NIA 401 Auditoria En Un Ambiente de Sistemas de Informacion Por Computadora
CONTENIDO
Párrafos
Introducción 1-3
Habilidad y competencia 4
Planeación 5-7
Evaluación del riesgo 8-10
Procedimientos de auditoría 11-12
Las Normas Internacionales de
Auditoría (NIAs) deberán ser aplicadas en la auditoría de los estados
financieros. Las NIAs también deberán aplicarse, adaptadas según sea
necesario, a la auditoría de otra información y de los servicios
relacionados.
Las NIAs contienen los principios básicos y los procedimientos esenciales (identificados en letra negra) junto con lineamientos relacionados en forma de material explicativo y de otro tipo. Los principios básicos y los procedimientos esenciales deberán ser interpretados en el contexto del material explicativo y de otro tipo que proporciona los lineamientos para su aplicación. Para comprender y aplicar los principios básicos y los procedimientos esenciales junto con los lineamientos relacionados, es necesario considerar el texto íntegro de la NIA incluyendo el material explicativo y de otro tipo contenido en la NIA, y no sólo el texto resaltado en negro. En circunstancias excepcionales, un auditor puede juzgar necesario apartarse de una NIA para lograr en forma más efectiva el objetivo de una auditoría. Cuando surge una situación así, el auditor deberá estar preparado para justificar la desviación. Las NIAs necesitan ser aplicadas sólo a asuntos de importancia relativa. |
La
Perspectiva del Sector Público (PSP) emitida por el Comité del Sector Público
de la Federación Internacional de Contadores se expone al final de una NIA.
Cuando no se añade PSP, la NIA es aplicable, respecto de todo lo importante,
al sector público.
|
Introducción
1. El propósito de esta Norma Internacional de
Auditoría (NIA) es establecer normas y proporcionar lineamientos sobre los
procedimientos que deben seguirse cuando se conduce una auditoría en un
ambiente de sistemas de información computarizada (SIC)1. Para fines de las
NIAs, un ambiente SIC existe cuando está involucrada una computadora de
cualquier tipo o tamaño en el procesamiento por la entidad de información
financiera de importancia para la auditoría, ya sea que dicha computadora sea
operada por la entidad o por una tercera parte.
3. El objetivo y alcance globales de una
auditoría no cambia en un ambiente SIC. Sin embargo, el uso de una computadora
cambia el procesamiento, almacenamiento y comunicación de la información
financiera y puede afectar los sistemas de contabilidad y de control interno
empleados por la entidad. Por consiguiente, un ambiente SIC puede afectar:
• Los
procedimientos seguidos por un auditor para obtener una comprensión suficiente
de los sistemas de contabilidad y de control interno.
• La
consideración del riesgo inherente y del riesgo de control a través de la cual
el auditor llega a la evaluación del riesgo.
• El
diseño y desarrollo por el auditor de pruebas de control y procedimientos
sustantivos apropiados para cumplir con el objetivo de la auditoría.
Habilidad y competencia
4. El auditor debería tener suficiente
conocimiento del SIC para planear, dirigir, supervisar y revisar el trabajo
desarrollado. El auditor debería considerar si se necesitan habilidades
especializadas en SIC en una auditoría. Estas pueden necesitarse para:
• Obtener
una suficiente comprensión de los sistemas de contabilidad y de control interno
afectados por el ambiente SIC.
• Determinar
el efecto del ambiente SIC sobre la evaluación del riesgo global y del riesgo
al nivel de saldo de cuenta y de clase de transacciones.
Este término se
utiliza en esta NIA en lugar de procesamiento electrónico de datos (PED)
utilizado en la NIA anterior, "Auditoría en un Entorno de PED".
• Diseñar
y desempeñar pruebas de control y procedimientos sustantivos apropiados.
Si se necesitan habilidades especializadas, el auditor
buscaría la ayuda de un profesional con dichas habilidades, quien puede
pertenecer al personal del auditor o ser un profesional externo. Si se planea el uso de dicho profesional,
el auditor debería obtener suficiente evidencia apropiada de auditoría de que
dicho trabajo es adecuado para los fines de la auditoría, de acuerdo con NIA
"Uso del Trabajo de un Experto"
Planeación
5. De acuerdo con NIA "Evaluaciones del
Riesgo y Control Interno" el auditor debería obtener una comprensión de
los sistemas de contabilidad y de control interno, suficiente para planear la
auditoría y desarrollar un enfoque de auditoría efectivo.
