especial auditoría

La auditoría de cuentas
anuales en entornos
informatizados
Nuestros clientes requieren cada vez más que les demos confianza sobre la
fiabilidad de la información contable y de gestión que utilizan para la toma
de decisiones. Para ello es necesario una auditoría efectiva y eficiente, bajo
enfoques que incluyan la auditoría de los sistemas y procesos informatizados
de las compañías

Francisco Javier Astiz Fernández y Marc Sole Bardia

Socio y Senior Manager de Sistemas y Procesos de la división Auditoría

PricewaterhouseCoopers

1. INTRODUCCIÓN mación contable y de gestión, sin que ello

modifique, evidentemente, el objetivo último

E
l objetivo último de la auditoría de de la auditoría: la opinión sobre si los esta-
cuentas es expresar una opinión sobre dos financieros presentan la imagen fiel de
si los estados financieros, en todos los la empresa.
aspectos significativos, reflejan la ima-
gen fiel del patrimonio y de la situación En un escenario de evolución cambiante
financiera de una empresa. No vamos a des- y rápida como éste, del mismo modo que
cubrir nada nuevo si mencionamos que en el las empresas han actualizado sus procesos
entorno empresarial actual, globalizado y al- mediante la informatización para sobrevivir
tamente informatizado, especialmente en al- al entorno competitivo actual, el auditor ne-
gunos sectores de actividad, los procesos de cesita también adaptar sus procedimientos
negocio y la información contable y de ges- y técnicas de auditoría para la consecución
tión que éstos generan son totalmente de- de las evidencias que sustentan su opinión,
pendientes de los aplicativos informáticos sobre todo si pretende realizar una auditoría
que soportan dichos procesos y las platafor- eficiente y efectiva. En muchos casos, resul-
mas tecnológicas que soportan dichos apli- ta un imperativo realizar un análisis del con-
cativos. El uso intensivo de los sistemas de trol interno de los sistemas de información
información, unido a la complejidad de los en empresas con procesos informatizados y
mismos, ha ido modificado gradualmente los automatizados, y ya no solamente en térmi-
procesos de negocio que generan la infor- nos de efectividad y eficiencia en la planifi-

pág
70
pd
cación y ejecución de la auditoría a través “la auditoría de cuentas en entornos infor-
de los procedimientos del auditor, sino para matizados”, con objeto de establecer reglas
no obviar en dicha planificación la conside- y suministrar una guía respecto a los proce-
ración de los riesgos de auditoría derivados dimientos a seguir. Dicha norma, en su
de un entorno informatizado. En algunos
sectores altamente informatizados, y con
esto no nos referimos exclusivamente a FICHA RESUMEN
sectores como banca, seguros, telecomuni- Autor:
caciones, sin una comprensión del control Francisco Javier Astiz Fernández y Marc Sole Bardia
interno existente en los sistemas de infor- Título:
La auditoría de cuentas anuales en entornos informatizados
mación y en los procesos de negocio, el au- Fuente:
ditor no estaría en una posición de planificar Partida Doble, núm. 202, páginas 70 a 81, septiembre 2008
una auditoría eficiente, y podría no conside- Localización: PD 08.09.06
Resumen:
rar los riesgos tecnológicos existentes que En la actualidad, el grado de dependencia de la información contable y de gestión en los sistemas y
afectan a la integridad y exactitud de los da- procesos informatizados de las empresas requiere que el auditor financiero considere los riesgos
tos contables y de gestión. tecnológicos y el sistema de control interno informático dentro del contexto de una auditoría de
cuentas anuales.
Este artículo se centra en la tendencia hacia un enfoque de auditoría basado en la confianza en
En el ámbito nacional, el Instituto de controles, y la reducción gradual de horas en el trabajo sustantivo, como un proceso natural, si se
Contabilidad y Auditoría de Cuentas (ICAC), pretende la eficiencia y efectividad en los procedimientos del auditor, a la vez que se tienen en
consideración los riesgos tecnológicos derivados de un entorno informatizado.
en la resolución de 23 de junio de 2003, pu- Descriptores ICALI:
blicó la Norma Técnica de Auditoría sobre Sistemas de información. Auditoría.

pág
pd www.partidadoble.es
71
 especial auditoría nº 202 septiembre 2008

apartado 2.4.10, menciona que ‘el conoci- mismo, indica que al planificar las áreas de
miento y evaluación preliminar de los siste- la auditoría que pueden resultar afectadas
mas de control interno de la entidad, inclu- por el entorno informatizado de la entidad,
yendo los sistemas informáticos, constituye el auditor debe alcanzar una adecuada
un requisito mínimo de trabajo que sirve de comprensión de la importancia y compleji-
base a la planificación de la auditoría’. Asi- dad de las actividades de los sistemas infor-
máticos, así como de la disponibilidad de
datos para su utilización en la auditoría.

