Auditoria Interna

1. Introducción

La expresión “Técnicas de auditoría asistida por ordenador” (TAAO) hace referencia a metodología de auditoría basada en la utilización de programas informáticos que ayudan a los auditores al tratamiento y análisis de la información en formato electrónico, con objeto de obtener evidencia que soporte las conclusiones de auditoría.

En los trabajos de fiscalización actuales existe a menudo la necesidad de analizar información contenida en grandes bases de datos o ficheros.

Las TAAO permiten a los auditores el acceso a los datos electrónicos de los auditados y la realización de gran variedad de rutinas de pruebas de auditoría como recalcular y verificar los estados financieros, identificar incidencias de control, analizar y documentar, buscar duplicados, no correlativos, realizar análisis estadísticos, muestreo, etc. Están diseñadas para trabajar con grandes cantidades de datos alfanuméricos, lógicos y otro tipo de información almacenada.

Las principales herramientas informáticas para tratamiento de datos utilizadas en la Sindicatura de Comptes son:

Excel: para crear hojas de cálculo con fórmulas personalizadas para el análisis y la documentación, incluyendo características gráficas.

ACL: para recoger y procesar información masiva con el objetivo de realizar pruebas y analizarla.

Las pruebas de tratamiento masivo de datos (abreviadamente pruebas de datos) con ACL suelen realizarse como procedimientos sustantivos, pero también pueden utilizarse con la finalidad de probar el funcionamiento de los controles en entornos informatizados, o con carácter mixto.

El uso de técnicas de auditoría asistida por ordenador posibilita una mayor extensión (alcance) de las pruebas sobre transacciones electrónicas y archivos contables digitales, circunstancia que puede ser útil cuando el auditor decida modificar la extensión de las pruebas, en respuesta a los riesgos de incorrecciones materiales en las cuentas anuales de carácter significativo.

Algunas de las pruebas de cumplimiento tradicionalmente se realizan sobre una muestra seleccionada aleatoriamente o mediante muestreo estadístico; actualmente si se dispone de herramientas como ACL, puede hacerse un planteamiento diferente y ejecutar la comprobación sobre el 100% de la población.

2. Objetivos de esta guía

El propósito de este documento es proporcionar una guía general para el uso de ACL, el programa utilizado en la Sindicatura para el análisis y extracción de datos; en particular para:

• Establecer criterios homogéneos y metodologías comunes para la realización de las pruebas de auditoría con ACL para todos los componentes de los equipos de auditoría de la Sindicatura.

• Asegurar la adecuada planificación y realización de las pruebas, evitando errores en su ejecución.

• Asegurar la generación de evidencia de auditoría suficiente, adecuada y pertinente respecto a las pruebas realizadas con ACL.

• Automatizar en la medida de lo posible la ejecución de las pruebas de auditoría con ACL, con el objetivo de incrementar la eficiencia en su ejecución.

• Generar un fondo documental de conocimiento para la realización de las pruebas de auditoría de las entidades fiscalizadas en beneficio de fiscalizaciones subsiguientes.

3. Cuándo utilizar ACL

ACL puede ser utilizado a lo largo de todo el proceso de auditoría, desde la fase de planificación hasta la emisión del informe de fiscalización.

• Durante la fase de planificación, ACL puede ayudar en la obtención y análisis de la información disponible. Esto incluye el flujo de información necesario para el análisis del riesgo, el cual ayuda a la definición de la naturaleza, momento y extensión de las pruebas de auditoría.

• Durante la fase de examen, ACL puede ayudar a la recolección de información del sistema de gestión o de información financiera del auditado, a la evaluación del nivel de control interno y a la ejecución de pruebas sustantivas y de cumplimiento.

• Durante la redacción del informe de fiscalización, ACL puede ayudar al auditor a soportar y presentar mejor los descubrimientos más relevantes y las conclusiones.

4. Etapas para realizar una prueba de datos con ACL

La realización de las pruebas de datos con ACL comprende las etapas siguientes:

• Evaluación de la conveniencia de utilizar ACL

• Planificación y diseño de las pruebas

• Solicitud, obtención y archivo de la información

• Validación de la información recibida

• Tratamiento de los datos

• Análisis de la información obtenida y conclusiones

• Documentación de la prueba

El siguiente diagrama de flujo indica gráficamente dichas etapas:

La Unidad de Auditoría de Sistemas de Información y Apoyo (UASI) proporciona soporte sobre el uso de ACL a los equipos de auditoría de la Sindicatura.

