evidencias El auditor debe evaluar la relativa importancia de las evidencias y asegurarse de que ha obtenido elementos de juicio suficientes, pertinentes y fiables para cada una de las afirmaciones. Irá constatando, cuando verifique cada afirmación, si los elementos obtenidos son suficientes para formarse un juicio sobre esa afirmación. Es decir que al evaluar una evidencia, el auditor obtiene conclusiones parciales, sobre cada afirmación, o sobre un conjunto de afirmaciones y luego, con todos los elementos de juicio de las afirmaciones específicas que él ha considerado conveniente sustentar y su opinión sobre ellas está en condiciones de formarse una opinión sobre las afirmaciones generales. Esta opinión no resulta de la suma algebraica de las conclusiones parciales sobre las afirmaciones específicas. Es imposible sumarIas en términos matemáticos, pero sí es posible que el auditor llegue a formarse una opinión si en conjunto representan o no la situación financiera y económica de la empresa, combinando las conclusiones parciales que obtuvo. Si el efecto de conclusiones parciales adversas sobre afirmaciones específicas afecta el juicio del auditor en conjunto y el grado en que lo afecta es uno de los problemas más importantes que puede presentarse al auditor cuando debe formar su opinión. Una manera práctica de determinar si las distorsiones afectarán el juicio del auditor en conjunto, está dado en la medida en que dichas distorsiones pudieran afectar las decisiones de los usuarios. Técnicas de recopilación de evidencias. El auditor obtiene las evidencias valiéndose de procedimientos y métodos prácticos de investigación. Estos métodos constituyen los llamados "procedimientos de auditoría". La recopilación de evidencia es un paso clave en el proceso de la auditoría. El auditor debe tener conocimiento de las técnicas a partir de las cuales puede pueden obtenerse estos elementos de juicio. La Resolución Técnica Nro. 37 propone una serie de procedimientos que están mas que nada orientados a la Auditoría de Estados Contable. Sin embargo, alguno de ellos pueden adaptarse a otros tipos de Auditorías. 24 De manera ilustrativa proponemos a continuación una serie de procedimientos de auditoria: Análisis de la estructura organizacional. Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento, no acusatoria. Observación de operaciones y actuación de empleados, esta es una técnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditoría. Auto documentación. El auditor puede preparar narrativas en base a su observación, flujogramas, cuestionarios de entrevistas realizados, etc. Inspecciones oculares. Circularización, principalmente a bancos, clientes y proveedores Consulta y confirmación de saldos Comprobaciones matemáticas. (por ejemplo calculo de impuestos, retenciones, descuentos, etc.). Repetición de la ejecución de ciertos procesos para determinar su exactitud. Procedimientos analíticos Control de la lógica seguida en determinado proceso. Examen de documentos importantes. Comprobación global de razonabilidad. En este caso se realiza para analizar excepciones y determinación si se encuentran dentro de rangos normales. Revisión de la correlación entre registros y entre éstos y la correspondiente documentación comprobatoria. Confirmación escrita de dirección. Aplicación de Técnicas de muestreo para saber cuándo aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras. Se usa la técnica de muestreo ante la imposibilidad de efectuar un examen a la totalidad de los datos. El muestreo puede ser Estadístico cuando se utilizan los métodos ya conocidos en estadística para la selección de muestras o No Estadístico cuando se confía en la experiencia, opinión y criterio de quien selecciona la muestra. 25 Hallazgos de Auditoría Son las diferencias significativas encontradas a lo largo de la realización de la auditoría con relación a lo normado o a lo presentado por la gerencia. Atributos del hallazgo: Condición: la realidad encontrada Criterio: cómo debe ser (la norma, la ley, el reglamento, lo que debe ser) Causa: qué originó la diferencia encontrada. Efecto: qué efectos puede ocasionar la diferencia encontrada. Para redactar el hallazgo el auditor iniciará indicando el título del hallazgo, luego los atributos, a continuación indicarán la opinión de las personas auditadas sobre el hallazgo encontrado, posteriormente indicarán su conclusión sobre el hallazgo y finalmente hará las recomendaciones pertinentes. 