ESQUEMA 1 En la misma línea de actuación, el Inter-

AUDITORÍA DE SISTEMAS Y PROCESOS INFORMATIZADOS
national Federation of Accountants (IFAC),
EN LAS DISTINTAS FASES DE UNA AUDITORÍA DE CUENTAS también se refiere y desarrolla estos aspec-
ANUALES tos en las secciones 315 y 401 del Interna-
tional Standards on Auditing (ISA 315- Un-
Fase de Planificación derstanding the Entity and its Environment
and Assessing the Risks of Material Missta-
Comprensión del negocio tement, ISA 401- Auditing in a Computer In-
• Comprensión de los sistemas de información, y los procesos de negocios
formation Systems Environment). En dichas
relacionados, relevantes al reporting financiero
secciones se pone de manifiesto la obligato-
riedad y necesidad por parte del auditor de
Análisis de riesgos
comprender el entorno informático de la em-
• Consideración de los riesgos inherentes y de control derivados del uso de
entornos informatizados (acceso no autorizado a datos, fraude, errores en presa, y de su consideración en la evalua-
los programas informáticos que tratan datos contables, errores en procesos ción del riesgo inherente y de control. Estas
y cálculos automatizados, etc.) directrices inciden en que el entorno infor-
matizado implica distintos tipos de riesgos y
Plan de auditoría y respuesta a los riesgos identificados características de control, que deben ser
Respuesta a los riesgos de error material mediante validación de controles,
procedimientos sustantivos o combinación de ambos. evaluados por parte del auditor, con objeto
• Determinación del alcance de la auditoría de procesos informatizados en de diseñar los procedimientos de auditoría
función del enfoque de auditoría. necesarios para reducir el riesgo de audito-
ría a un nivel aceptable.

• Análisis y evaluación Dicho esto, y partiendo de la base que la

de resultados mayoría de empresas disponen de procesos
y sistemas complejos, donde difícilmente
• Respuesta de auditoría
podemos mitigar los riesgos de auditoría y
Fase de Ejecución realizar una auditoría eficiente y efectiva a
través de procedimientos totalmente sustan-
Validación del control interno tivos, la tendencia hacia un enfoque de au-
• Revisión del control interno en el área de IT y en los procesos de negocio in- ditoría basado en la confianza en controles
formatizados
debería ser el proceso natural, sobre todo
• Revisión de cálculos, procesos automatizados e interfases
cuando nos enfrentamos a entornos infor-
• Revisión de informes relevantes al reporting financiero
matizados, complejos y con procesos de ne-
• Revisión de la segregación de funciones y el acceso lógico en los sistemas
informáticos gocio y contables que manejan volúmenes
elevados de transacciones. La considera-
Procedimientos sustantivos ción de proceso y sistema complejo contie-
• Realización de pruebas sustantivas mediante el uso de técnicas de audito-
ne cierta dosis de subjetividad, si bien pue-
ría asistidas por ordenador de determinarse en función de ciertos crite-
rios cualitativos como:

• Sistemas que realizan cálculos automati-

Fase de zados de cierta complejidad
Conclusión y Reporting
• Tecnología obsoleta no soportada por el
Informes de auditoría
proveedor
• Informe de recomendaciones sobre el control interno

