Descarga la aplicación para disfrutar aún más
Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!
Auditoria para el curso
Gabriel
Compartir
Vista previa del material en texto
1
Auditoría y Control de los Sistemas
de Información
Autor: Francisco Morteo
2
Concepto de auditoría.
Comencemos por el principio: ¿qué es la auditoría?
Etimológicamente, la palabra deriva del verbo latino audire, cuyo significado es
oír, escuchar. Si bien parece no tener una relación directa, oír se asocia con la
tarea del auditor debido a que en los primeros tiempos éstos ejercían su
función juzgando la verdad o falsedad de lo que les era sometido “oralmente” a
su verificación.
Ésta raíz etimológica ya estaba presente en épocas del virreinato. Existía la
Audiencia, tribunal público que Cabanellas lo define de la siguiente manera:
“Del verbo audire; significa el acto de oír un juez o tribunal a las partes, para
decidir los pleitos y causas. También se denomina audiencia al propio tribunal
cuando es colegiado, y al lugar donde actúa.”. (1) Una derivación del verbo
“audire”, también presente en esos años, era el de los “oidores”, jueces
pertenecientes a dicho Órgano.
Vemos que la necesidad de realizar controles y auditorías ya estaba presente
en esas épocas. Con ciertos matices y adaptaciones a los tiempos es la idea
que prevalece actualmente.
Transcribimos a continuación una serie de definiciones de “auditoría”,
pertenecientes a autores y Organismos reconocidos nacional e
internacionalmente. La intención es sintetizar a partir de ellas los conceptos
básicos que encierra el vocablo.
1. La Real Academia Española de la Lengua (RAE) nos provee 4
acepciones:
a. f. Revisión sistemática de una actividad o de una situación para
evaluar el cumplimiento de las reglas o criterios objetivos a que
aquellas deben someterse.
b. f. Revisión y verificación de las cuentas y de la situación
económica de una empresa o entidad.
c. f. Empleo de auditor.
d. f. Tribunal o despacho del auditor.
2. “Es la recopilación y evaluación de datos sobre información de una
entidad para determinar e informar sobre el grado de correspondencia
1 Cabanellas, Guillermo. Diccionario Jurídico elemental. Ver http://es.slideshare.net/YuhryGndara/diccionario-
juridicoelementalguillermocabanellas. Revisdo el 8 de enero de 2017. Pág. 33.
http://es.slideshare.net/YuhryGndara/diccionario-juridicoelementalguillermocabanellas
http://es.slideshare.net/YuhryGndara/diccionario-juridicoelementalguillermocabanellas
3
entre la información y los criterios establecidos. La auditoría debe ser
realizada por una persona competente e independiente”. (2)
El eje de esta definición esta puesto en la gestión. Analizar si los datos
concuerdan contra lo esperado. Agrega dos elementos importantes:
informar lo analizado y la realizacion de la tarea por una persona
competente e “independiente”, lo que descarta la idea de auditorías
internas.
3. “Es el examen objetivo, sistemático y profesional de las operaciones
ejecutadas con la finalidad de evaluarlas, verificarlas y emitir un informe
que contenga comentarios, conclusiones y recomendaciones”. (3)
También esta orientada a la gestión pero a partir del análisis de las
operaciones y no de los datos, como propone la definición anterior.
Especifica algunos de los contenidos que debe tener el informe
(comentarios, conclusiones, recomendaciones).
4. “Es el examen de las demostraciones y registros administrativos. El
auditor observa la exactitud, integridad y autenticidad de tales
demostraciones, registros y documentos”. (4)
Se incluyen aquí algunos objetivos a perseguir por la auditoría
(exactitud, integridad y autenticidad). Los objetos de la auditoría son
tanto demostraciones como registros administrativos.
5. “La auditoría consiste en la realización de exámenes estructurados de
programas de acción, organizaciones, actividades o segmentos
operativos de una entidad, con el propósito de evaluar e informar sobre
la utilización, de manera económica y eficiente, de sus recursos y el
logro de sus objetivos. Es el proceso que tiende a medir el rendimiento
real con relación a un rendimiento esperado. Tenderá a formular
recomendaciones para mejorar el rendimiento real y alcanzar el éxito
deseado.” (5)
Esta definición es la más amplia. Los objetos sobre los que se realiza la
auditoría pueden ser tanto programas, organizaciones, actividades o
segmentos operativos.
2 Alonso Cepeda, Gustavo. Auditoría y Control Interno. Editorial McGraw-Hill. 1997.
3 Kell, Walter – Zeigler, Richar – Boynton, Williams. AUDITORÍA MODERNA, CECSA. México. 1998, p.
22
4 Holmes, Arthur. Auditoría. Principios y Procedimientos. 1967.
5 SLOSSE, Carlos y Otros. Auditoría: Un Nuevo Enfoque Empresarial, Segunda Edición. Buenos
Aires,
Macchi, 1995.
4
Agrega además el concepto de economicidad y eficiencia con que debe
ser desarrollada la auditoría.
Se incluye también una perspectiva proactiva. La finalidad última no es
solo informar sino implementar cambios para mejorar el rendimiento.
6. “Auditoria es un examen que pretende servir de base para expresar una
opinión sobre la razonabilidad, consistencia y apego a los principios de
contabilidad generalmente aceptados, de estados financieros
preparados por una empresa o por otra entidad para su presentación al
Público o a otras partes interesadas”. (6)
Esta es una típica definición de auditoría de Estados Contables.
7. “Una Auditoría es el examen independiente de la información de
cualquier entidad, ya sea lucrativa o no, no importando su tamaño o
forma legal, cuando tal examen se lleva a cabo con objeto de expresar
una opinión sobre dicha información.” (7)
Esta definición es muy amplia en donde se rescata el concepto de
auditoría externa, de información, de entidades comerciales o no, y la
emisión de informes sin muchos condiciones que limiten tales acciones.
Vemos que existen definiciones de varios gustos. A partir de todas ellas vamos
a sintetizar una que es la que tomaremos adoptaremos para el trabajo: “La
auditoría es el trabajo que realiza el auditor, entendiendo por tal el examen
crítico y sistemático que lleva a cabo un profesional independiente del sistema
auditado, que tiene como propósito emitir una opinión objetiva y competente.”.
Tomamos esta definición porque su amplitud nos permitirá que la apliquemos a
varias situaciones y clasificaciones.
Somos conscientes de que tradicionalmente hay una acepción que esta más
generalizada principalmente en el ámbito de las ciencias económicas.
Wikipedia nos aclara este punto: “… aunque existen muchos tipos de auditoría,
la expresión se utiliza generalmente para designar a la “auditoría externa de
estados financieros”, que es una auditoría realizada por un profesional experto
en contabilidad, de los libros y registros contables de una entidad, para opinar
sobre la razonabilidad de la información contenida en ellos y sobre el
cumplimiento de las normas propias de la disciplina”.
6 Instituto Norteamericano de Contadores Públicos (AICPA). 1983.
7 Consejo de Normas Internacionales de Formación en Contaduría. La Federación Internacional
de Contadores (International Federation of Accountants/IFAC)
5
Quizás ésta estrecha relación de la auditoría con la contabilidad se deba a que
en sus orígenes la actividad surgió como una necesidad de controlar ciertas
registraciones que efectuaban comerciantes y empresarios.
Hagamos un poco de historia.
En el siglo XV, como consecuencia del aumento exponencial del comercio
internacional, los mercaderes se vieron obligados a mantener registro de las
operaciones que llevaban a cabo, y la consiguiente necesidad de controlar la
exactitud y pertinencia de esos datos, no solo en defensa de sus propios
intereses sino además por que existía un número importante y creciente de
interesados en conocer y controlar la evolución y confiabilidad de los números
patrimoniales y económicos de las compañías.
Esta necesidad, fuepotenciada con la constitución de sociedades que se
creaban para limitar la responsabilidad de los dueños ante los cada vez mas
frecuentes robos perpetrados principalmente por piratas. Debía entonces
generarse una comunicación objetiva de los números y se requería por esta
razón la generación de un lenguaje registral común. Surge entonces la
adopción de la contabilidad basada en la partida doble y en la registración de
las operaciones efectuadas en libros contables homogéneas para todas las
empresas.
Como la confección de los números por parte de los dueños de las empresas
podía adolecer de vicios interesados, surge la idea de generar certificaciones
de las registraciones a través de un profesional independiente que diera fe de
manera objetiva y equidistante de los estados analizados. Nace así la auditoría
como disciplina autónoma de la contabilidad.
