La fiscalización en entornos informatizados · en la revista Information Systems Control Journal,...

AUDITORÍA Y GESTIÓN DE LOS FONDOS PÚBLICOS

117

NUEVAS TECNOLOGÍAS

Auditoría Pública nº 40 (2006) p.p. 117-128

Antonio Minguillón RoyAuditor de la Sindicatura de Comptes de la Comunitat Valenciana

La fiscalización en entornos informatizados

1. INTRODUCCIÓNHa sido destacado por múltiples autores que los principios básicos de la audi-

toría no han sufrido cambios radicales a lo largo de las últimas décadas, ni ensu vertiente de conjunto de conocimientos o disciplina, ni desde la óptica de lapráctica profesional1.

Sin embargo, se ha producido una verdadera revolución en algunas de las téc-nicas empleadas en la gestión, especialmente en lo que se refiere a las tecnolo-gías de la información y las comunicaciones (TIC) aplicadas a la gestión de lasadministraciones públicas.

La utilización de complejas aplicaciones ERP (Enterprise Resource Planning) enbuena parte de las administraciones españolas está cada vez más extendida.Estas aplicaciones informáticas están diseñadas para cubrir todas las áreas fun-cionales de una organización de tal manera que se crea un flujo de trabajo entrelos distintos usuarios (sin flujo físico de papel), con acceso instantáneo a toda lainformación; las operaciones que suponen movimientos monetarios se recogenautomáticamente (sin intervención humana y sin papel) en el módulo contable.Las personas que deben autorizar las distintas operaciones lo hacen también fir-mando electrónicamente a través del sistema.

Esta situación plantea una serie de problemas de auditoría a los que los audi-tores tenemos que hacer frente de forma adecuada. Más adelante se comentancon mayor profundidad los mismos, pero anticipemos los más evidentes:• Ausencia de transacciones y autorizaciones documentadas en soporte papel,

como pedidos, albaranes, facturas, cheques, órdenes de transferencia de fon-dos, etc.

• Sustitución de procedimientos de control interno manuales (realizados porempleados-funcionarios) por otros que se realizan automáticamente por lossistemas informáticos, (p.e. segregación de funciones, conciliaciones de cuen-tas, etc.)2.

• Riesgo de manipulación de la información.

1 Pablo Lanza lo recordaba desde las páginas de esta revista, ya en 1997, en el artículo “La evidencia informática”; AuditoríaPública, nº 11, octubre de 1997. Este artículo sigue manteniendo casi 10 años después toda su vigencia.2 Ver el artículo ”Implementation of ERP Systems: accounting and auditing implications” de Benjamin Bae y Paul Ashcroften la revista Information Systems Control Journal, volumen 5, 2004. Entre otras cosas se señala que “un problema común que seencuentra durante la implantación de un sistema ERP es la eliminación de controles tradicionales sin su reemplazo por nuevasmedidas de control efectivas… Algunos sistemas como SAP permiten introducir controles que crean pistas de auditoría ypermiten seguir y verificar todas las entradas de datos… No obstante, todos los maravillosos mecanismos de control disponiblesen SAP R/3 son efectivos solo si se instalan correctamente.”

118 Diciembre nº 40-2006

Un ejemplo reciente de este proceso de informa-tización de las administraciones públicas podemosapreciarlo en la nueva “Instrucción del modelo nor-mal de contabilidad local” (aprobada por la OrdenEHA/4041/2004, de 23 de noviembre; BOE de 9-12-2004), que representa una decidida apuesta porla incorporación de las técnicas electrónicas, infor-máticas y telemáticas a la actividad administrativa.Así, de acuerdo con esta Instrucción, una de las con-secuencias más destacadas de la utilización de lasTIC en la función contable, es la desaparición de laobligación de obtener y conservar los libros de con-tabilidad tradicionales en papel, estableciéndoseque las bases de datos del sistema informáticodonde residan los registros contables constituiránsoporte suficiente para la llevanza de la contabilidadde la entidad. Desaparece, por tanto, la concep-ción tradicional de libro de contabilidad, y sesustituye por la de base de datos contable.

Además, como se señala en la exposición demotivos de la Instrucción, en la línea de “fomentaruna nueva cultura administrativa en la que el papel,en la medida de lo posible, vaya siendo sustituidopor los documentos automatizados, con los ahorrostanto económicos como de espacio físico que elloimplicará, se ha establecido que los justificantes delos hechos que se registren en el SICAL-Normalpodrán conservarse por medios o en soportes elec-

trónicos, informáticos o telemáticos, con indepen-dencia del tipo de soporte en que originalmente sehubieran plasmado, siempre que quede garantizadasu autenticidad, integridad, calidad, protección yconservación. En estos casos las copias obtenidas dedichos soportes informáticos gozarán de la validez yeficacia de la justificación original.”