• Sistemas desarrollados a medida o con

un nivel significativo de modificaciones

pág
72
pd
 La auditoría de cuentas anuales
en entornos informatizados

• Sistemas ERP (por ejemplo, SAP, JDE, ✓ Los procedimientos utilizados para transfe-
Oracle Financials, etc.) rir información desde los sistemas que pro-
cesan las transacciones hacia los sistemas
• Número significativo de interfases entre de contabilidad y reporting financiero.
sistemas
La comprensión de los sistemas informáti-
• Infraestructuras tecnológicas comple- cos, su relación con los procesos de negocio y
jas u operaciones en entornos multina- el reporting financiero, así como otros aspec-
cionales tos relacionados con el grado de automatiza-
ción de los procesos, complejidad
Es en este punto donde entra en consi- del entorno tecnológico, in-
deración la auditoría y evaluación del con- terfases con contabili-
trol interno del área de Tecnologías de la In- dad, introducción
formación de las empresas y, adicionalmen- manual de apun-
te, del control interno de los procesos de tes contables,
negocio informatizados, como una fase ne- etc., constituye
cesaria de la auditoría de cuentas anuales. un aspecto bá-
sico para que el
auditor pueda
2. AUDITORÍA DE SISTEMAS Y
obtener un conoci-
PROCESOS INFORMATIZADOS
miento y realizar una
El esquema 1 pretende ilustrar las princi- evaluación preliminar del
pales fases, dentro del marco de una audito- sistema de control interno que afecta al siste-
ría de cuentas anuales, donde se realizan ma informático.
procedimientos de auditoría de sistemas y
procesos informatizados. El nivel de comprensión del entorno infor-
mático y su sistema de control interno por
La auditoría de sistemas y procesos infor- parte del auditor debe ser el necesario y sufi-
matizados, dentro del marco de la auditoría ciente para realizar una evaluación de riesgos
de cuentas anuales, debe considerarse des- adecuada. El auditor debe considerar que un
de la fase inicial de planificación de la audito- entorno informatizado implica, entre otros,
ría. Es en la fase de planificación cuando el riesgos de acceso y manipulación indebida de
auditor debe obtener un conocimiento sufi- datos, errores en programas informáticos que
ciente de los sistemas de información, inclui- puedan afectar a la integridad de los registros
dos también los procesos de negocio afecta- contables, pérdida de información por errores
dos por los sistemas, que sean relevantes al en transferencias y volcados de datos, riesgo
reporting financiero. de fraude, etc.

La ISA 315 menciona explícitamente este En la elaboración del plan de auditoría, a

aspecto, indicando, entre otras, las siguien- través del cual se pretende dar respuesta a
tes áreas sobre las que el auditor debe ob- los riesgos identificados, el auditor, en fun-
tener un nivel adecuado de comprensión: ción del enfoque de auditoría adoptado, de-
termina las pruebas de control y/o procedi-
✓ Clases de transacciones en las operacio- mientos sustantivos necesarios para alcan-
nes de la entidad que sean relevantes en zar los objetivos de la auditoría. El enfoque
los estados financieros. de auditoría determina el alcance y grado de
profundidad del trabajo de auditoría de siste-
✓ Los procedimientos, a través de sistemas mas y procesos informatizados que tendrá
de IT o manuales, mediante los cuales las lugar durante la fase de ejecución, en la cual
transacciones son iniciadas, registradas, se obtienen las evidencias necesarias que
procesadas y reportadas en los estados fi- soportarán la opinión del auditor.
nancieros.
Cuando el auditor, un su enfoque de audi-
✓ Los registros contables relacionados, toría, pretende depositar confort sobre el con-
electrónicos o manuales, que soportan in- trol interno de un proceso informatizado, ba-
formación y las cuentas en los estados fi- sándose en los controles del sistema informá-
nancieros tico y en información generada por el sistema,

pág
pd www.partidadoble.es
73
 especial auditoría nº 202 septiembre 2008

debe tener en consideración la evaluación de • Informes y hojas de cálculo relevantes al

los siguientes aspectos, que desarrollamos a reporting financiero
continuación en este artículo:
• Segregación de funciones y acceso lógico
• Controles generales informáticos en los sistemas informáticos

• Controles de aplicación En el esquema 2 se muestra el flujo donde

se aprecia la relación entre los estados finan-
• Cálculos automáticos, procesos automati- cieros, los controles de aplicación y los contro-
zados e interfases les generales.

ESQUEMA 2
FLUJO DE RELACIÓN ENTRE ESTADOS FINANCIEROS, CONTROLES DE APLICACIÓN
Y CONTROLES GENERALES

Financial Statement
2 Transaction 3 Transaction Class/ 4 Business Process
Line Item
Sub-Process
(Significant Account)
5

Information
Processing
1
Objectives (CAVR)

6
8

Financial Statement Risks

Assertions

• Occurrence 7
• Completeness
• Accuracy Application Controls
• Cutoff
• Existence Automated Application
12 Business
• Rights/Obligations Controls Manual Application
9 Performance
• Valuation Controls
Automated Accounting Reviews
• Presentation/
Disclosure Procedures