Una situación que alimenta la necesidad de realizar auditorías es la
interrelación que las empresas comienzan a tener con los bancos a través de
los depósitos que las primeras tienen en las entidades financieras y por el otro
los prestamos que estas otorgan a los comercios. Es una necesidad simultánea
de conocer el respaldo y objetividad de los registros de ambos tipos de
organizaciones; los bancos para conocer el respaldo que las empresas tienen
para responder a los préstamos que les otorguen y las empresas la necesidad
que tienen de conocer el grado de seguridad que tienen al depositar su dinero
en el banco.
Exponemos a continuación y solo a título ilustrativo algunos hitos importantes
en la historia de la auditoría:
En 1284 en España, mientras ejercía el reinado Sancho VI “El Bravo”, se
designó a varios hombres de confianza para realizar un control sobre el
destino de los caudales públicos. Se considera que es el Origen del Tribunal
de Cuentas en España.
6
Para algunos el verdadero nacimiento de la auditoría fue a finales del siglo
XV, cuando nobles, ricos y familias pudientes de España, Inglaterra,
Holanda, Francia y los demás países poderosos de ese entonces, recurrían
a los servicios de revisores que revisaban las cuentas manejadas por los
administradores de sus bienes, asegurándose de que no existieran fraudes
en los reportes que se les presentaban.
El descubrimiento de América en 1492, contribuyó también al crecimiento
de la actividad de auditoría, ya que la Corona enviaba visitadores a revisar
los resultados de sus colonias, supervisando que el registro y manejo de las
cuentas fuera correcto y a su vez emitían una opinión sobre la actuación de
los encargados.
En diversos países de Europa, durante la edad media, surgen algunas
asociaciones profesionales, que se encargaban de ejecutar funciones de
auditorías, destacándose entre ellas los consejos Londinenses (Inglaterra),
en 1310 y el Colegio de Contadores, de Venecia (Italia) en 1581.
La Revolución Industrial, a partir de la séptima década de 1800, contribuyo
para que las empresas alcancen un auge principalmente en actividades
fabriles y mercantiles, trayendo consigo un notable crecimiento en sus
operaciones, y naturalmente un notable incremento en la necesidad de
registrar las operaciones contables. Todo esto impulsó la creación de la
profesión de contador y a la par creció la demanda de ejercer mayor
vigilancia en el registro de las operaciones financieras y la emisión de
resultados financieros. Poco después de penetrar la contabilidad de los
dominios científicos existe un preanuncio de la función de auditoría en 1845
en que el "Railway Companies Consolidation Act" obligaba a la verificación
anual de los balances que debían hacer los auditores.
El primer antecedente formal de la auditoría como profesión independiente
fue la Ley Británica de Sociedades Anónimas de 1862. En ella se establecía
que: “Un sistema metódico y normalizado de contabilidad era deseable para
una adecuada información y para la prevención del fraude”. También
reconocía: “Una aceptación general de la necesidad de efectuar una
revisión independiente de las cuentas de las pequeñas y grandes
empresas.”.
En cuanto al término auditor evidenciando al profesional que practica esta
disciplina, apareció a finales del siglo XVIII, en Inglaterra durante el reinado
de Eduardo I. Fueron importantes los auditores que entendían en
cuestiones eclesiásticas como el Auditor Papae, que aconsejaba al Sumo
Pontífice sobre temas teológicos en sus comienzos, pero abarcando luego
mas temas hasta que en 1831 comienza a entender en asuntos
disciplinaros o los Auditores eclesiásticos de la Rota Romana. Eran jueces
de designación pontificia que resolvían en apelaciones matrimoniales
eclesiásticas.
7
Misión y objetivos de la auditoría
Recordemos los conceptos de misión y función.
Misión: Es el motivo, propósito, fin o razón de ser. Define: 1) lo que se pretende
cumplir en un determinado entorno o sistema social en el que actúa, 2) lo que
se pretende hacer y 3) el para quien lo va a hacer. No es un concepto
inalterable en el tiempo ya que evoluciona por las visiones de cada momento y
por circunstancias históricas.
Objetivo: Haremos primeramente una distinción entre Objetivo y Objeto. En
algunos casos se confunden los términos; hay autores que se refieren al Objeto
de la Auditoría para referirse a los objetivos que se buscan con el trabajo. Nos
parece importante hacer esta distinción ya que el objeto de la auditoría es uno
de los elementos importantes a considerar en el momento de hacer
clasificaciones de la auditoría.
Nosotros vamos a hablar de Objetivo para designar el fin que se persigue con
la tarea de auditoría. Implica un proceso, una serie de actividades para
conseguirlo. Por Objeto entenderemos el elemento sobre el que se realiza la
actividad del auditor. Es algo estático que debería ser especificado en el
objetivo de la auditoría.
En el Manual de Auditoría editado por el área de Auditoría de la Federación de
Consejos Profesionales de Ciencias Económicas se hace referencia a que el
objeto del examen de la auditoría son los estados contables y las afirmaciones
que lo conforman. (8)
Como vemos misión expresa un panorama más general; en cambio objetivo es
algo mas tangible y mas asequible que la misión. Pero existe una relación
entre ellos; la misión esta apoyada por los objetivos.
¿Cómo han evolucionado las distintas misiones que persiguió la auditoría? En
Inglaterra de fines del siglo XIX se hacía hincapié en la prevención y detección
de fraudes, irregularidades y errores.
Esta primera misión (prevención y detección de fraudes) que estaba destinada
a defender intereses de los dueños continuó hasta aproximadamente 1940 en
que la misión comienza a orientarse a realizar análisis para “atender los
intereses de los clientes y terceros interesados”.
Posteriormente, cuando desde la administración de empresas se comienza a
hablar de eficiencia organizacional, de cambios en el entorno (principalmente
tecnológicos) y otros aspectos, la auditoría se adapta a estos aspectos y
amplía sus alcances. La misión es optimizar la eficiencia de las organizaciones,
8 Lattuca, Antonio – Mora, Cayetano y otros. Manual de Auditoría. Federación de Consejos
Profesionales de Ciencias Económicas. Área 3. Pág. 69.
8
a través de la mejora en la ejecución de procedimientos y en la utilización de
los recursos.
Si bien hemos realizado divisiones estrictas según las distintas épocas, los
cortes no son tan marcados. En esta proceso evolutivo distintas misiones han
convivido. De hecho conviven ya que los motivos por los que se solicitan
auditorías son amplios y se realizan por distintos intereses.
Además pueden existir misiones propias de los distintos tipos de auditorías que
veremos mas adelante. Este tema lo veremos en el punto específico.
Como dijimos, estas misiones deben estar apoyadasen objetivos que permitan
cumplir esta misión. Quizás algún objetivo pueda ser identificado para mas de
una misión. ¿Cuales pueden ser algunos de estos objetivos según las distintas
misiones que vimos?
Cuando la misión era prevenir y detectar fraudes se podrían realizar acciones
que tuvieran como objetivo “detectar diferencias entre documentación de caja y
los arqueos”.
Para atender los intereses de terceros es que se analizan xxxxxxxxxxxxxxxxxx.
Ante la misión de optimizar la eficiencia un objetivo podía ser “revisar la
posición financiera y de los resultados indicados en los estados financieros de
manera que pudiera ofrecerse una opinión sobre la adecuación de estas
presentaciones a las partes interesadas.”
Pero tengamos en cuenta que si bien estamos hablando de Misión y Objetivos
de la Auditoría, existe un condicionante: esos objetivos deben estar en línea
con los objetivos y misión de la Organización para la que se está trabajando.
Debe haber una encuadre con ellos, ya que la esencia de la auditoría es tener
una proacción hacia la mejora continua. El auditor realizar su tarea alineada
con la misión, visión, valores, objetivos y estrategias de la organización.
9
Clasificación de la Auditoría
Existen varios puntos de vista a partir de los cuales realizar clasificaciones de
auditoría. Pasamos a sintetizar algunas de ellas.
A) Según la relación de dependencia del auditor.
Es una clasificación tradicional y generalmente aceptada. Resulta
particularmente importante ya que modifica el horizonte para realizar la
planificación que debe llevar a cabo el auditor.