6. Al planear las porciones de la auditoría
que pueden ser afectadas por el ambiente SIC del cliente, el auditor debería
obtener una comprensión de la importancia y complejidad de las actividades de
SIC y la disponibilidad de datos para uso en la auditoría. Esta comprensión
incluiría asuntos como:
• La
importancia y complejidad del procesamiento por computadora en cada operación
importante de contabilidad. La importancia se refiere a la importancia relativa
de las aseveraciones de los estados financieros afectadas por el procesamiento por
computadora. Se puede considerar como compleja una aplicación cuando, por
ejemplo:
- El volumen de transacciones es tal
que los usuarios encontrarían difícil identificar y corregir errores en el
procesamiento.
- La computadora automáticamente
genera transacciones o entradas de importancia relativa directamente a otra
aplicación.
- La computadora desarrolla cómputos
complicados de información financiera y/o automáticamente genera transacciones
o entradas de importancia relativa que no pueden ser (o no son) validadas
independientemente.
- Las transacciones son
intercambiadas electrónicamente con otras organizaciones (como en los sistemas
electrónicos de intercambio de datos -EDI ) sin revisión manual para la
propiedad o razonabilidad.
• ·La
estructura organizacional de las actividades SIC del cliente y el grado de
concentración o distribución del procesamiento por computadora en toda la
entidad, particularmente en cuanto pueden afectar la segregación de deberes.
• La
disponibilidad de datos. Los documentos fuente, ciertos archivos de
computadora, y otro material de evidencia que pueden ser requeridos por el
auditor, pueden existir por un corto periodo de tiempo o sólo en forma legible
por computadora. El SIC del cliente puede generar reportes internos que pueden
ser útiles para llevar a cabo pruebas sustantivas (particularmente
procedimientos analíticos). El potencial de uso de técnicas de auditoría con
ayuda de computadora puede permitir una mayor eficiencia en el desempeño de los
procedimientos de auditoría, o puede capacitar al auditor a aplicar en forma
económica ciertos procedimientos a una población completa de cuentas o
transacciones.
7. Cuando el SIC es significativo, el auditor
deberá también obtener una comprensión del ambiente SIC y de si puede influir
en la evaluación de los riesgos inherente y de control. La naturaleza de
los riesgos y las características del control interno en ambientes SIC incluyen
lo siguiente:
• Falta
de rastros de las transacciones. Algunos SIC son diseñados de modo que un
rastro completo de una transacción, que podría ser útil para fines de auditoría
podría existir por sólo un corto periodo de tiempo o sólo en forma legible por
computadora. Donde un sistema complejo de aplicaciones desempeña un gran número
de pasos de procesamiento, puede no haber un rastro completo. Por consiguiente,
los errores incrustados en la lógica de un programa de aplicaciones pueden ser
difíciles de detectar oportunamente por procedimientos (usuarios) manuales.
• Procesamiento
uniforme de transacciones. El procesamiento por computadora procesa
uniformemente transacciones iguales con las mismas instrucciones de
procesamiento. Así, los errores de oficina ordinariamente asociados con el
procesamiento manual son virtualmente eliminados. Por el lado contrario, la
programación de errores (u otros errores sistemáticos en el hardware o
software) ordinariamente darán como resultado que todas las transacciones sean
procesadas incorrectamente.
• Falta
de segregación de funciones. Muchos procedimientos de control que
ordinariamente serían desempeñados por individuos por separado en los sistemas
manuales, pueden ser concentrados en SIC. Así, un individuo que tiene acceso a
los programas de computadora, al procesamientos o a los datos, puede estar en
posición de desempeñar funciones incompatibles.
• Potencial
para errores e irregularidades. El potencial para error humano en el
desarrollo, mantenimiento y ejecución de SIC puede ser mayor que en los
sistemas manuales, parcialmente a causa del nivel de detalle inherente a estas
actividades. También, el potencial para que los individuos ganen acceso no
autorizado a los datos o a la alteración de datos sin evidencia visible puede
ser mayor en SIC que en los sistemas manuales.
Además, la disminución de involucramiento humano en el
manejo de transacciones procesadas por SIC puede reducir el potencial para
observar errores e irregularidades. Los errores o irregularidades que ocurren
durante el diseño o modificación de programas de aplicación o del software de
los sistemas pueden permanecer sin detectar por largos periodos de tiempo.