26 Pistas de auditoría. Del mismo modo en que un investigador forense puede obtener pistas para iniciar su trabajo de colaboración con la justicia, también el auditor puede encontrar y seguir pistas, rastros, huellas o rutas que lo conduzcan por el camino correcto para encontrar la evidencia y conducir la auditoría. Lo que se busca es una orientación hacia la correcta dirección de la prueba; así por ejemplo, se podrían seguir ciertas transacciones desde su origen o fuente, pasando por el proceso de transformación a que son sometidas, su actualización en los archivos finales, y la presentación final para utilización de las áreas usuarias. Unas posibles definiciones de pistas de auditoría son: “Datos e informaciones históricas que están disponibles para su examen, con objeto de probar la corrección e integridad con la cual los procedimientos convenidos se seguridad, relativos a una clave o transacción(es), han sido seguidos. La pista de auditoría permite detectar las violaciones de seguridad. (ISO ISO-8732)”. “Elemento, constituido por datos e información, que sirve para seguirle la pista a una transacción o a un evento, desde su origen hasta su incorporación en los registros correspondientes, y viceversa. (Davis y Olson, 1987, p. 146)”. Este concepto de “pistas” o “rastros” son de gran utilidad tanto para la auditoría, en sus labores de revisión, así como para la administración, ya que permiten ejercer el control de una manera mucho más eficiente. Un sistema que carezca de este tipo de procedimiento, es muy difícil de revisar por parte de la auditoría, ya que requiere de mucho esfuerzo en la aplicación de pruebas y en la obtención de resultados. En muchos casos, las pistas analizadas por los auditores han sido consideradas como elementos de suma utilidad por los empleados, razón por la cual muchos empleados han solicitado su inclusión como parte de las salidas de las aplicaciones. Este procedimiento ayuda en el proceso de recolectar evidencia para obtener un mejor criterio a la hora de determinar y esclarecer ciertos hallazgos, así como para tener mayor certeza a la hora de efectuar una revisión detallada de una determinada función u operación;en especial cuando las normas internacionales de auditoría exige a los auditores “considerar los riesgos de representación errónea de importancia relativa en los estados financieros debidas a fraude” (NIA, 2007:172). Las pistas de auditoría no son controles por sí mismos, son “pistas”, “huellas” o “rastros” que se requieren para el uso analítico y administrativo; son más que nada, un procedimiento que puede estar constituido por uno o varios documentos, informes o simplemente desprenderse de un control o conjunto de controles. 27 En todos los sistemas, sean automatizados o no, las pistas de auditoría deben estar siempre presentes, y deben cumplir con tres requisitos básicos: 1. Que cualquier transacción pueda ser seguida, desde el documento fuente que la originó, por medio del proceso a que es sometida, hasta las salidas (archivos, consultas por pantalla o informes) y los totales a los cuales se agrega. 2. Que cada salida o resumen de datos, se pueda seguir hacia atrás, hasta la transacción o cálculos que los produjeron. 3. Que cualquier transacción generada automáticamente, se pueda rastrear hasta el evento o condición que la generó. Normalmente una pista de auditoría tiene dos propósitos: El propósito de implosión: que permite rastrear una transacción desde su origen, pasando por el proceso de transformación a que es sometida, hasta su almacenamiento y presentación. El propósito de explosión: que permite la reconstrucción de las diferentes operaciones a que ha sido sometida una transacción. Para alcanzar el primero de estos propósitos se hace necesario almacenar, junto con la transacción, los dos siguientes elementos: el identificador del origen, que permite que la fuente de la transacción sea rastreada de una manera única. el identificador del destino, que permite que el dato que será afectado por la transacción, sea identificado de una manera única. Ejemplos de ambos identificadores: en una aplicación de cuentas por cobrar, el identificador del origen debería ser un número de documento único; el identificador de destino debería ser un número único de cliente. En un sistema de inventarios, el identificador del origen debería ser un número de terminal único, mientras que el identificador del destino debería ser un número único de un producto del inventario. De esa manera, por medio de un rastreo de todas las transacciones que tenga un mismo identificador de destino se puede tener el conjunto de estas que afectan un determinado