A.1. Auditoría interna (AI)
Según Castello: “Es una función de evaluación interna, ejercida por personal
perteneciente a los cuadros de la empresa. Actúa como un servicio
independiente de la línea jerárquica corriente, por lo que depende directamente
de la Dirección de la organización. La auditoría interna mide y evalúa la
confiabilidad y eficacia del sistema de control interno de la entidad con miras a
lograr su mejoramiento.” (9)
Cuando se comprendió la real importancia que tenía un buen sistema de
control interno en las organizaciones, comenzó a generalizarse la creación de
departamentos internas que realizaran sugerencias y un seguimiento sobre el
tema. Los auditores independientes promovieron esta creación ya que los
favorecía, principalmente en lo relacionado con el alcance de las pruebas que
debían realizar.
En nuestros días, las funciones de los departamentos de auditoría interna se ha
ampliado, llegando a realizar revisiones de todas las áreas y procedimientos de
las corporaciones, de las que las operaciones financieras son una parte de
ellas.
A.2. Auditoría externa. (AE) 10
Es una función de evaluación externa, ejecutada por un ente externo e
independiente de la línea jerárquica establecida. Actúa controlando algún
aspecto particular de las operaciones o procedimientos establecidos en la
organización.
Si comparamos las auditorías internas con las externas, vemos que las
primeras tienen como ventaja el conocimiento que tiene el auditor de la
“cultura” de la organización y el hecho de que, al pertenecer a la plantilla de la
empresa, no es visto como un cuerpo extraño y, por consiguiente, no se le
9 Castello, Ricardo. Auditoría en Entornos Informáticos. Segunda edición - Diciembre de 2006
I.S.B.N. 950-33-0199-8. Pág. 6
10 Castello, Ricardo. Op. Cit.. Pág. 6 y ss.
10
retacea información. Las externas, en cambio, cuentan como ventaja la
independencia del auditor, quién puede aplicar sus propios criterios, libre del
“sentimiento de pertenencia” a la estructura de la entidad. Veamos en el
siguiente cuadro: (11)
Aspectos
Considerados
Auditoría externa Auditoría interna
Objetivo
Opinar sobre la razonabilidad
de la información reflejada en
los Estados Contables, y si
fueron elaborados de acuerdo
con las Normas de Auditoría
Vigentes
Medir y evaluar la eficiencia de la
operatoria del ente, así como la
confiabilidad del control interno del
mismo, proveyendo análisis y
recomendaciones que tiendan a
su mejoramiento
Sujeto Contador Público
Preferentemente profesional en
Ciencias Económicas
Tipo de Relación Contractual Relación de Dependencia
Independencia Total
Profesional en relación de
dependencia
Objeto principal de su
examen
Estados contables anuales o
intermedios
Actividades de control interno del
ente, circuitos administrativos,
manual de procedimientos y
organigramas.
Normas de aplicación
Normas profesionales vigentes.
Exigencias legales de órganos
de control.
Normas de auditoría interna.
No obligatorias.
Producto Final
Informe sobre Estados
Contables anuales o
intermedios.
Informes sobre control interno,
gestión, desvíos presupuestarios.
Responsabilidad Profesional, civil y penal Profesional y laboral
Condiciones personales
Independencia de criterio
(respecto del ente auditado).
Título habilitante. Cuidado
profesional.
Independencia de criterio
(dependiendo del máximo nivel
decisorio de la empresa).
Capacidad técnica.
Cualidades personales.
En el Informe Nro. 18. de la Comisión de Estudios de Auditoría del CPCECF se
hace una apreciación sobre el vínculo que debe existir entre la AE y la AI, a fin
de que el Auditor Externo aproveche el conocimiento profundo que el AI tiene
sobre el ente y su cultura. A esto se suman 3 ventajas adicionales:
▪ Evitar duplicación de esfuerzos
▪ Intercambio de conocimientos
▪ Reducción de costos.
11 Informe Nro. 18. Comisión de Estudios de Auditoría del CPCECF “La Tarea de Auditoría Externa y su
Relación con la Auditoría Interna del Ente”.
11
¿Cuál es el alcance de que debe tener esta relación? ¿Cuál es la coordinación
que debe existir entre ambos profesionales?
Debe comenzar en la planificación. En esta etapa se pueden incluir tareas a
desarrollarse en forma conjunta o inclusive algunas que el auditor externo
puede delegar en parte en la auditoria interna.
Ahora bien, para que el Auditor Externo pueda confiar en la tarea, debe
asegurarse razonablemente de la calidad de las rutinas. Para esto evaluará las
siguientes variables:
Grado de independencia de la AI
Capacitación actual y programas de capacitación previstos par
el personal de esa área
Alcance del las rutinas desarrolladas por el área.
Oportunidad de su ejecución.
Seguimiento de sus informes
Composición del plantel y criterios de selección del personal
B) Por áreas de aplicación de la auditoría.
Otra clasificación posible es aquella que considera cuál es el área de aplicación
en el que se focaliza la auditoría.
Aquí las misión que se persigue en cada clasificación, esta íntimamente
relacionada con el área a la que corresponde.
Haremos una síntesis de varias clasificaciones que existen.
Auditoría contable. Es la realizada por un profesional experto en
contabilidad, sobre los estados contables de una entidad.
Auditoría administrativa. es la técnica de control administrativo que examina
-sistemática e integralmente- el grado de eficiencia en la aplicación del
proceso administrativo a las distintas funciones de una entidad, así como la
manera en que esta eficiencia influye en la efectividad de las mismas.
Auditoría medioambiental. Es el análisis y cuantificación de los logros y la
posición medioambiental de una organización.
Auditoría social. Es el proceso que una empresa u organización realiza con
ánimo de presentar el balance de su acción social y su comportamiento
ético.
https://es.wikipedia.org/wiki/Auditoría_contable
https://es.wikipedia.org/wiki/Estados_contables
https://es.wikipedia.org/w/index.php?title=Auditoría_administrativa&action=edit&redlink=1
https://es.wikipedia.org/wiki/Auditoría_medioambiental
https://es.wikipedia.org/wiki/Auditoría_social
12
Auditoría Sarbanes-Oxley o auditoría Sox. Es la revisión que se le practica a
las firmas de auditoría de las compañías que cotizan en bolsa, de acuerdo a
lo prescrito por la ley Sarbanes-Oxley.
Auditoría forense. Es la revisión de datos y documentos históricos de
empresas que se comparan con el fin de detectar principalmente fraudes,
robos, argucias fiscales, trucos contables o cualquier otra situación anómala
en la que se investiga a los involucrados intelectuales y materiales del
hecho; regularmente se hacen estimaciones en dinero de las cifras
malversadas.
Auditoría financiera. Consiste en una revisión sistemática, explorativa y
crítica, realizada por un profesional de contabilidad a los documentos
contables, a los controles y registros de las operaciones financieras y a la
emisión de estados financieros de una empresa, obtenidos durante un
período determinado, a fin de evaluar y emitir una opinión sobre su
razonabilidad, veracidad, confiabilidad y oportunidad, misma que se dará a
conocer a sus accionistas, clientes, autoridades fiscales y terceros
interesados, manteniéndolos al tanto de las utilidades obtenidas, pago de
impuestos, y de la situación financiera y económica de la Institución.
Auditoría Integral. Es aquella que implica una revisión exhaustiva,
sistemática y global que realiza un equipo multidisciplinario de profesionales
a todas las actividades y operaciones de una empresa, con el fin de evaluar
el correcto desarrollo de las funciones en todas las áreas administrativas, y
a su vez la revisión de las normas, políticas y lineamientos sobre el uso de
todos los recursos de la empresa.
Auditoría Gubernamental. Es la revisión exhaustiva, sistemática y concreta
que se realiza a todas las actividades y operaciones de una entidad
gubernamental, con el fin de evaluar el correcto desarrollo de las funciones
de todas las áreas de dichas entidades. Se incluyen los métodos y
procedimientos que regulan las actividades para cumplir los objetivos
gubernamentales, estatales o municipales, aplicación y cumplimiento de
presupuestos públicos, programas, normas, políticas y lineamientos que
regulan la participación de los recursos de la entidad en la prestación de
servicios a la sociedad.
La auditoría gubernamental fue oficialmente reconocida en 1921 cuando el
Congreso de los Estados Unidos estableció la Oficina General de
contabilidad.