• Iniciación
o ejecución de transacciones. El SIC puede incluir la capacidad de iniciar o
causar la ejecución de ciertos tipos de transacciones, automáticamente. La
autorización de estas transacciones o procedimientos puede no estar documentada
en la misma forma que en el sistema manual, y la autorización de la
administración de estas transacciones puede estar implícita en su aceptación
del diseño del SIC y modificación subsecuente.
• Dependencia
de otros controles del procesamiento por computadora. El procesamiento por
computadora puede producir reportes y otros datos de salida que son usados en
el desempeño de procedimientos de control manuales. La efectividad de estos
procedimientos de control manuales puede depender de la efectividad de
controles sobre la integralidad y precisión del procesamiento por computadora.
A su vez, la efectividad y operación consistente de los controles de
procesamiento de transacciones en las aplicaciones de computadora a menudo
depende de la efectividad de los controles generales de SIC.
• Potencial
para mayor supervisión de la administración. SIC puede ofrecer a la
administración una variedad de herramientas analíticas que pueden ser usadas
para revisar y supervisar las operaciones de la entidad. La disponibilidad de
estos controles adicionales, si se usan, puede servir para mejorar toda la
estructura de control interno.
• Potencial
para el uso de técnicas de auditoría con ayuda de computadora. El caso del
procesamiento y análisis de grandes cantidades de datos usando computadoras
puede brindar al auditor oportunidades para aplicar técnicas y herramientas
generales o especializadas de auditoría con computadora en la ejecución de
pruebas de auditoría.
Tanto los riesgos como los controles introducidos como
resultado de estas características de SIC tienen un impacto potencial sobre la
evaluación del auditor del riesgo, y sobre la naturaleza, oportunidad y alcance
de los procedimientos de auditoría.
Evaluación del riesgo
8. De acuerdo con NIA "Evaluación del
riesgo y control interno", el auditor debería hacer una evaluación de los
riesgos inherente y de control para las aseveraciones importantes de los
estados financieros.
9. Los riesgos inherentes y los riesgos de
control en un ambiente SIC pueden tener tanto un efecto general como un efecto
específico por cuenta en la probabilidad de representaciones erróneas importantes,
como sigue:
• Los
riesgos pueden resultar de deficiencias en actividades generales de SIC como
desarrollo y mantenimiento de programas, soporte al software de sistemas,
operaciones, seguridad física de SIC, y control sobre el acceso a programas de
utilería de privilegio especial. Estas deficiencias tenderían a tener un efecto
penetrante en todos los sistemas de aplicación que se procesan en la
computadora.
• Los
riesgos pueden incrementar el potencial de errores o actividades fraudulentas
en aplicaciones específicas, en bases de datos específicas o en archivos
maestros, o en actividades de procesamiento específicas. Por ejemplo, los
errores no son poco comunes en los sistemas que desarrollan una lógica o
cálculos complejos, o que deben manejar muchas diferentes condiciones de
excepción. Los sistemas que controlan desembolsos de efectivo u otros activos
líquidos son susceptibles a acciones fraudulentas por los usuarios o por
personal de SIC.
10. Al surgir nuevas tecnologías de SIC,
frecuentemente son empleadas por los clientes para construir sistemas de
computación cada vez más complejos que pueden incluir enlaces micro a redes,
bases de datos distribuidas, procesamiento de usuario final, y sistemas de
administración de negocios que alimentan información directamente a los
sistemas de contabilidad. Dichos sistemas aumentan la sofisticación total de
SIC y la complejidad de las aplicaciones específicas a las que afectan. Como
resultado, pueden aumentar el riesgo y requerir una consideración adicional.
Procedimientos de auditoría
11. De acuerdo con NIA "Evaluaciones del
riesgo y control interno" el auditor debería considerar el ambiente SIC al
diseñar los procedimientos de auditoría para reducir el riesgo de auditoría a
un nivel aceptablemente bajo.
12. Los objetivos específicos de auditoría del
auditor no cambian ya sea que los datos de contabilidad se procesen manualmente
o por computadora. Sin embargo, los métodos de aplicación de procedimientos de
auditoría para reunir evidencia pueden ser influenciados por los métodos de
procesamiento por computadora. El auditor puede usar procedimientos de
auditoría manuales, técnicas de auditoría con ayuda de computadora, o una combinación
de ambos para obtener suficiente material de evidencia. Sin embargo, en algunos
sistemas de contabilidad que usan una computadora para procesar aplicaciones
significativas, puede ser difícil o imposible para el auditor obtener ciertos
datos para inspección, investigación, o confirmación sin la ayuda de la
computadora.
No hay comentarios:
Publicar un comentario