Resumiendo, y muy brevemente, el efecto detodo este proceso es que va a llegar un momentoen el que las pistas de auditoría (firmas, docu-mentos contables, autorizaciones, libros de contabi-lidad) en soporte tradicional en papel, como a losfuncionarios tanto nos gusta, será cosa de loslibros de historia.

El reto al que nos enfrentamos es que esemomento está cada vez más cercano, en algunoscasos lo tenemos ya presente.

En este contexto, se debe prever qué impactotienen las circunstancias señaladas en el traba-jo y organización de los órganos de controlexterno y a la luz de las normas técnicas deauditoría determinar qué medidas concretas sedeben adoptar.

2. NORMAS TÉCNICAS APLICABLESLos Principios y Normas de Auditoría del Sector

Público (PNASP) de los OCEX, aparte de los prin-cipios generales, no contemplan la problemáticaaquí planteada (en esta materia están obsoletos).

NUEVAS TECNOLOGÍAS

119

No obstante, tal como se señala en la exposiciónde motivos de los PNASP “en todo lo no reguladoen las presentes normas y en sus desarrollos poste-riores, se aplicarán los principios y normas de audi-toría generalmente aceptados a nivel nacional einternacional, y especialmente las normas técnicasdel Instituto de Contabilidad y Auditoría deCuentas”. De acuerdo con ello, la Norma Técnicade Auditoría del ICAC sobre la auditoría de cuen-tas en entornos informatizados (NTAEI), aprobadapor Resolución del ICAC de 23 de junio de 2003,tiene carácter supletorio, y es plenamente aplicableen las fiscalizaciones que realicen los OCEX. DichaNTAEI es muy similar a su homónima NormaInternacional de Auditoría 4013.

3. ENFOQUE DE AUDITORÍA “TRADICIONAL” O “AUDITORÍA ALREDEDOR DEL ORDENADOR”

Hasta la entrada en vigor de la NTAEI y su apli-cación los auditores financieros han tenido muchasveces la tentación (ante situaciones para ellos desco-nocidas en mayor o menor grado y que por tanto nocontrolan) de asignar un riesgo alto a los sistemasde control interno informatizados y así confiar úni-camente en las pruebas sustantivas para obtener evi-dencia suficiente y adecuada4.

En este enfoque denominado muchas veces “audi-toría alrededor del ordenador” se utilizan técnicaspara comprobar la fiabilidad de la información quegenera el sistema informático revisando los inputs alsistema y verificando que los outputs coinciden conlos cálculos o estimaciones que realiza el auditor.Está basado casi exclusivamente en pruebas sustan-tivas y puede no ser viable cuando se audita unaentidad con un entorno informatizado complejo,donde predomina la evidencia informática y la capa-

cidad del auditor para obtener evidencia sólo a partirde pruebas sustantivas está muy limitada.

Este enfoque de “auditoría alrededor del ordena-dor” no debe ser considerado como totalmente obso-leto, pero debe limitarse estrictamente a aquellassituaciones en las que se verifique simultáneamenteel cumplimiento de estas tres condiciones:1. La pista auditora es completa y visible. Esto

implica que se utilizan documentos fuente entodo tipo de transacciones, se imprimen loslibros diarios detallados, y se mantienen referen-cias de las transacciones tanto en el diario comoen el mayor.

2. Las operaciones de proceso de la información sonrelativamente sencillas y directas.

3. El auditor tiene a su disposición la d o c u m e n t a c i ó ncompleta del sistema, incluyendo diagramas deflujo, descripción de registros, etc.Obviamente, en los sistemas informáticos actuales

será más bien rara la verificación simultánea de lastres condiciones, ya que la entidad fiscalizada nor-malmente operará en un entorno informatizado y enesos casos deberemos aplicar el enfoque denominado“auditoría a través del ordenador” basado en laN TAEI cuyos aspectos principales se comentan enlos siguientes apartados.

4. ENTORNOS INFORMAT I ZA D O SUna auditoría se lleva a cabo en un entorno infor-

m a t i z a d o, cuando la entidad, al procesar la infor-mación financiera significativa para la auditoría,emplea un ordenador, de cualquier tipo o tama-ño, ya sea operado por la propia entidad o porun tercero. De acuerdo con esta definición, hoy endía, prácticamente cualquier Administración públicaopera en un entorno informatizado.



3 La NIA 401 ha sido derogada recientemente y sustituida por las NIA 315 y 330, en las que se refuerzan los principios bási-cos de aquélla (evaluación de riesgos y diseño de procedimientos efectivos para contrarrestarlos). Normas que van a ser adop-tadas por INTOSAI.4 En el artículo de Vi rginia y Michael Cerillo “Impact of SAS nº 94 on Computer Audit. Techniques”, en Information SystemsControl Journal, volume 1, 2003, se destaca que según una encuesta realizada antes de la entrada en vigor del SAS 94 la mayoríade los auditores en EEUU seguía la práctica mencionada. No obstante, en EEUU a raíz de los escándalos Enron, etc., la nor-mativa se ha endurecido mucho y reforzado las exigencias de evaluación de riesgos, por lo que estas prácticas supongo que sehabrán corregido.