Auditoría fiscales. Revisión exhaustiva, pormenorizada y completa que se
realiza a los registros y operaciones contables de una empresa, así como la
evaluación de la correcta elaboración de los resultados financieros de un
ejercicio fiscal, con el propósito de dictaminar sobre el correcto ejercicio
https://es.wikipedia.org/w/index.php?title=Auditoría_Sarbanes-Oxley&action=edit&redlink=1
https://es.wikipedia.org/wiki/Ley_Sarbanes-Oxley
https://es.wikipedia.org/w/index.php?title=Auditoría_forense&action=edit&redlink=1
13
financiero y la razonabilidad en la presentación de los estados de resultados
y, como consecuencia de ello, comprobar el correcto pago de los impuestos
y demás contribuciones tributarias, tanto de la empresa como de sus
empleados, acreedores y compradores. 12
Auditoría laboral. Es la revisión y evaluación especializada que se realiza a
las actividades, funciones y operaciones relacionadas con el factor humano
de una empresa; su propósito es dictaminar sobre el adecuado
cumplimiento en la selección, capacitación y desarrollo del personal, la
correcta aplicación de las prestaciones sociales y económicas, el
establecimiento de las medidas de seguridad e higiene en la empresa, la
elaboración de los contratos colectivos e individuales de trabajo, los
reglamentos internos de trabajo, normas de conducta y demás actividades
que intervienen en la gestión de personal de una empresa. 13
Auditoría de Sistemas. Constituye una revisión técnica, especializada y
exhaustiva que se realiza a los sistemas computacionales, software e
información que se utilizan en una empresa, sean estas individuales,
compartidas o de redes, así como a sus instalaciones, telecomunicaciones,
mobiliario, equipos periféricos y demás componentes, abarcando además a
la gestión informática, el aprovechamiento de sus recursos, las medidas de
seguridad y los bienes de consumo necesarios para el funcionamiento de
centro de cómputo.
Por ejemplo, la Auditoría de sistemas tiene por misión aumentar la
efectividad, eficiencia y operatividad de los elementos informáticos con que
se llevan adelante los actividades de una organización.
12 Muñoz Razo, Carlos. Auditoría en Sistemas Computacionales. Ed. Pearson Education. Primera
Edición. Año 2002. Pág. 21.
13 Muñoz Razo, Carlos. Op. Cit. Pág. 21.
14
Auditoría y Consultoría
En el presente apartado pretendemos realizar una serie de aclaraciones que
nos van a servir a lo largo del libro. Las realizamos para identificar claramente
el área de actuación del auditor y del consultor y el objetivo de trabajo de cada
uno de ellos.
En este punto recurrimos nuevamente a Castello. 14
“ (…) Como ya lo expresáramos anteriormente, la auditoría comprende la
realización del control y la revisión de una situación pasada, observando lo
actuado y contrastándolo con normas predefinidas. La efectividad de un trabajo
de auditoría se refleja en las mejoras recomendadas al sistema de control
interno de la empresa y a la seguridad.
En tanto, la consultoría tiene como misión implementar las recomendaciones
propuestas en una auditoría previa o por un ejecutivo, con el propósito de
mejorar la productividad de la empresa. Es una perspectiva de asesoramiento
con visión de futuro. Es frecuente que una consultoría sea consecuencia o el
resultado de una auditoría.
Esto último supone que la consultoría se sustenta en un esfuerzo previo de
conocimiento y diagnóstico de la organización (resultado de una auditoría),
para luego elaborar las bases de la reorganización del ente y la tecnología de
implementación. La efectividad de la labor de consultoría se podrá medir a
medida que transcurra el tiempo desde la puesta en práctica de las soluciones.”
Objetivo Momento
Auditoría Controlar el desempeño Posterior a los eventos
Consultoría Optimizar el desempeño Previo a los eventos
En la década del 2000 se dieron una serie de escándalos financieros estrechamente
vinculados a las tareas de auditoría y consultoría, que involucró a empresas como
WorldCom, Parmalat, Vivendi, Ahold, Royal Dutch Shell, Adecco y Tyco. El caso
emblemático fue el de Enron, empresa energética de los EEUU, que en 2001, se
presentó en quiebra con deudas por más de u$s30.000 millones poco después de
declarar ganancias por u$s1.000 M. y hacer estallar los paneles bursátiles con alzas
espectaculares.
La quiebra de esta compañía dejó en la ruina a miles de sus empleados que además
de perder su trabajo vieron desplomarse las acciones (de u$s90 a u$s0,42) que
habían adquirido estimulados por la propia compañía. Miles de pensionados quedaron
sin haberes tras la quiebra de los fondos de pensiones que habían colocado su capital
en títulos de Enron.
14 Castello, Ricardo. Op. Cit. Pág. 13.
15
El daño financiero total causado a los empleados, accionistas, acreedores, etc.
de Enron ha sido estimado por encima de los sesenta mil millones de dólares.
Esta cifra proviene de las compensaciones excesivas a altos ejecutivos y
“socios”, el despilfarro de fondos por las grandes financiaciones de campañas
políticas y sobornos y a inversiones poco planificadas.
Pero no fue un problema limitado a los Estados Unidos, tuvo repercusiones en
todos los mercados financieros del mundo. El escándalo contable consistió en
maniobras fraudulentas llevadas a cabo para disimular grandes pasivos que
tenía la empresa. El escándalo repercutió a la consultora Andersen, una de las
firmas másimportantes de auditoría contable que en era quien llevaba a cabo
la Auditoría Externa de Enron desde 1980 y también Auditor Interno desde
1990. En el 2000 facturó 25 millones de dolares por servicios de auditoría y 27
millones por servicios de consultoría.
Las enseñanzas que dejaron estos hechos fueron:
EROSIÓN CULTURAL DE LA ÉTICA DE LOS NEGOCIOS Y LA
CONFIANZA PÚBLICA: No es un problema de contabilidad, sino de los
analistas, de los inversores banqueros, juntas de directores, fijadores de
normas, firmas de contadores y abogados
PERIODICIDAD DE LA AUDITORÍA: Si los analistas e inversores hacen
bien su labor, el maquillaje contable no sería posible. El plazo anual para
realizar la auditoría puede resultar insuficiente de cara al inversor.
BRECHA DE EXPECTATIVAS DE AUDITORIA: El “gap” o brecha de
expectativas es la diferencia entre lo que los usuarios de la información
esperan de una auditoría y los objetivos que realmente ésta persigue.
INDEPENDENCIA: Se ha concluido que siempre que una empresa
contrata al auditor para un trabajo distinto del de Auditoría se produce
pérdida de Independencia.
Las repercusiones llegaron al Congreso de los EEUU, que decidió votar en el
2002 la ley Sarbanes Oxley destinada a proteger las empresas de defraudación
y fortalecer los controles internos y externos y establecer reglas de gobierno
corporativo.
La importancia de esta ley es que una dirección corporativa responsable y
adecuadas prácticas éticas en los negocios ya no son detalles opcionales de
las organizaciones, sino que son una ley a cumplir.
Y la importancia no es solo para los Estados Unidos sino que todas aquellas
sucursales, compañías afiliadas o subsidiarias de empresas que están
16
inscriptas en la bolsa de valores de Estados Unidos debieron adaptarse a las
exigencias de esta ley.
Las disposiciones de esta ley impactan en las tareas de auditoría ya que:
Establece un nuevo consejo de vigilancia, supervisado por la SEC
(Security Exchange Commision - Comisión de Valores de Estados
Unidos).
Define nuevas funciones y responsabilidades para el comité de
auditoría, que debe tener miembros independientes a la administración.
Define un esquema de medición del control interno que se aplica
constantemente.
El auditor externo tiene que verificar la certificación del control interno y
emitir un dictamen al respecto.
Establece la rotación de los auditores cada cinco años.
Especifica los servicios que no podrán ser realizados por los auditores
externos.
Limita el alcance de los servicios que los auditores pueden prestar a sus
clientes.
La independencia de las firmas de auditoría es un factor clave en el nuevo esquema
normativo, dado que la credibilidad en los informes financieros de las empresas
supone que existe independencia entre la firma que realiza la auditoría y la compañía
auditada.
La autonomía que debe caracterizar la relación entre ambas entidades se protegerá al
prohibir que los auditores lleven a cabo actividades de consultoría o brinden servicios
de asesoría, debido a que ello podría derivar en conflictos de interés.
Es así que si realizo una Consultoría puedo consensuar la planificación, validar
controles internos, estrategia de pruebas y planes de solucionarlos, pero NO
puedo participar en la evaluación y testeo de la efectividad de la estructura y
procedimientos de control interno.
En cambio, si estoy llevando a cabo una Auditoría estoy habilitado para brindar
ayuda a la gerencia, para evaluar la efectividad de la estructura y
procedimientos de control interno al cierre del ejercicio, pero NO puedo
certificar las afirmaciones de la gerencia con respecto al control interno.
Por aplicación de las disposiciones de esta ley, Richard Causey, responsable
de auditoría de Enron, fue inculpado y llegó a un acuerdo. Admitió que cometió
fraude, conspiración, mentiras a los auditores y uso de información privilegiada.