grupo de datos (al que hace referencia el identificador de destino). El propósito de explosión necesita un dato adicional a los dos ya mencionados, que es la fecha que indica cuando se efectuó la transacción; este dato debe ser almacenado junto con la transacción. Debidamente ordenado en orden cronológico, esta fecha es la que permite que se reconstruya la secuencia cronológica de operaciones de un registro de datos. Necesidad de las pistas de auditoría 28 Debido a la gran ayuda que proporciona este tipo de pistas, tanto a la auditoría como a la administración, se ha hecho indispensable su implantación y utilización. Existen muchas razones que hacen necesario que las pistas de auditoría estén presentes en todo proceso que se lleve a cabo en las empresas; algunas de ellas son: Consultas. Normalmente las consultas se realizan para determinar el estado de una cuenta o un grupo de datos; así por ejemplo, los clientes desean conocer los movimientos que se han registrado a sus cuentas; algunas áreas usuarias solicitan información relacionada con las variaciones en las ventas; los ejecutivos desean conocer el detalle de los costos de la producción del día anterior; un vendedor desea saber si un pedido, puesto por él, ha sido procesado. La pista de auditoría, bien manejada, responde efectivamente a estas preguntas. En este sentido, es que se sostiene que la pista de auditoría viene a ser también una pista administrativa. Para cumplir con necesidades legales. En algunos países, entre ellos Costa Rica, algunas entidades como la Administración Tributaria, Ministerio de Hacienda; Archivos Nacionales, Caja Costarricense del Seguro Social y el Instituto Nacional de Seguros, las municipalidades, entre otras, solicitan para los datos e información que se produce de manera electrónica, deba ser archivada en un medio de almacenamiento masivo. Para propósitos de seguimiento. La pista de auditoría ofrece un medio para darle seguimiento a una aplicación. A menudo, de acuerdo con el sistema, las transacciones y la periodicidad con que estas se presenten, los movimientos que afectan los archivos, deben ser rastreados a través de la aplicación para determinar si todos los procesos están funcionando correctamente. Para descubrir fraudes. El contar con pistas de auditoría contribuye a reducir la posibilidad de que un fraude no se pueda detectar. Si la persona que perpetra el acto ilícito o irregularidad sabe que las funciones, eventos y registros, tanto de las operaciones normales como del acto que intentan realizar, están siendo grabados y monitoreados, deberán realizar tareas complementarias y/o adicionales para evitar ser descubierto. Como elemento de control. Debido al doble propósito que tienen, es indudable que al ser utilizadas también por la administración, pueden ser de gran utilidad para controlar ciertos procesos, que al ser revisados, ya sea por medio de un reporte, de una consulta o de un análisis detallado, sean de utilidad para detectar posibles actos irregulares o anomalías. Para determinar las consecuencias de un error. Si por alguna razón se descubre que se ha cometido un error (no perder de vista que la diferencia entre un error y acto irregular es la intención); podría ser necesario obtener información adicional para determinar los efectos de este error. Un error podría ocasionar serios daños, perjuicios y problemas a una entidad, pero también podría pasar desapercibido y no suceder nada, al menos por un tiempo; pero cuanto más tiempo pase, más difícil será determinar con precisión cuáles son 29 las consecuencias. La pista puede ayudar a determinar por ejemplo, quién le dio acceso al dato, quién tomó decisiones basado en esos datos, y si el error tiene consecuencias significativas en las decisiones que se han tomado; asimismo la pista de auditoría podría permitir que el efecto de un error pueda ser rastreado. Para fines de respaldo y recuperación. Algunos de los datos almacenados en una pista de auditoría también podrían ser útiles como elemento de respaldo, por un tiempo prudencial y temporal, mientras hacen el soporte definitivo, así como de recuperación, en caso de que no exista el respaldo o que se haya extraviado. Por ejemplo, si por alguna razón no se guardan los diferentes tipos de interés que se han pagado por los certificados de depósitos a plazo, la pista sería un excelente medio para recuperarlas y tenerlas, como información histórica. 