4.1 Evaluación de la conveniencia de utilizar ACL

En primer lugar el auditor debe valorar las ventajas de la utilización de ACL respecto de otras herramientas en la consecución de los objetivos de auditoría. Para ello, es necesario adquirir un conocimiento adecuado de los sistemas de información de la entidad y se debe conocer el tipo de información que se analizará, la forma de acceso a la información y el tipo de pruebas que se deben realizar.

Las ventajas que proporciona la realización de pruebas de datos con la herramienta ACL son:

• Automatización y repetición. Aumenta la efectividad y eficiencia, proporcionando por tanto un ahorro de tiempo a considerar.

• Se tratan todos los registros, no una muestra.

• Un acceso y tratamiento de los datos más comprensible facilita un análisis de riesgo más preciso y pruebas mejor enfocadas.

• Conclusiones objetivas. Mejor evidencia de auditoría.

• Posibilidad de utilización para información cuantitativa y/o cualitativa.

• Escalabilidad de las pruebas.

• Seguridad en la manipulación de los datos originales, que no pueden alterarse erróneamente.

Los inconvenientes son:

• Requieren un mayor esfuerzo inicial en el diseño y preparación de las pruebas (que se recupera en fiscalizaciones posteriores).

• Inversión en licencias de uso.

• Necesidad de formación específica del personal auditor.

4.2 Planificación y diseño de las pruebas

Al diseñar las pruebas de datos, el auditor debe tener claros los objetivos que desea lograr, ya que la información que se seleccione dependerá del alcance y de los objetivos definidos.

Al diseñar una prueba debe tenerse en cuenta que las tareas a realizar incluyen:

a) Definir los objetivos concretos de la prueba a realizar.

Los objetivos de las pruebas de datos pueden ser los siguientes:

a.1) Obtener evidencia sobre la integridad, exactitud y validez de la información generada por el sistema de información (procedimientos sustantivos). Por ejemplo:

• Para comprobar la concordancia de las cuentas anuales con los registros contables de las que se obtienen, comprobando que éstas se pueden reproducir a partir de la información contable (asientos) obtenida en soporte informático.

• Para verificar el correcto cálculo de la nómina mensual a partir de los datos fuente (maestro de personal).

a.2) Las pruebas permiten al auditor formarse una opinión sobre el sistema de control interno. Por ejemplo:

• En un sistema informatizado, comprobando que todos los pedidos de compras están autorizados sólo por las personas que lo pueden autorizar.

• Verificación de la existencia de una adecuada segregación de funciones incompatibles al auditar el proceso de compras de una entidad. Se cruzarán las tablas que contienen la información de los usuarios autorizados a realizar ciertas transacciones, para detectar los usuarios que están autorizados en varias tareas incompatibles.

a.3) Realización de procedimientos analíticos. Por ejemplo:

• Análisis de Bendford de todos los pagos bancarios del ejercicio.

• Cálculos estadísticos.

b) Analizar el proceso de gestión auditado.

Hacer una breve descripción para poner la prueba en su contexto.

c) Identificar al propietario de los datos.

Hay que tener una reunión con él y acordar los procedimientos de forma que facilite el acceso a la información o su extracción y se garantice la protección de las instalaciones técnicas y la integridad de la información del auditado ante cualquier fallo asociado con la intervención del auditor.

d) Comprender el modelo de datos de la entidad.

Un modelo de datos consiste en una descripción de la estructura de una base de datos y de las relaciones existentes entre ellos. Se debe limitar lo posible el conocimiento del modelo de datos a aquellos datos importantes para los objetivos de auditoría.

Para esto será necesario tener una reunión con el responsable del departamento TI.

El auditor debe obtener una descripción general del sistema TI, identificando el flujo de información, los controles generales y de aplicación y la disponibilidad de los datos para los propósitos de auditoría. El auditado debe proporcionar esta información preferiblemente de forma gráfica. Mediante este trabajo, los auditores consiguen además un mejor conocimiento del sistema de control interno que puede ser evaluado con pruebas específicas de auditoría TI usando ACL. La profundidad y extensión de este conocimiento dependerá de los objetivos y alcance de

...