A cambio pago una multa de 1,25 millones de dólares y fue sentenciado a 7
años en prisión. Aunque a priori parece un mal trato, si lo comparamos con los
25 años a la sombra a los que fue sentenciado el pasado julio Bernie Ebbers, el
antiguo CEO de Enron, o con los 10 años en la cárcel que cumplirá su
ayudante, no parece demasiado.
17
Auditoría y Seguridad
De la misma manera que distinguimos entre auditoría y consultoría nos parece
importante realizar la misma distinción con relación a la seguridad.
Identificamos algunos equívocos motivados quizás por el trabajo de control en
la seguridad informática que llevan a cabo los auditores. Sin embargo es
necesario rescatar estas diferencias para orientar correctamente el trabajo.
La principal diferencia que impacta en el tipo de tarea es que la Seguridad
Informática es netamente operativa y su eficiencia se medirá en relación con el
grado de efectividad que tengan las medidas adoptadas para reducir los
riesgos inherentes a la seguridad.
En cambio la auditoría no se dedica a implementar medidas sino a controlar
que aquellas que están implementadas son eficientes. En todo caso podrá
sugerir alternativas de solución, cuya implementación tampoco cae en la esfera
de su competencia.
18
Metodología para realizar una auditoría
Existen diferentes metodologías pero tomaremos como referencia la que propone la
Resolución Técnica 37 de la Federación de Consejos Profesionales de Ciencias
Económicas (15). Si bien esta orientada a la auditoría de Estados Contables, los pasos
que enumera pueden ser adaptados a otros tipos de auditoría.
Es en el punto 3 en donde se detallan los pasos de la metodología. Un resumen de
ellos es:
3.1. Obtener un conocimiento apropiado de la estructura del ente. Esta visión
general es fundamental para confeccionar un plan de auditoría objetivo. En esta etapa
se debe conocer, entre otras cosas, la estructura organizacional, las disposiciones
legales, y todo aquello que sea apto para saber como funciona la empresa.
3.2. Identificar el objeto del examen. Este punto es amplio en función de las distintas
áreas de aplicación en las que se realizan la auditoría.
3.3. Planificar en forma adecuada el trabajo de auditoría. En esta etapa el auditor
debe definir cual es la estrategia específica con que encarará su trabajo. Deben
incluirse los objetivos y alcance que se persiguen en la auditoría, los recursos
materiales y humanos que utilizará, los procedimientos que se ejecutarán, las tareas
que va a realizar tanto él como de cada uno de los integrantes del grupo y la
distribución de estos elementos en el tiempo. Con esta planificación se garantiza el
éxito en la ejecución de la auditoría.
El objetivo es el propósito por el cual es requerida la auditoría. El alcance tiene que ver
con la extensión del examen, es decir los objetos sobre los que se trabajará y también
puede estar referido a los período a examinar.
Es una buena práctica que la planificación sea formalizada por escrito y, que contenga
programas de trabajo detallados.
3.4. Reunir los elementos de juicio válidos y suficientes que permitan emitir su
informe a través de la aplicación de los siguientes procedimientos de auditoría.
Requiere:
3.4.1. Evaluación del control interno. El desarrollo de este procedimiento
implica cumplir los siguientes pasos:
3.4.1.1. Relevar las actividades formales de control interno que son
pertinentes a su revisión.
3.4.1.2. Comprobar que esas actividades formales de control
interno se aplican en la práctica.
3.4.1.3. Evaluar las actividades reales de control interno,
comparándolas con las que se consideren razonables en las
circunstancias.
15 Resolución Técnica Nro 37. Federación de Consejos Profesionales de Ciencias Económicas.
19
3.4.1.4. Determinar el efecto de la evaluación mencionada sobre la
planificación, de modo de replantear, en su caso, la naturaleza,
extensión y oportunidadde los procedimientos de auditoría
seleccionados previamente.
Es decir que hay que analizar que los controles existan, que sean los
adecuados y que están aplicados.
En este punto se enumeran a continuación una serie de técnicas que se
pueden aplicar principalmente en auditorías de estados de contables.
3.5. Obtener elementos de juicio válidos y suficientes sobre la idoneidad de la
utilización por parte de la dirección de la hipótesis de empresa en
funcionamiento para la preparación y presentación de los estados contables, y
concluir si a su juicio existe una incertidumbre significativa con respecto a la
capacidad del ente para continuar como una empresa en funcionamiento
durante un período al menos de doce meses. Esta etapa constituye la esencia de
la auditoría pues dentro de ella se realizan todas las pruebas y análisis, se utilizan
todas las técnicas o procedimientos para encontrar evidencias, se detectan errores, se
evalúan los resultados de las pruebas y se identifican los hallazgos de auditoría, que
sustentarán el informe.
3.6. Controlar la ejecución de lo planificado
3.7. Evaluar la validez y suficiencia de los elementos de juicio examinados.
3.8. Sobre la base de los elementos de juicio obtenidos, el contador debe formarse
una opinión acerca de la razonabilidad,
3.9. Emitir su informe teniendo en cuenta las disposiciones legales, reglamentarias y
profesionales que fueran de aplicación.
4. El contador podrá emitir, en su caso, un informe con las observaciones
recogidas durante el desarrollo de la tarea y las sugerencias para el mejoramiento
del control interno examinado.”
20
Evidencias de Auditoría y Papeles de Trabajo
La evidencia de auditoría es toda información que obtiene el auditor para determinar si
la información que se está auditando, se presenta de acuerdo al criterio establecido.
Para poder apoyar las afirmaciones que está formulando, el auditor debe evaluar la
suficiencia y completitud de la evidencia de auditoría generada.
Siguiendo el documento S14 de las normas Cobit, para que una evidencia sea
apropiada debe incluir:
Los procedimientos realizados por el auditor
Los resultados de los procedimientos realizados por el auditor
Los documentos fuente (en formato electrónico o impresos en papel), registros
e información de colaboración utilizados para apoyar la auditoría
Los hallazgos y resultados del trabajo de auditoría
El auditor debe también asegurarse de que la evidencia es fiable. Para esto
deben tenerse en cuenta propiedades tales como la fuente de la evidencia, su
naturaleza (por ejemplo, escrito, oral, visual, electrónica) y su autenticidad (por
ejemplo si son firmas digitales, manuales, sellos que pudieran tener, etc.).
Una vez procesada la evidencia es necesario que la misma sea protegida de accesos
y modificaciones no autorizados. Además, debe retenerse durante el tiempo que
resulte necesario para cumplir con todas las leyes, normas y políticas aplicables.
Es necesario catalogar de forma adecuada la evidencia de auditoría en un Legajo de
Auditoría siguiendo procedimientos adecuados. En el legajo deben incluirse aspectos
tales como los objetivos y alcance del trabajo, el programa de auditoría si se realizaran
varios programas simultáneos, los pasos de auditoría realizados, la evidencia
recogida, los hallazgos, conclusiones y recomendaciones, etc.
Clasificación de las evidencias
Una primera clasificación que damos es la de Lattuca y Mora (16). Es la
siguiente:
1. Según el esfuerzo intelectual requerido:
Evidencia natural: Es aquella que se obtiene a través de los sentidos.
Requiere un escaso esfuerzo mental pero en cambio tiene gran poder de
persuasión sobre el auditor. Ejemplo: recuento de fondos realizados por
el auditor. En este caso sus sentidos le indican la clase y cantidad de
moneda existente al momento del arqueo.
16 Lattuca, Antonio - Mora, Cayetano y otros.
21
Evidencia creada: Es aquella que se produce ("crea") realizando
pruebas de auditoría. Para que el auditor se persuada de la cifra de
ventas expuesta en los estados contables, "crea" evidencia mediante la
revisión entre otras cosas de la documentación de respaldo (nota de
pedido u orden de compra, remitos conformados, guías de transporte,
facturas, etc.). Requiere corno se ve un trabajo intelectual más
elaborado pues necesita definir los procedimientos a aplicar, el momento
más adecuado, la cantidad de casos a observar, la complementación
con procedimientos de otros rubros. (Ver capítulo 5 de este Manual).
Evidencia derivada de una argumentación racional: En este caso la
evidencia se obtiene a partir de hechos establecidos pero que requieren
de una interpretación lógica. Precisamente el requisito de una
interpretación hace que el auditor deba poseer adecuada preparación.