30 Informe Es el resultado concreto del trabajo de auditoría, donde el auditor expresa su opinión o se abstiene de darla, contiene la información que será revelada a los interesados en el desempeño de la Institución. Dicho informe debe estar elaborado de forma sencilla y clara, ser constructivo y oportuno, conteniendo al menos: Dictamen sobre el área administrativa auditada. Informe sobre la estructura del Control Interno de la entidad. Conclusiones y recomendaciones resultantes de la Auditoría. Deben detallarse en forma clara y sencilla, los hallazgos encontrados. 31 Riesgos de Auditoría El trabajo de auditoría no puede asegurar un 100% de certeza sobre los hallazgos a los que se ha arribado. Por eso es habitual observar en los informes la palabra “razonablemente” para indicar esa posibilidad de error. Las limitaciones quetiene la tarea de auditoría para obtener niveles de seguridad absolutos son las que producen el Riesgo de Auditoría para referirse al peligro que asume el auditor de no observar la existencia de defectos importantes en la información que presentan los estados contables, emitiendo por lo tanto un informe erróneo. Lattuca define el Riesgo de Auditoría como la probabilidad de que: “…El auditor esté expuesto a consecuencias adveras como resultado de haber dictaminado en forma equivocada los estados contables de determinado cliente. Como consecuencia de ello, puede tener publicidad negativa que dañe su imagen y sufrir litigios o reclamos que deriven en responsabilidades de orden civil, penal o disciplinario. Los estados contables de un cliente, tomados en su conjunto, pueden tener errores significativos como resultado de factores de riesgo que pueden impactar directa o indirectamente, en las cuentas del balance y provocar potenciales errores en ellas...” (17) El riesgo de auditoría es conocido por el auditor, motivo por el cual prácticamente a partir del momento en que servicios son contratados encamina su tarea a fin de obtener evidencia pertinente, válida y suficiente que influya en su intelecto y lo persuada sobre la calidad y cantidad de información proveída por los estados contables. El conocimiento apropiado de las causas que incrementan o disminuyen el riesgo constituyen el punto de partida del análisis que al respecto debe realizar el profesional a fin de enmarcarlo dentro de límites aceptables. Como ejemplos extremos de lo expuesto anteriormente pueden citarse los siguientes: Caso A: activo compuesto exclusivamente por 1000 pesos en moneda local recontados por el auditor en la fecha de cierne, el riesgo del auditor está limitado a la posibilidad de que "debiera" existir una cantidad mayor. Caso B: activo compuesto exclusivamente por soft para computación de alta y cambiante tecnología, el riesgo del auditor está representado por la verdadera existencia del soft mencionado, que sea propiedad del ente y no obtenido ilegalmente de terceros, que el valor asignado esté de acuerdo con normas contables profesionales y que la capacidad de generar ingresos sea la estimada por la gerencia, que no haya otros desarrollos imputados a los resultados del período, que no haya sido transferido y el auditor lo desconozca y que esté adecuadamente expuesto en el estado de situación patrimonial. Como se advierte, los riesgos son muy distintos entre sí y el auditor debe estar prevenido, alertado sobre los riesgos posibles a fin de poner el énfasis dónde y cuando corresponde y con las herramientas más adecuadas en la cantidad necesaria. 17 Latucca, Antonio Juan - Compendio de Auditoría. Ed. Temas, 2da. Edición 32 Los tres componentes del riesgo de auditoría han sido definidos de esta forma: Riesgo inherente: Es decir el riesgo de que puedan existir deficiencias importantes. Riesgo de control: Se refiere al riesgo de que los sistemas de control del ente no observen y corrijan las deficiencias. Riesgo de detección: Representa el riesgo del auditor de que existiendo deficiencias importantes (tanto errores como irregularidades) no los detecte. 