Cuando se efectúa una auditoría en una entidadque opera en un entorno informatizado, el auditordebe evaluar la manera en que el entorno infor-matizado afecta a la auditoría. Obviamente, afec-tará de forma diferente según el grado de compleji-dad de ese entorno.

El objetivo global y el alcance de la auditoría nocambian en un entorno informatizado. Sin embar-go, el uso de un ordenador incide en el procesa-miento, almacenamiento y comunicación de lainformación financiera y afecta a los sistemas conta-bles y de control interno empleados por la entidad.En consecuencia, desde el punto de vista del audi-tor, un entorno informatizado puede afectar deforma importante a:• Los procedimientos seguidos por el auditor en el

conocimiento y evaluación de los sistemas decontrol interno de la entidad auditada.

• El análisis del riesgo inherente y de control. • El diseño y aplicación por el auditor de las prue-

bas de cumplimiento y de los procedimientossustantivos adecuados para alcanzar los objetivosde la auditoría.

5. FORMACIÓN TÉCNICA Y CAPACIDAD PROFESIONALA la hora de abordar las fiscalizaciones debe

tenerse presente la norma 2.2.1 de los PNASP queestablece que “la auditoría deberá ser realizadapor personas con formación técnica y capaci-dad profesional adecuadas.”

La anterior afirmación de carácter general, y reco-gida en términos semejantes por todas las normasde auditoría, ha sido concretada en lo relativo altema informático por la NTAEI, en el sentido deque el auditor debe tener el conocimiento sufi-ciente de los sistemas informáticos que le per-mita planificar, dirigir, supervisar y revisar eltrabajo realizado.

Además, dada la complejidad creciente de los sis-temas informáticos, en cada trabajo, el auditordebe evaluar si son necesarios para la auditoríaconocimientos especializados sobre esta mate-ria, que permitan:

• Obtener un conocimiento suficiente de los siste-mas contable y de control interno afectados por elentorno informatizado.

• Determinar el efecto del entorno informatizado en laevaluación del riesgo global y del riesgo a nivelde saldos y de tipos de transacciones.

• Diseñar y aplicar las adecuadas pruebas de cum-plimiento y los procedimientos sustantivos. Si el auditor considera que sí se requieren cono-

cimientos especializados, deberá obtener el apoyode un profesional que los posea, bien de su orga-nización, bien ajeno a la misma.

En el caso de utilizar la ayuda de profesionalesexternos especializados, se deberá tener en cuenta elcontenido de la Norma Técnica de Auditoría sobrela utilización de expertos independientes.

A pesar de lo anterior, todavía buena parte de losauditores fiscalizan en entornos informatizados sinvariar sus procedimientos tradicionales, tratan laevidencia digital como si tuviera las mismas carac-terísticas o atributos que la evidencia física tradicio-nal. El primer paso en mejorar la competencia ocapacidad profesional será darse cuenta de las pro-pias limitaciones y de que hay algunas materias, enparticular las relacionadas con los entornos informa-tizados, que se desconocen.

En relación con esto, y según la I n t e r n a t i o n a lEducation Guideline nº 11 de la IFAC (“I n f o r m a t i o nTechnology in the Accounting Curriculum”, párrafo 121),un auditor debe tener un conocimiento razonable delas principales técnicas de auditoría asistida por orde-n a d o r, sus ventajas, requisitos y limitaciones y debeser capaz de usar al menos un programa de análisis yextracción de datos (como ACL o IDEA) y un progra-ma de gestión de papeles de trabajo electrónicos(como TeamMate o Caseware Working Papers).Además de manejar Internet, el correo electrónico,agenda electrónica y, por supuesto, hoja electrónica ytratamiento de textos.

Así, de acuerdo con lo establecido en las normastécnicas citadas, los OCEX deben considerar lanecesidad de formación para todos los niveles sobre

NUEVAS TECNOLOGÍAS

121

los conceptos relacionados con la auditoría en entor-nos informatizados, que debe incluir los siguientesaspectos:• Normas técnicas de auditoría relacionadas.• Características de los entornos informatizados.• Profundización en la evaluación de los controles

internos en entornos informatizados, distinciónentre controles generales y controles de aplica-ción, su efecto en el riesgo de auditoría y en losprocedimientos de auditoría aplicables.