Necesita de la habilidad en el observador para que a partir de
determinados hechos pueda realizar juicios lógicos. Así, si el auditor ha
establecido que el ente ha vendido un bien de uso, deberá encontrar un
ingreso por la venta, la baja del activo, el ajuste de las amortizaciones
acumuladas y en caso de haber sido revaluado técnicamente, el
tratamiento dado al saldo de revalúo. Es decir que partiendo de un
hecho establecido el auditor "debe" saber qué evidencias adicionales ha
de buscar.
2. Según su fuente:
Evidencia interna: Es aquella que surge del ente, originada tanto en sus
registros contables como en las múltiples operaciones que realiza.
Ejemplos: vales de caja, informes de recepción, facturas de venta,
subdiario de ventas, diario general.
Evidencia externa: Se produce fuera del ente y comprende tanto fuentes
documentales (facturas de proveedores, resúmenes de cuenta de
terceros) corno testimoniales (pedidos de confirmación de saldos
solicitados a deudores).
Otra clasificación es la que considera el tipo de evidencia que se genera:
Evidencia Física. Por ejemplo muestra de materiales, mapas, fotos.
Evidencia Documental: cheques, facturas, contratos, etc.
Evidencia Testimonial: obtenida de personas que trabajan en el negocio o que
tienen relación con el mismo.
Evidencia Analítica: datos comparativos, cálculos, etc.
Requisitos de las evidencias
Las evidencias deben reunir los siguientes requisitos:
22
Pertinencia: Implica que las pruebas deben referirse a la afirmación
que se desea verificar y a los aspectos de ella que importan al
auditor. Es una forma de medir calidad de la evidencia.
Validez: Significa la fuerza de persuasión que tienen sobre el juicio
del auditor, lo que incluye su confiabilidad.
La fuerza de persuasión varía de evidencia a evidencia. Es mas
fiables si:
Son escritas, en lugar de orales.
Se obtiene de fuentes independientes.
Es obtenida por el auditor en lugar de obtenerlo de la entidad
que se está auditando.
Es certificada por una entidad independiente.
Es mantenida por una entidad independiente.
Por otra parte, la confiabilidad aportada por un conjunto de elementos
de juicio coincidentes, relativos a una misma afirmación es,
generalmente, de un valor persuasivo mayor que la simple suma de
las que aportan las evidencias individuales.
Si la tarea realizada por un auditor es revisada por otra persona
aumenta su grado de fiabilidad y validez.
Suficiencia: Significa que los procedimientos aplicados generan la
cantidad necesaria para formar la opinión del auditor sobre la
razonabilidad de las afirmaciones. La evidencia puede considerarse
suficiente si soporta todas las preguntas materiales referentes al
objetivo y al alcance de la auditoría. La suficiencia es una medida de
la cantidad de evidencias de auditoría.
La determinación de la suficiencia de las pruebas debe llevarse a
cabo considerando la relativa importancia de las afirmaciones.
Si bien a priori no hay ningún tiempo determinadopara una auditoría,
debemos recordar que la información del informe debe ser útil. Así, la
necesidad de suficiencia de los elementos de juicio, está
permanentemente afectada por el tiempo y con el costo del trabajo.
Sin embargo, estas no son razones válidas para omitir la ejecución
de un procedimiento de auditoría necesario.
Una manera de determinar la suficiencia y objetividad de las evidencias es
que un tercero independiente repita la ejecución de las pruebas y obtenga
los mismos resultados.
23
Un problema grave al que el auditor se enfrenta es que existen
ciertas afirmaciones para las cuales no se puede obtener (aún sin
restricciones de costo y tiempo) elementos de juicio que le permitan
estar absolutamente seguro de si ellas son ciertas o falsas. En estos
casos, deberá reportar este hecho de una manera coherente durante
la comunicación de los resultados de auditoría.
Evaluación de las evidencias
El auditor debe evaluar la relativa importancia de las evidencias y asegurarse
de que ha obtenido elementos de juicio suficientes, pertinentes y fiables para
cada una de las afirmaciones. Irá constatando, cuando verifique cada
afirmación, si los elementos obtenidos son suficientes para formarse un juicio
sobre esa afirmación.
Es decir que al evaluar una evidencia, el auditor obtiene conclusiones
parciales, sobre cada afirmación, o sobre un conjunto de afirmaciones y luego,
con todos los elementos de juicio de las afirmaciones específicas que él ha
considerado conveniente sustentar y su opinión sobre ellas está en condiciones
de formarse una opinión sobre las afirmaciones generales. Esta opinión no
resulta de la suma algebraica de las conclusiones parciales sobre las
afirmaciones específicas. Es imposible sumarIas en términos matemáticos,
pero sí es posible que el auditor llegue a formarse una opinión si en conjunto
representan o no la situación financiera y económica de la empresa,
combinando las conclusiones parciales que obtuvo.
Si el efecto de conclusiones parciales adversas sobre afirmaciones específicas
afecta el juicio del auditor en conjunto y el grado en que lo afecta es uno de los
problemas más importantes que puede presentarse al auditor cuando debe
formar su opinión.
Una manera práctica de determinar si las distorsiones afectarán el juicio del
auditor en conjunto, está dado en la medida en que dichas distorsiones
pudieran afectar las decisiones de los usuarios.
Técnicas de recopilación de evidencias.
El auditor obtiene las evidencias valiéndose de procedimientos y métodos prácticos de
investigación. Estos métodos constituyen los llamados "procedimientos de auditoría".
La recopilación de evidencia es un paso clave en el proceso de la auditoría. El
auditor debe tener conocimiento de las técnicas a partir de las cuales puede
pueden obtenerse estos elementos de juicio.
La Resolución Técnica Nro. 37 propone una serie de procedimientos que están
mas que nada orientados a la Auditoría de Estados Contable. Sin embargo,
alguno de ellos pueden adaptarse a otros tipos de Auditorías.
24
De manera ilustrativa proponemos a continuación una serie de procedimientos
de auditoria:
Análisis de la estructura organizacional.
Entrevistas con el personal apropiado, las cuales deben tener una
naturaleza de descubrimiento, no acusatoria.
Observación de operaciones y actuación de empleados, esta es una
técnica importante para varios tipos de revisiones, para esto se debe
documentar con el suficiente grado de detalle como para presentarlo
como evidencia de auditoría.
Auto documentación. El auditor puede preparar narrativas en base a su
observación, flujogramas, cuestionarios de entrevistas realizados, etc.
Inspecciones oculares.
Circularización, principalmente a bancos, clientes y proveedores
Consulta y confirmación de saldos
Comprobaciones matemáticas. (por ejemplo calculo de impuestos, retenciones,
descuentos, etc.).
Repetición de la ejecución de ciertos procesos para determinar su exactitud.
Procedimientos analíticos
Control de la lógica seguida en determinado proceso.
Examen de documentos importantes.
Comprobación global de razonabilidad. En este caso se realiza para
analizar excepciones y determinación si se encuentran dentro de rangos
normales.
Revisión de la correlación entre registros y entre éstos y la
correspondiente documentación comprobatoria.
Confirmación escrita de dirección.
Aplicación de Técnicas de muestreo para saber cuándo aplicar un tipo
adecuado de pruebas (de cumplimiento o sustantivas) por muestras. Se
usa la técnica de muestreo ante la imposibilidad de efectuar un examen
a la totalidad de los datos. El muestreo puede ser Estadístico cuando se
utilizan los métodos ya conocidos en estadística para la selección de
muestras o No Estadístico cuando se confía en la experiencia, opinión y
criterio de quien selecciona la muestra.
25
Hallazgos de Auditoría
Son las diferencias significativas encontradas a lo largo de la realización de la
auditoría con relación a lo normado o a lo presentado por la gerencia.
Atributos del hallazgo:
Condición: la realidad encontrada
Criterio: cómo debe ser (la norma, la ley, el reglamento, lo que debe ser)
Causa: qué originó la diferencia encontrada.
Efecto: qué efectos puede ocasionar la diferencia encontrada.
Para redactar el hallazgo el auditor iniciará indicando el título del hallazgo, luego los
atributos, a continuación indicarán la opinión de las personas auditadas sobre el
hallazgo encontrado, posteriormente indicarán su conclusión sobre el hallazgo y
finalmente hará las recomendaciones pertinentes.
26
Pistas de auditoría.
