Evaluación del Riesgo y de Control Interno

1. El propósito de esta Norma Internacional de Auditoría (NIA) es establecer normas y proporcionar una guía sobre los procedimientos a ser seguidos cuando un auditoria es realizada en un ambiente de sistemas computarizados de información (CIS). Para propósitos de las NIAs, un ambiente CIS existe cuando un computador de cualquier tipo o tamaño esta involucrado en le proceso de formulación de información financiera significativa para la auditoría ya sea que es operada por la entidad o por un tercero.

2. El auditor deberá considerar cómo un ambiente CIS afecta a la auditoría.

3. El objetivo global y enfoque de un auditoría en su conjunto no cambia en un ambiente CIS. Sin embargo, el uso de un computador cambia el proceso, almacenamientos y comunicación de la información financiera y puede afectar los controles internos y contables empleados por la entidad. Consecuentemente un ambiente CIS puede afectar:

 Los procedimientos seguidos por un auditor en obtener suficiente comprensión de los sistemas contables y de control interno.

 Las consideraciones de los riesgos inherentes y de control a traves de los cuales arriba el auditor a la evaluación del riesgo.

 El diseño y la realización por el auditor de pruebas de control y procedimientos sustantivos apropiados para alcanzar los objetivos de auditoria.

Habilidades y competencia

4. El auditor deberá tener suficiente conocimiento del ambiente CIS para planear, dirigir, supervisar y revisar el trabajo realizado. El auditor deberá considerar si son necesarias habilidades especializadas CIS en la auditoria

Esto puede ser necesario para:

 Obtener comprensión suficiente del sistema contable y de control interno afectado por el ambiente CIS

 Determinar el efecto del ambiente CIS en la evaluación del riesgo en su conjunto y del riesgo a nivel de los saldos de cuenta y clases de transacción. Diseñar y realizar pruebas de control y procedimientos sustantivos apropiados

Si se necesitan habilidades especiales, el auditor buscara la asistencia de un profesional que posea tales habilidades, quien puede ser parte del equipo de auditoría o un profesional independiente. Si la participación de tal profesional es necesaria, el auditor deberá obtener evidencia de auditoría suficiente y apropiada de que tal trabajo es adecuado para propósitos de la auditoría, de acuerdo con la NIA 620 “Uso de l Trabajo de un Experto”

Planificación

5. De acuerdo con la NIA 400 “Evaluación del Riesgo y de Control Interno (sección 400)”el auditor debera obtener un entendimiento suficiente de los sistemas de control interno y contable para plantear la auditoría y desarrollar u n enfoque de auditoria

6. Al planear las partes de la auditoría que pueden estar afectadas por el ambiente CIS del cliente, el auditor debera obtener un entendimiento suficiente comprensión de la importancia y complejidad de las actividades CIS y la disponibilidad de datos para su uso en la auditoría. Este entendimiento incluira aspectos tales como:

 La importancia y complejidad del proceso computarizado en cada aplicativo contable significativo. La importancia se relaciona con la significatividad de las aseveraciones de los estados financieros afectadas por el proceso computarizado. Una aplicación puede ser considerada compleja cuando por ejemplo:

 El volumen de operaciones es tal que los usuarios encontraran dificultad en identificar y corregir errores en el proceso.

 El computador automáticamente genera transacciones significativas o entradas directas a otra aplicación.

 El computador realiza cálculos complicados de información financiera y/o automáticamente genera transacciones significativas o entradas que no pueden ser (o no son) validadas independientemente.

 Intercambio de transacciones electrónicamente con otras organizaciones (como sistemas de intercambio electrónico de datos)sin revisión manual de su propiedad o razonabilidad.

 La estructura organizacional de las actividades CIS del cliente y la extensión en la concentración o distribución de procesos computarizados a través de la entidad, particularmente en como ello pueden afectar la segregación de funciones.

 La disponibilidad de los datos. Documentos fuente, ciertos archivos computarizado, otra evidencia que pueda ser requerida por el auditor puede que exista sólo por un corto periodo o en un formato a ser recuperado en el computador. El cliente CIS puede generar reportes internos que pueden ser útiles al realiza pruebas sustantivas (particularmente procedimientos analíticos). El potencial para el uso de técnicas de auditoria con la ayuda del computador puede permitir incrementar la eficiencia en la realización de procedimientos de auditoria, o puede permitir al auditor aplicar de manera eficiente ciertos procedimientos a todo un grupo de cuentas o transacciones.

7. Cuando el ambiente CIS es significativo,, el auditor deberá obtener una comprensión de dicho ambiente y si este puede influir en la evaluación de riesgos inherentes y de control. La naturaleza de los riesgos y las características del control interno en el ambiente CIS incluye lo siguiente.

 Carencia de rastro de las transacciones. Algunos CIS están diseñados de modo que el rastro completo de una transacción que es útil para propósito de auditoría, exista por un corto periodo de tiempo o sólo en lenguaje de maquina. Cuando una aplicación compleja del sistema ejecuta un gran numero de pasos del proceso, puede no existir un rastro completo. En consecuencia errores incluidos en un programa lógico de aplicación, puede ser difíciles de detectar de manera oportuna por procedimientos manuales (usuario)

 Proceso uniforme de transacciones. Los procesos computarizados procesan uniformemente transacciones con las mismas instrucciones de proceso. Así, los errores comúnmente asociados con el proceso manual son virtualmente

...