• La evidencia informática.• Introducción a los sistemas ERP y análisis de su

impacto en nuestros procedimientos de auditoría.• Introducción y aplicaciones prácticas de herra-

mientas de análisis y extracción de datos.• Utilización de papeles de trabajo electrónicos.• Conceptos básicos sobre la auditoría de los siste-

mas de información.También debe analizarse la necesidad de contra-

tar la colaboración de expertos externos en audito-ría de sistemas de información para apoyo a losequipos de auditoría en algunos aspectos del análi-sis de los controles informáticos.

6. DILIGENCIA PROFESIONAL Y ESCEPTICISMOPROFESIONAL

La norma 2.2.3 de los PNASP establece que “laejecución de los trabajos y la emisión de losinformes se llevará a cabo con el debido cuida-do profesional”, que principalmente impone alauditor el cumplimiento de las normas técnicas deauditoría.

Aunque es un concepto no recogido expresamen-te en los PNASP, la realización de las auditorías conun razonable grado de “escepticismo profesional”es un elemento esencial de la diligencia profe-s i o n a l. Dicho concepto, consustancial a la actividadauditora, ha adquirido una importancia creciente en

los últimos años, recogiéndose de forma expresa enlas NTA del ICAC sobre cumplimiento de la nor-mativa y sobre errores e irregularidades5.

El escepticismo profesional es una actitudque requiere mentalidad o espíritu crítico yuna evaluación crítica de la evidencia de audi-toría. Significa no confiar únicamente en las mani-festaciones del auditado y no dar por sentado quelos registros proporcionados por el auditado sonauténticos sin otra evidencia corroborativa6. Estopuede plantear problemas a veces, cuando los regis-tros informáticos (evidencia informática de transac-ciones o saldos) sólo pueden ser corroborados porotra evidencia informática. En estos casos su auten-



5 Y también en la Directriz técnica de fiscalización nº 4 (párrafos 44 y 45) de la Sindicatura de Cuentas de la ComunidadValenciana.6 Según Isaac Jonás, “Se trata, en definitiva, de evitar caer en la simplificación de asumir que todo lo que está informatizado escorrecto, y de aplicar el escepticismo profesional que debe regir toda actuación del auditor también al proceso realizado en lospropios sistemas de información, y por supuesto a los resultados obtenidos en los mismos, ...”; Jonás González, Isaac; “La audi-toría de cuentas en entornos informatizados”, Partida Doble, nº 156, junio de 2004.


ticidad y fiabilidad puede ser difícil o imposible deverificar sin comprender y verificar los controlesinformáticos relacionados.

La importancia de este concepto, y la reflexiónsobre si lo aplicamos correctamente o no, debemosvalorarla en relación con la evolución que han expe-rimentado los sistemas informáticos de los entesque auditamos y nuestros propios procedimientos.Varios OCEX han celebrado ya su 20 aniversario ymuchos de nosotros hemos podido apreciar la evo-lución que las TIC han tenido tanto en nuestras ins-tituciones como en las distintas administracionesfiscalizadas. A pesar de esta evolución, en general,el tratamiento de los datos informáticos que audita-mos, es básicamente (con algunas excepciones) elmismo que si se tratara de contabilidades con unbajo nivel de informatización; a veces se trabaja casiigual que hace 20 años7.

Utilizamos muchos listados en papel o si acasoguardados en formato digital en nuestro ordenador.Estos listados, sobre los que hacemos determinadascomprobaciones son tan sólo una visualización“física” de una evidencia informática, quepodrían haber sido fácilmente alterados para enga-ñar al auditor. Sin embargo nuestras pruebas soncasi las mismas que hace 20 años, raras veces secomprueban los controles de seguridad e integridad(por ejemplo) de esos listados, dando implícitamen-te por supuesto que existen. Y cuando se actúa así,se está, desde mi punto de vista, incurriendo en unriesgo importante de auditoría y se resiente la dili-gencia profesional exigida.

El apartado 5.3.10 de las Normas de Auditoríadel Sector Público (NASP) de la IGAE recoge estaidea y dice que “Cuando se emplee evidencia infor-mática, o datos procedentes de sistemas informáti-cos del auditado, los auditores deberán evaluar la

fiabilidad de esta evidencia, y no darla nunca porsupuesta a priori.”

Cuanto más complejo sea el entorno informáticomayor será el grado de escepticismo profesionalrequerido.