4.1. Riesgo inherente Este riesgo que bien podría denominarse "riesgo de existencia" representa la posibilidad que tanto transacciones como saldos puedan incluir afirmaciones equivocadas. Independientemente de los sistemas de control que el ente pueda tener en vigencia, el riesgo de existencia depende de muchas circunstancias entre las que pueden mencionarse: actividad del ente tipo de afirmación ambiente legal periodicidad de los informes que emite el ente Como ejemplos que permiten una mejor comprensión del riesgo bajo examen pueden darse los siguientes, es más "riesgosa" la actividad de un ente dedicado a explotar petróleo que la de otro que fabrica sillas; es diferente si se trata del fondo fijo del ente, de la incertidumbre que da lugar a una previsión o la determinación del valor actual de los probables ingresos futuros de un bien de uso; no es lo mismo una compañía aseguradora con normas específicas de más de un ente de control que un negocio de compra-venta de autos usados; tampoco será igual el riesgo de existencia de un ente que produce informes trimestrales para terceros y mensuales para uso de la gerencia que aquél que sólo emite balances anuales para cumplir normas legales. (18) 4.2. Riesgo.de control En este caso, el riesgo consiste en que existiendo una afirmación errónea el grupo de control del sistema rio lo observe o bien que habiendolo detectado el grupo activante no adopte las medidas correctivas necesarias para que los errores no se reiteren. El enfoque sistémico desarrollado en el capítulo primero pone de resalto la importancia que tienen dentro de los elementos de control de los sistemas tanto el grupo de control como el activan te. La tarea del auditor será entonces evaluar adecuadamente el funcionamiento de ambos de forma tal de establecer su con fiabilidad o las debilidades que presenta y según sea la importancia de las características controladas determinar la naturaleza, alcance y oportunidad de los procedimientos de auditoría a aplicar. El capítulo 4 de este Manual está dedicado a este tema. (19) 18 Informe Nº 5 - Manual de Auditoría – FACPCE CECYT 19 Informe Nº 5 - Manual de Auditoría – FACPCE CECYT 33 4.3. Riesgo de detección El riesgo de detección es el riesgo de que los procedimientos de auditoría no pueda descubrir una afirmación errónea. Debe agregarse que si bien es posible disminuir el nesgo de detección incrementando la cantidad de pruebas y tomando aquellas que provean de evidencias más fuertes, no es factible anularlo. La justificación de lo aseverado surge del hecho que aún cuando el auditor pueda revisar la totalidad de las operaciones de un período o la totalidad de partidas que componen el saldo que el ente declara, nunca podrá existir la certeza absoluta que no existen otras operaciones u otras partidas que estando omitidas debieran ser incorporadas. Se pone de manifiesto aquí también que la seguridad que presenta una tarea de auditoría debe representar un nivel alto pero no puede significar un nivel absoluto. (20) El auditor luego de haber tomado conocimiento del ente y de las afirmaciones a ser examinadas planificará su trabajo y una vez evaluadas las actividades de control de los sistemas pertinentes, revisará el plan de acción y establecerá los procedimientos de auditoría que estime son los más adecuados (naturaleza del procedimiento) la cantidad de pruebas que realizará (alcance del procedimiento) y el momento más oportuno para ejecutarlas (oportunidad del procedimiento) para hacer que el riesgo de detección quede en un nivel aceptable para el profesional. El Riesgo de Auditoría es por definición inestable. O por lo menos así debe entenderlo el profesional para no descansar sobre apreciaciones que por muy fundadas que sean puedan no corresponder al momento de su labor. Esto significa simplemente que así como debe estar advertido sobre cambios importantes en las actividades del ente, la legislación vigente, los mercados en que actúa, la composición de los niveles gerenciales, el funcionamiento de las actividades de control de los sistemas, la evaluación del nivel de riesgo que está asumiendo debe ser prácticamente constante. Es de destacar que este riesgo puede ser controlado directamente por el auditor, mientras que los dos anteriores no. Por esta razón es que debe poner mayor celo en reducirlo porque es parte de su responsabilidad profesional. 20 Informe Nº 5 - Manual de Auditoría – FACPCE CECYT 34 Aspectos éticos en la tarea de auditoría. Deontología. Cuando hablamos de la misión de las auditorías veíamos que hubo una evolución tendiendo a las épocas actualesa aspectos de protección a terceros interesados en la información auditada. Por esta razón es que los organismos que tienen responsabilidad en la regulación de la disciplina consideran aspectos del deber ser del auditor. Beneficio del auditado Calidad Capacidad Cautela Comportamiento profesional Concentración en el trabajo Confianza Criterio propio Discreción Economía Formación continua Fortalecimiento y respeto de la profesión Independencia Información suficiente Integridad moral legalidad libre competencia no discriminación No injerencia Precisión Publicidad adecuada Responsabilidad Secreto profesional Servicio Público Veracidad.
Compartir