Del mismo modo en que un investigador forense puede obtener pistas para iniciar su
trabajo de colaboración con la justicia, también el auditor puede encontrar y seguir
pistas, rastros, huellas o rutas que lo conduzcan por el camino correcto para encontrar
la evidencia y conducir la auditoría. Lo que se busca es una orientación hacia la
correcta dirección de la prueba; así por ejemplo, se podrían seguir ciertas
transacciones desde su origen o fuente, pasando por el proceso de transformación a
que son sometidas, su actualización en los archivos finales, y la presentación final
para utilización de las áreas usuarias.
Unas posibles definiciones de pistas de auditoría son:
“Datos e informaciones históricas que están disponibles para su examen, con
objeto de probar la corrección e integridad con la cual los procedimientos
convenidos se seguridad, relativos a una clave o transacción(es), han sido
seguidos. La pista de auditoría permite detectar las violaciones de seguridad.
(ISO ISO-8732)”.
“Elemento, constituido por datos e información, que sirve para seguirle la pista
a una transacción o a un evento, desde su origen hasta su incorporación en los
registros correspondientes, y viceversa. (Davis y Olson, 1987, p. 146)”.
Este concepto de “pistas” o “rastros” son de gran utilidad tanto para la auditoría,
en sus labores de revisión, así como para la administración, ya que permiten
ejercer el control de una manera mucho más eficiente.
Un sistema que carezca de este tipo de procedimiento, es muy difícil de revisar
por parte de la auditoría, ya que requiere de mucho esfuerzo en la aplicación
de pruebas y en la obtención de resultados.
En muchos casos, las pistas analizadas por los auditores han sido consideradas como
elementos de suma utilidad por los empleados, razón por la cual muchos empleados
han solicitado su inclusión como parte de las salidas de las aplicaciones.
Este procedimiento ayuda en el proceso de recolectar evidencia para obtener
un mejor criterio a la hora de determinar y esclarecer ciertos hallazgos, así
como para tener mayor certeza a la hora de efectuar una revisión detallada de
una determinada función u operación;en especial cuando las normas
internacionales de auditoría exige a los auditores “considerar los riesgos de
representación errónea de importancia relativa en los estados financieros
debidas a fraude” (NIA, 2007:172).
Las pistas de auditoría no son controles por sí mismos, son “pistas”, “huellas” o
“rastros” que se requieren para el uso analítico y administrativo; son más que
nada, un procedimiento que puede estar constituido por uno o varios
documentos, informes o simplemente desprenderse de un control o conjunto de
controles.
27
En todos los sistemas, sean automatizados o no, las pistas de auditoría deben
estar siempre presentes, y deben cumplir con tres requisitos básicos:
1. Que cualquier transacción pueda ser seguida, desde el documento fuente
que la originó, por medio del proceso a que es sometida, hasta las salidas
(archivos, consultas por pantalla o informes) y los totales a los cuales se
agrega.
2. Que cada salida o resumen de datos, se pueda seguir hacia atrás, hasta la
transacción o cálculos que los produjeron.
3. Que cualquier transacción generada automáticamente, se pueda rastrear
hasta el evento o condición que la generó.
Normalmente una pista de auditoría tiene dos propósitos:
El propósito de implosión: que permite rastrear una transacción desde su
origen, pasando por el proceso de transformación a que es sometida, hasta su
almacenamiento y presentación.
El propósito de explosión: que permite la reconstrucción de las diferentes
operaciones a que ha sido sometida una transacción. Para alcanzar el primero
de estos propósitos se hace necesario almacenar, junto con la transacción, los
dos siguientes elementos:
el identificador del origen, que permite que la fuente de la transacción sea
rastreada de una manera única.
el identificador del destino, que permite que el dato que será afectado por la
transacción, sea identificado de una manera única.
Ejemplos de ambos identificadores: en una aplicación de cuentas por
cobrar, el identificador del origen debería ser un número de documento
único; el identificador de destino debería ser un número único de cliente. En
un sistema de inventarios, el identificador del origen debería ser un número
de terminal único, mientras que el identificador del destino debería ser un
número único de un producto del inventario.
De esa manera, por medio de un rastreo de todas las transacciones que
tenga un mismo identificador de destino se puede tener el conjunto de
estas que afectan un determinado grupo de datos (al que hace referencia el
identificador de destino).
El propósito de explosión necesita un dato adicional a los dos ya
mencionados, que es la fecha que indica cuando se efectuó la transacción;
este dato debe ser almacenado junto con la transacción. Debidamente
ordenado en orden cronológico, esta fecha es la que permite que se
reconstruya la secuencia cronológica de operaciones de un registro de
datos.
Necesidad de las pistas de auditoría
28
Debido a la gran ayuda que proporciona este tipo de pistas, tanto a la auditoría como a
la administración, se ha hecho indispensable su implantación y utilización.
Existen muchas razones que hacen necesario que las pistas de auditoría estén
presentes en todo proceso que se lleve a cabo en las empresas; algunas de ellas son:
Consultas. Normalmente las consultas se realizan para determinar el estado de
una cuenta o un grupo de datos; así por ejemplo, los clientes desean conocer
los movimientos que se han registrado a sus cuentas; algunas áreas usuarias
solicitan información relacionada con las variaciones en las ventas; los
ejecutivos desean conocer el detalle de los costos de la producción del día
anterior; un vendedor desea saber si un pedido, puesto por él, ha sido
procesado. La pista de auditoría, bien manejada, responde efectivamente a
estas preguntas.
En este sentido, es que se sostiene que la pista de auditoría viene a ser
también una pista administrativa.
Para cumplir con necesidades legales. En algunos países, entre ellos Costa
Rica, algunas entidades como la Administración Tributaria, Ministerio de
Hacienda; Archivos Nacionales, Caja Costarricense del Seguro Social y el
Instituto Nacional de Seguros, las municipalidades, entre otras, solicitan para
los datos e información que se produce de manera electrónica, deba ser
archivada en un medio de almacenamiento masivo.
Para propósitos de seguimiento. La pista de auditoría ofrece un medio para
darle seguimiento a una aplicación. A menudo, de acuerdo con el sistema, las
transacciones y la periodicidad con que estas se presenten, los movimientos
que afectan los archivos, deben ser rastreados a través de la aplicación para
determinar si todos los procesos están funcionando correctamente.
Para descubrir fraudes. El contar con pistas de auditoría contribuye a reducir la
posibilidad de que un fraude no se pueda detectar. Si la persona que perpetra
el acto ilícito o irregularidad sabe que las funciones, eventos y registros, tanto
de las operaciones normales como del acto que intentan realizar, están siendo
grabados y monitoreados, deberán realizar tareas complementarias y/o
adicionales para evitar ser descubierto.
Como elemento de control. Debido al doble propósito que tienen, es indudable
que al ser utilizadas también por la administración, pueden ser de gran utilidad
para controlar ciertos procesos, que al ser revisados, ya sea por medio de un
reporte, de una consulta o de un análisis detallado, sean de utilidad para
detectar posibles actos irregulares o anomalías.
Para determinar las consecuencias de un error. Si por alguna razón se
descubre que se ha cometido un error (no perder de vista que la diferencia
entre un error y acto irregular es la intención); podría ser necesario obtener
información adicional para determinar los efectos de este error. Un error podría
ocasionar serios daños, perjuicios y problemas a una entidad, pero también
podría pasar desapercibido y no suceder nada, al menos por un tiempo; pero
cuanto más tiempo pase, más difícil será determinar con precisión cuáles son
29
las consecuencias. La pista puede ayudar a determinar por ejemplo, quién le
dio acceso al dato, quién tomó decisiones basado en esos datos, y si el error
tiene consecuencias significativas en las decisiones que se han tomado;
asimismo la pista de auditoría podría permitir que el efecto de un error pueda
ser rastreado.
Para fines de respaldo y recuperación. Algunos de los datos almacenados en
una pista de auditoría también podrían ser útiles como elemento de respaldo,
por un tiempo prudencial y temporal, mientras hacen el soporte definitivo, así
como de recuperación, en caso de que no exista el respaldo o que se haya
extraviado. Por ejemplo, si por alguna razón no se guardan los diferentes tipos
de interés que se han pagado por los certificados de depósitos a plazo, la pista
sería un excelente medio para recuperarlas y tenerlas, como información
histórica.
30
Informe
Es el resultado concreto del trabajo de auditoría, donde el auditor expresa su opinión o
se abstiene de darla, contiene la información que será revelada a los interesados en el
desempeño de la Institución. Dicho informe debe estar elaborado de forma sencilla y
clara, ser constructivo y oportuno, conteniendo al menos:
Dictamen sobre el área administrativa auditada.
Informe sobre la estructura del Control Interno de la entidad.
Conclusiones y recomendaciones resultantes de la Auditoría.