Dicho todo lo anterior, debe tenerse claro que, unauditor no tiene que ser necesariamente competen-te (especialista) en la obtención y examen de la evi-dencia informática para darse cuenta que la infor-mación proporcionada por los ordenadores no es fia-ble si no hay otra evidencia corroborativa, o no se harealizado y documentado una revisión de los contro-les generales y de aplicación. Sólo tiene que actuarcon la debida diligencia y escepticismo profesionaly, debería preguntarse dos cosas:

¿Cuál es la probabilidad de que este listado uotro documento informático sea erróneo, tantoaccidental como intencionadamente? ¿Quiénes, de la organización auditada, tienen laoportunidad y el incentivo para alterar los datoselectrónicos por algún motivo?Además de las dos anteriores y relacionadas con

ellas, un auditor debe hacerse, entre otras, lassiguientes preguntas:

¿Puede alterarse la evidencia informática sindejar pistas de auditoría o rastros del cambio?¿Hay una pista de auditoría que liga claramentela evidencia informática al hecho que la generó yen algunos casos hacia su inclusión en las cuentasanuales?¿Contiene la evidencia informática informaciónque identifique quién generó la entrada y cuándo?¿Qué controles existen para prevenir cambios noautorizados en la evidencia informática despuésde su correcta generación?¿Quién tiene derechos de acceso para cambiar laevidencia informática?

NUEVAS TECNOLOGÍAS

7 Resulta interesante comprobar cómo en abril de 1991 la Sindicatura de Cuentas de Cataluña organizó un, avanzado para laépoca, “Curso sobre auditoría informática” al que asistimos auditores de los OCEX entonces existentes.A pesar de su interés, la materia no fue desarrollada en ninguna institución, pero entiendo que la situación es muy diferenteen estos momentos y la concienciación general de la necesidad de trabajar en esa dirección también, como ha podido con-trastarse en el I Foro tecnológico de los OCEX celebrado en Valencia el pasado septiembre (ver información enwww.sindicom.gva.es).

123

¿Cómo sabe el auditor que la evidencia informá-tica no ha sido intencionadamente alterada paraengañar o llevar a conclusiones equivocadas?¿ Tienen el sistema un “log” de auditoría ade-cuadamente establecido para registrar los inten-tos de acceso (éxitos y fracasos) a la evidenciai n f o r m á t i c a ?¿Han sido revisados los “log” de auditoría poralguien independiente?La respuesta a estas cuestiones ayudará al auditor

a evaluar la fiabilidad de los datos informáticos, elriesgo de que existan incidencias significativas y aplanificar pruebas de auditoría más eficaces, inclu-yendo la necesidad de que participe un experto enauditoría informática.

7. EVALUACIÓN PRELIMINAR DEL CONTROL INTERNODe acuerdo con la segunda Norma Técnica sobre

Ejecución del Trabajo del ICAC “deberá efectuarseun estudio y evaluación adecuada del control inter-no como base fiable para la determinación delalcance, naturaleza y momento de realización de laspruebas a las que deberán concretarse los procedi-mientos de auditoría”.

El apartado 2.4.10 de la misma norma dice: “Elestudio y evaluación del control interno incluye dosfases:a) La revisión preliminar del sistema con objeto de

conocer y comprender los procedimientos ymétodos establecidos por la entidad. En particu-lar, el conocimiento y evaluación preliminar delos sistemas de control interno de la entidad,incluyendo los sistemas informáticos, consti-tuye un requisito mínimo de trabajo que sirve debase a la planificación de la auditoría.

b) La realización de pruebas de cumplimiento paraobtener una seguridad razonable de que los con-troles se encuentran en uso y que están operandotal como se diseñaron.”Es decir, el auditor debe obtener una compren-

sión del control interno suficiente del ente fiscaliza-do para planificar la auditoría, realizando procedi-mientos para (1) identificar y comprender el diseño

de los controles relevantes para una auditoría de lascuentas anuales y (2) comprobar si estos controlesestán siendo operativos.

Esta comprensión debe incluir la consideraciónde los métodos que una entidad usa para procesar lainformación contable, porque dichos métodosinfluyen en el diseño del control interno. La exten-sión con que los sistemas de información electróni-cos son utilizados en aplicaciones contables impor-tantes, así como la complejidad de dicho procesopueden influir en la naturaleza, calendario y alcan-ce de los procedimientos de auditoría.

La NTAEI establece que en la planificación de losaspectos de la auditoría susceptibles de ser influidospor el entorno informatizado de la entidad fiscaliza-da, el auditor deberá alcanzar una adecuada com-prensión de:• La importancia (materialidad) y la complejidad

(volumen de transacciones, generación automáti-ca de transacciones, validación automática, etc)de la actividad de los sistemas informáticos dedicha entidad.

• La estructura organizativa de las actividades delos sistemas informáticos de la entidad.

• Así como la disponibilidad de datos para su utili-zación en la fiscalización.El auditor debe documentar su comprensión de

los componentes del control interno de una entidadrelativo a las aplicaciones informáticas que procesaninformación usada en la preparación de los estadosfinancieros, y basándose en dicha comprensión, sedebe desarrollar un plan de auditoría con suficientedetalle como para demostrar su eficacia en reducirel riesgo de auditoría.

Cuando el entorno informatizado sea significati-vo, el auditor debe obtener el necesario conocimien-to del entorno del mismo, y de su influencia en laevaluación del riesgo inherente y de control.