Deben detallarse en forma clara y sencilla, los hallazgos encontrados.
31
Riesgos de Auditoría
El trabajo de auditoría no puede asegurar un 100% de certeza sobre los hallazgos a
los que se ha arribado. Por eso es habitual observar en los informes la palabra
“razonablemente” para indicar esa posibilidad de error.
Las limitaciones quetiene la tarea de auditoría para obtener niveles de seguridad
absolutos son las que producen el Riesgo de Auditoría para referirse al peligro que
asume el auditor de no observar la existencia de defectos importantes en la
información que presentan los estados contables, emitiendo por lo tanto un informe
erróneo.
Lattuca define el Riesgo de Auditoría como la probabilidad de que: “…El auditor esté
expuesto a consecuencias adveras como resultado de haber dictaminado en forma
equivocada los estados contables de determinado cliente. Como consecuencia de ello,
puede tener publicidad negativa que dañe su imagen y sufrir litigios o reclamos que
deriven en responsabilidades de orden civil, penal o disciplinario.
Los estados contables de un cliente, tomados en su conjunto, pueden tener errores
significativos como resultado de factores de riesgo que pueden impactar directa o
indirectamente, en las cuentas del balance y provocar potenciales errores en ellas...”
(17)
El riesgo de auditoría es conocido por el auditor, motivo por el cual prácticamente a
partir del momento en que servicios son contratados encamina su tarea a fin de
obtener evidencia pertinente, válida y suficiente que influya en su intelecto y lo
persuada sobre la calidad y cantidad de información proveída por los estados
contables. El conocimiento apropiado de las causas que incrementan o disminuyen el
riesgo constituyen el punto de partida del análisis que al respecto debe realizar el
profesional a fin de enmarcarlo dentro de límites aceptables.
Como ejemplos extremos de lo expuesto anteriormente pueden citarse los siguientes:
Caso A: activo compuesto exclusivamente por 1000 pesos en moneda local
recontados por el auditor en la fecha de cierne, el riesgo del auditor está limitado a la
posibilidad de que "debiera" existir una cantidad mayor.
Caso B: activo compuesto exclusivamente por soft para computación de alta y
cambiante tecnología, el riesgo del auditor está representado por la verdadera
existencia del soft mencionado, que sea propiedad del ente y no obtenido ilegalmente
de terceros, que el valor asignado esté de acuerdo con normas contables
profesionales y que la capacidad de generar ingresos sea la estimada por la gerencia,
que no haya otros desarrollos imputados a los resultados del período, que no haya
sido transferido y el auditor lo desconozca y que esté adecuadamente expuesto en el
estado de situación patrimonial. Como se advierte, los riesgos son muy distintos entre
sí y el auditor debe estar prevenido, alertado sobre los riesgos posibles a fin de poner
el énfasis dónde y cuando corresponde y con las herramientas más adecuadas en la
cantidad necesaria.
17 Latucca, Antonio Juan - Compendio de Auditoría. Ed. Temas, 2da. Edición
32
Los tres componentes del riesgo de auditoría han sido definidos de esta forma:
Riesgo inherente: Es decir el riesgo de que puedan existir deficiencias
importantes.
Riesgo de control: Se refiere al riesgo de que los sistemas de control del ente
no observen y corrijan las deficiencias.
Riesgo de detección: Representa el riesgo del auditor de que existiendo
deficiencias importantes (tanto errores como irregularidades) no los detecte.
4.1. Riesgo inherente
Este riesgo que bien podría denominarse "riesgo de existencia" representa la
posibilidad que tanto transacciones como saldos puedan incluir afirmaciones
equivocadas. Independientemente de los sistemas de control que el ente pueda tener
en vigencia, el riesgo de existencia depende de muchas circunstancias entre las que
pueden mencionarse:
actividad del ente
tipo de afirmación
ambiente legal
periodicidad de los informes que emite el ente
Como ejemplos que permiten una mejor comprensión del riesgo bajo examen pueden
darse los siguientes, es más "riesgosa" la actividad de un ente dedicado a explotar
petróleo que la de otro que fabrica sillas; es diferente si se trata del fondo fijo del ente,
de la incertidumbre que da lugar a una previsión o la determinación del valor actual de
los probables ingresos futuros de un bien de uso; no es lo mismo una compañía
aseguradora con normas específicas de más de un ente de control que un negocio de
compra-venta de autos usados; tampoco será igual el riesgo de existencia de un ente
que produce informes trimestrales para terceros y mensuales para uso de la gerencia
que aquél que sólo emite balances anuales para cumplir normas legales. (18)
4.2. Riesgo.de control
En este caso, el riesgo consiste en que existiendo una afirmación errónea el grupo de
control del sistema rio lo observe o bien que habiendolo detectado el grupo activante
no adopte las medidas correctivas necesarias para que los errores no se reiteren. El
enfoque sistémico desarrollado en el capítulo primero pone de resalto la importancia
que tienen dentro de los elementos de control de los sistemas tanto el grupo de control
como el activan te. La tarea del auditor será entonces evaluar adecuadamente el
funcionamiento de ambos de forma tal de establecer su con fiabilidad o las debilidades
que presenta y según sea la importancia de las características controladas determinar
la naturaleza, alcance y oportunidad de los procedimientos de auditoría a aplicar. El
capítulo 4 de este Manual está dedicado a este tema. (19)
18 Informe Nº 5 - Manual de Auditoría – FACPCE CECYT
19 Informe Nº 5 - Manual de Auditoría – FACPCE CECYT
33
4.3. Riesgo de detección
El riesgo de detección es el riesgo de que los procedimientos de auditoría no pueda
descubrir una afirmación errónea. Debe agregarse que si bien es posible disminuir el
nesgo de detección incrementando la cantidad de pruebas y tomando aquellas que
provean de evidencias más fuertes, no es factible anularlo. La justificación de lo
aseverado surge del hecho que aún cuando el auditor pueda revisar la totalidad de las
operaciones de un período o la totalidad de partidas que componen el saldo que el
ente declara, nunca podrá existir la certeza absoluta que no existen otras operaciones
u otras partidas que estando omitidas debieran ser incorporadas. Se pone de
manifiesto aquí también que la seguridad que presenta una tarea de auditoría debe
representar un nivel alto pero no puede significar un nivel absoluto. (20)
El auditor luego de haber tomado conocimiento del ente y de las afirmaciones a ser
examinadas planificará su trabajo y una vez evaluadas las actividades de control de
los sistemas pertinentes, revisará el plan de acción y establecerá los procedimientos
de auditoría que estime son los más adecuados (naturaleza del procedimiento) la
cantidad de pruebas que realizará (alcance del procedimiento) y el momento más
oportuno para ejecutarlas (oportunidad del procedimiento) para hacer que el riesgo de
detección quede en un nivel aceptable para el profesional.
El Riesgo de Auditoría es por definición inestable. O por lo menos así debe entenderlo
el profesional para no descansar sobre apreciaciones que por muy fundadas que sean
puedan no corresponder al momento de su labor. Esto significa simplemente que así
como debe estar advertido sobre cambios importantes en las actividades del ente, la
legislación vigente, los mercados en que actúa, la composición de los niveles
gerenciales, el funcionamiento de las actividades de control de los sistemas, la
evaluación del nivel de riesgo que está asumiendo debe ser prácticamente constante.
Es de destacar que este riesgo puede ser controlado directamente por el auditor,
mientras que los dos anteriores no. Por esta razón es que debe poner mayor celo en
reducirlo porque es parte de su responsabilidad profesional.
20 Informe Nº 5 - Manual de Auditoría – FACPCE CECYT
34
Aspectos éticos en la tarea de auditoría. Deontología.
Cuando hablamos de la misión de las auditorías veíamos que hubo una
evolución tendiendo a las épocas actualesa aspectos de protección a terceros
interesados en la información auditada. Por esta razón es que los organismos
que tienen responsabilidad en la regulación de la disciplina consideran
aspectos del deber ser del auditor.
Beneficio del auditado
Calidad
Capacidad
Cautela
Comportamiento profesional
Concentración en el trabajo
Confianza
Criterio propio
Discreción
Economía
Formación continua
Fortalecimiento y respeto de la profesión
Independencia
Información suficiente Integridad moral
legalidad
libre competencia
no discriminación
No injerencia
Precisión
Publicidad adecuada
Responsabilidad
Secreto profesional
Servicio Público
Veracidad.
Continuar navegando
Materiales relacionados
132 pag.
175 pag.
171 pag.
Compartir