8. EVALUACIÓN DEL RIESGO DE AUDITORÍADe acuerdo con las Normas Técnicas sobre

Ejecución del Trabajo del ICAC (apartados 2.4.24 y2.4.25), el auditor debe evaluar el riesgo inhe-




rente y el riesgo de control para los componen-tes significativos de los estados financieros yminimizar el riesgo final (riesgo inherente +riesgo de control + riesgo de detección) a travésde la combinación adecuada de pruebas deauditoría.

Los problemas y factores de riesgo que con másfrecuencia pueden aparecer en un entorno informati-zado son, muy brevemente, los siguientes:• Ausencia de rastro de las transacciones.• Proceso uniforme de transacciones. Los errores de

programación, u otros errores sistemáticos en elhardware o en el software, darán lugar a quetodas las transacciones similares procesadas bajolas mismas condiciones, lo sean incorrectamente.

• Falta de segregación de funciones.• Posibilidad de errores e irregularidades. La posi-

bilidad de que algunas personas no autorizadasaccedan a datos o los alteren sin que haya pruebasvisibles de ello puede ser mayor con un sistemainformático que con un sistema manual.

• Inicio o ejecución automático de transacciones. Elsistema informático puede incluir la posibilidadde iniciar o ejecutar automáticamente determi-

nados tipos de transacciones, cuya autorizaciónpuede no estar documentada de la misma formaque lo estaría en los sistemas manuales.

• El volumen de transacciones es tal que los usua-rios de la aplicación podrían tener dificultadespara identificar y corregir errores de proceso.

• El ordenador genera de forma automática tansa-ciones significativas o anotaciones directas enotras aplicaciones.

• El ordenador realiza cálculos complicados deinformación financiera y/o genera de forma auto-mática transacciones significativas que no pue-den ser, o no son, validadas independientemente.Podemos decir que como consecuencia de los

problemas que pueden presentarse en un entornoinformatizado el riesgo de auditoría es crecienteconforme se incrementa la complejidad delm i s m o .

Para minimizar el riesgo de auditoría a un nivelaceptable deben actualizarse las técnicas y procedi-mientos de auditoría, ya que en caso contrario seproducirá un desfase creciente entre los métodos,tecnología, procedimientos de los entes fiscalizadosy los de los auditores y como consecuencia podría

NUEVAS TECNOLOGÍAS

125

producirse un debilitamiento de la calidad y canti-dad general de la evidencia obtenida si no se reac-ciona de forma adecuada.

Ante cada uno de los riesgos de auditoría que seidentifiquen debe existir una respuesta clara ydirecta del auditor (un procedimiento de auditoría)que contrarrestre y minimice ese riesgo.

9. EVIDENCIA INFORMÁTICA DE AUDITORÍALas NASP regulan con una cierta profundidad

aspectos relacionados con la obtención por el auditorde evidencia adecuada en un entorno informatizado.

De acuerdo con el apartado 5.3.2 de las NASPademás de las tradicionales formas de evidencia(física, documental, analítica y testimonial), actual-mente, en entornos informatizados, el auditor debede tener en consideración la evidencia informática,que queda definida así:

“Evidencia informática. – Información y datoscontenidos en soportes electrónicos, informáticosy telemáticos, así como los elementos lógicos,programas y aplicaciones utilizados en los proce-dimientos de gestión del auditado. Esta eviden-cia informática incluirá los elementos identifica-dos y estructurados que contienen texto, gráficos,sonidos, imágenes o cualquier otra clase de infor-mación que pueda ser almacenada, editada, extra-ída e intercambiada entre sistemas de tratamien-to de la información, o usuarios de tales sistemas,como unidades diferenciadas.”En un primer análisis de esta definición de evi-

dencia informática vemos que se produce una dis-tinción entre dos tipos de evidencia informática de

características muy diferenciadas y que requeriráncapacidades profesionales, técnicas y procedi-mientos ad hoc. Esta distinción es:a) Información y datos

La implantación de sistemas de informaciónautomatizados en la administración ha provocadoque la pista visible de muchas transacciones querastreamos los auditores en las fiscalizaciones hayadesaparecido físicamente, transformándose en algomás intangible8.

No vamos a disponer, ya no disponemos enalgunos casos, de los documentos físicos parapoderlos visualizar, comprobar firmas, fotocopiar,poner tildes, etc. En muchos casos las facturas deproveedores, albaranes, etc. se escanean, se archi-van en el ordenador y el original en papel desapa-rece, pudiéndose visualizar únicamente a travésdel sistema informático. En otros casos ni siquierallega un documento físico a la entidad auditada nise genera en la misma, sino que dichos documen-tos llegan en formato electrónico desde el exterioro desde otro departamento de la empresa o enti-dad, es decir los datos o documentos solo existenen formato electrónico.

Se hace necesario desarrollar nueva metodología detrabajo e introducir nuevas técnicas para poder recu-perar y evaluar este tipo de evidencia informática.

Hay que tener presente que los atributos de laevidencia informática son diferentes de los de laevidencia tradicional en varios aspectos. En elsiguiente cuadro se señalan las principales dife-r e n c i a s9.



8 En este sentido es conveniente repasar la IMNCL, que va en esa dirección:Regla 14.- Soporte de los registros contables

1. Los registros de las operaciones y del resto de la información capturada en el SICAL-Normal, estarán soportados infor-máticamente según la configuración que se establece en la regla anterior, constituyendo el soporte único y suficienteque garantice su conservación de acuerdo con la regla 93.2. Las bases de datos del sistema informático donde residan los registros contables constituirán soporte suficientepara la llevanza de la contabilidad de la entidad contable, sin que sea obligatoria la obtención y conservación de libros decontabilidad…

Regla 88.- Medios de justificación1. La j u s t i f i c a c i ó n de los distintos hechos susceptibles de incorporación al SICAL-Normal podrá estar soportada endocumentos en papel o a través de medios electrónicos, informáticos o telemáticos...

9 Édmond, Caroline; Electronic Audit Evidence; The Canadian Institute of Chartered Accountants, 2003.


NUEVAS TECNOLOGÍAS

Evidencia de auditoría tradicional Evidencia informática de auditoría

Origen

Se puede establecer con facilidad el origen/procedencia.

Es difícil determinar el origen si únicamente se examina infor-mación en soporte informático. Se requiere la utilización decontroles y de técnicas de seguridad que permitan la auten-ticación y reconocimiento.

Alteración

La evidencia en papel es difícil de alterar sin que se detecte.

Es difícil, si no imposible, detectar cualquier alteración única-mente mediante el examen de la información en soporteinformático. La integridad de la información depende de loscontroles fiables y de las técnicas de seguridad empleadas.

Aprobación

Los documentos en papel muestran la prueba de su aproba-ción en su superficie.

Es difícil de establecer la aprobación si únicamente se exami-na la información en soporte informático. Se requiere la utili-zación de controles y de técnicas de seguridad.

Compleción

Todos los términos relevantes de una operación/transacciónse incluyen por lo general en un mismo documento.

Los términos más significativos aparecen a menudo en distin-tos archivos de datos.

Lectura

No se requiere ningún tipo de herramienta o equipo.Es necesaria la utilización de distintas tecnologías y herra-mientas.

Formato

Parte integral del documento. El formato viene separado de los datos y puede modificarse.

Disponibilidad y accesibilidad

Normalmente no es una restricción durante la fiscalización.Las pistas de auditoría para la información en soporte infor-mático puede que no estén disponibles en el momento de laauditoría y el acceso a los datos puede resultar más difícil.

Firma

Es sencillo firmar un documento en papel y comprobar lafirma.

Se necesitan las tecnologías adecuadas para realizar unafirma electrónica fiable y revisarla.

127

Las operaciones de recolección y análisis de estaevidencia, empleando para ello las técnicas y herra-mientas de auditoría asistida por ordenador necesa-rias y/o disponibles en cada momento (como ACL oIDEA), son abordables por cualquier auditor quereúna unos requisitos de formación mínima10.

A fin de poder valorar la suficiencia y lo apropiadode la evidencia informática recopilada para respaldarel informe de auditoría, el auditor debería considerarlos riesgos específicos asociados al uso de este tipo deevidencia. Estos riesgos no pueden ser evaluados úni-camente revisando la evidencia documental, comosuele hacerse con los documentos en papel. La copiaimpresa de la información en soporte informático o lalectura de la información directamente de la pantalladel ordenador es s o l a m e n t e un formato. Y éste noproporciona ninguna indicación del origen y autori-zación, ni tampoco garantiza la integridad ni la com-pleción de la información. Los auditores deberíanasegurar que los controles y las distintas tecnologíasutilizadas para crear, procesar, transmitir y guardarinformación en soporte informático son suficientespara garantizar su fiabilidad. b) Programas y aplicaciones

La revisión de los procedimientos administrati-vos y contables, el flujo de documentos, autoriza-ciones, segregación de funciones, etc. existentes enel seno de la organización auditada ha formadoparte siempre de los procedimientos ordinarios deauditoría. En este sentido la revisión de los sistemaslógicos informáticos de gestión proporcionan evi-dencia de auditoría ya que nos permiten conocer

cuál es el flujo de documentos electrónicos, lasautorizaciones explícitas a implícitas, segregaciónde funciones, los controles de seguridad existentes yotros procedimientos de control interno11.

Actualmente con sistemas complejos que interre-lacionan e integran distintas áreas funcionales de lasorganizaciones, y la desaparición progresiva delsoporte papel, etc, el análisis y evaluación de talessistemas excederá normalmente las competen-cias de un auditor financiero requiriéndose laintervención de un especialista en auditoríainformática.

10. PROCEDIMIENTOS DE AUDITORÍADe acuerdo con la NTAEI “el auditor debe tener

en cuenta el entorno informatizado en el diseño delos procedimientos de auditoría necesarios parareducir el riesgo de auditoría a un nivel aceptable.

Los objetivos específicos de auditoría no se venafectados por el hecho de que los datos contablesse procesen manualmente o mediante ordenador.Sin embargo, los métodos para obtener la eviden-cia de auditoría adecuada y suficiente, puedenverse influenciados por los procesos informáticos.El auditor puede utilizar tanto procedimientosmanuales como técnicas de auditoría asistidas porordenador o bien una combinación de ambosmétodos, al objeto de obtener dicha evidencia. Sine m b a rgo, en algunos sistemas contables que utili-zan un ordenador para llevar a cabo aplicacionessignificativas, puede ser difícil o imposible que elauditor obtenga ciertos datos sin apoyo informá-t i c o . ”



10 El Plan Trienal 2005-2007 de la Sindicatura de Cuentas de la Comunidad Valencia, plantea como objetivo para 2006 que el50% del personal de auditoría sea capaz de manejar la herramienta de análisis y extracción de datos implantada en la Institución(ACL).11 Resulta pertinente recordar, a modo de ilustración, lo que se establece en la Regla 90.2 de la IMNCL:

2. Cuando las operaciones se incorporan al sistema mediante la utilización de soportes electrónicos, informáticos o telemáti-cos, los procedimientos de autorización y control mediante diligencias, firmas manuscritas, sellos u otros medios manualespodrán ser sustituidos por autorizaciones y controles establecidos en las propias aplicaciones informáticas quegaranticen el ejercicio de la competencia por quien la tenga atribuida.

Y en la Regla 91.2 Toma de razón:2. En el caso de que las operaciones sean registradas a partir de los datos contenidos en soportes electrónicos, informáticoso telemáticos, la diligencia de toma de razón se sustituirá por los oportunos procesos de validación en el sistema, medi-ante los cuales dichas operaciones queden referenciadas en relación con las anotaciones contables que hayan producido.


Los auditores deberán tener evidencia suficiente yadecuada de que los datos provenientes de sistemasinformáticos sean válidos y fiables cuando talesinformaciones sean significativas para los resultadosde la auditoría.

La NTAEI explícitamente exige al auditor larevisión de los sistemas de control informatizados,la evaluación del riesgo de auditoría correspondien-te y la realización de pruebas de cumplimiento.

Aunque deberemos efectuar en todo caso pruebassustantivas para verificar transacciones y saldos deimporte significativo, en determinadas situacio-nes, no será posible reducir el riesgo de detec-ción a un nivel aceptable, realizando única-mente pruebas sustantivas.

La decisión para adoptar un determinado enfoquede auditoría no dependerá tanto del tamaño de laentidad auditada como del grado de complejidaddel entorno informatizado.11. CONCLUSIÓN

He tratado en estas breves líneas de señalar lanecesidad de que los órganos de control externoaborden decididamente la implantación de nuevastécnicas y metodología de auditoría para ejecutarcon plena eficacia y la máxima eficiencia las fiscali-zaciones que tienen encomendadas, sobre unasadministraciones públicas que operan en entornosinformatizados de una complejidad cada vez mayor.

Se debe realizar un profundo cambio para evolu-cionar de unas fiscalizaciones/auditorías realizadas“alrededor del ordenador” a otras realizadas “a tra-vés del ordenador”. Para ello, algunas de las medi-das que se deberían adoptar son:• Formación general del personal auditor en las

técnicas y procedimientos relacionados con laauditoría en entornos informatizados, evalua-ción de riesgos y revisión de procedimientos dec o n t r o l .

• Creación de un grupo pequeño especializado enauditoría informática y/o incorporación de perso-nal técnico especialista (CISA).

• Contratar la colaboración externa de especialistasen auditoría informática para que colaboren enlas fiscalizaciones (en una primera etapa, estamedida la considero casi ineludible, como pasoprevio a la disposición de personal propio espe-cializado).

• Realización de fiscalizaciones por equipos pluri-disciplinares.Para terminar, la conclusión final sería que todos

los OCEX deben adoptar las medidas apropiadas,según su situación particular, con la máxima celeri-dad, ya que los ciudadanos esperan que se les pro-porcionen informes de fiscalización de la máximacalidad técnica, acordes con las tecnologías utiliza-das en el siglo XXI.

NUEVAS TECNOLOGÍAS

La fiscalización en entornos informatizados · en la revista Information Systems Control Journal,...

Documents

Transcript of La fiscalización en entornos informatizados · en la revista Information Systems Control Journal,...