10

Application-Generated Reports

11

Information Technology General Controls

1. En el proceso de auditoría, el auditor evalúa los riesgos de error material en los estados financieros a nivel de aserción.
2. Las distintas líneas que componen el balance y la cuenta de resultados se derivan de transacciones realizadas por la Entidad (p.ej.: un descuento comer-
cial).
3. Estas transacciones suelen formar parte de un subproceso (p.ej.: gestión de pedidos).
4. El subproceso forma parte, a su vez, de un proceso general (p.ej.: proceso de ventas).
5. El control interno del proceso de negocio debe garantizar los objetivos de totalidad, exactitud, validez y acceso restringido.
6. Los objetivos de totalidad, exactitud, validez y acceso restringido están sometidos a ciertos riesgos.
7. Los controles de aplicación están encaminados a mitigar estos riesgos.
8. La Entidad implementa controles de supervisión en el proceso de negocio encaminados a identificar anomalías en los resultados financieros.
9. La Entidad evalúa si estas anomalías pueden ser resultado de errores en los controles de aplicación.
10. Algunos controles de aplicación manuales y controles de supervisión se sustentan en informes generados por las aplicaciones y procesos informatizados.
11. Los controles generales informáticos efectivos soportan los controles de aplicación automáticos, los procesos contables automatizados y los reportes ge-
nerados por el sistema que son utilizados en los controles manuales.
12. Los controles de aplicación contribuyen directamente en el confort sobre las aserciones del balance y la cuenta de resultados.

pág
74
pd
 La auditoría de cuentas anuales
en entornos informatizados

El enfoque de auditoría con confianza en cuencia de cambios deficientemente pro-

los controles puede, y suele, combinarse con bados
trabajo sustantivo, en el transcurso del cual el
auditor puede apoyarse en técnicas de audito- • Los cambios no autorizados en las aplica-
ría asistida por ordenador para la realización ciones o programas que puedan afectar a
de pruebas sustantivas de detalle. la integridad de los datos

Como veremos en el transcurso de los • La pérdida potencial de información como

apartados siguientes, la evaluación de los re- consecuencia de errores en la ejecución
sultados en cada una de las áreas de evalua- de interfases y procesos
ción anteriores y, sobre todo, el análisis de su
impacto en el plan de auditoría inicial debe • La pérdida de información por deficiencias
ser una constante durante la fase de ejecu- en copias de seguridad
ción de la auditoría, con objeto de dar una de-
bida respuesta de auditoría a las deficiencias • La falta de garantía de la continuidad de
identificadas y realizar los cambios necesa- las actividades de la empresa por la ine-
rios en los procedimientos del auditor. xistencia de un plan de contingencias o
negocio
2.1 Los controles generales
La evaluación del diseño y la efectividad
informáticos
operativa de los controles generales infor-
Los controles generales informáticos tie- máticos resulta clave cuando se pretende
nen un impacto general sobre el proceso de depositar confort en los controles del siste-
negocio informatizado, y pueden afectar a to- ma informático del proceso de negocio y en
dos los sistemas o aplicaciones del sistema la información generada por el sistema. Las
de gestión. Estos controles están relaciona- debilidades en los controles generales infor-
dos, fundamentalmente, con la organización máticos pueden tener un impacto en los
del área de Tecnologías de la Información de controles automáticos de las aplicaciones,
la entidad, sin olvidar que en la ejecución de en los procesos automatizados, así como
algunos de ellos la participación de las áreas en la fiabilidad de los informes que se utili-
de negocio resulta un aspecto clave. zan en controles manuales y de supervisión.
Por ejemplo, supongamos que el auditor
La revisión de controles generales incluye confía en el listado de clasificación de deu-
diversas áreas de evaluación, las cuales, de da que genera el sistema, y también en el
un modo simplificado, pueden agruparse en: proceso automatizado diario de facturación
que genera los apuntes contables en la apli-
● Gestión y organización de las TI cación de contabilidad. ¿Hasta qué punto el
auditor podría confiar en esta información si
● Adquisición, desarrollo y mantenimiento identificamos que los listados no están sien-
de aplicaciones do adecuadamente probados en el momen-
to de su desarrollo, las incidencias en la eje-
● Producción y explotación de los sistemas cución de procesos automatizados no se re-
suelven debidamente, y un número signifi-
● Seguridad física y lógica en el acceso a cativo del personal de IT tiene acceso total
datos a nivel de redes de comunicacio- a las tablas con los datos de facturación y
nes, aplicaciones y bases de datos de contabilidad?

Los controles generales están destinados Tal y como se desprende de los ejemplos
principalmente a mitigar los siguientes ries- anteriores, las deficiencias de control identifi-
gos: cadas en la revisión de los controles genera-
les informáticos requieren de una evaluación
• El acceso no autorizado a datos que pue- detenida y rigurosa, con objeto de analizar el
da resultar en la eliminación o alteración posible impacto en la integridad de los datos
de información que generan las aplicaciones informáticas
afectadas y, más importante aún, el auditor
• Los errores en el funcionamiento de las debe evaluar el impacto sobre su enfoque de
aplicaciones informáticas, como conse- auditoría, evaluar hasta qué punto los proce-

pág
pd www.partidadoble.es
75
 especial auditoría nº 202 septiembre 2008

dimientos de auditoría ini- pongamos un proceso de

cialmente planifica- compras cuyo control
dos son suficien- interno se basa en
tes para dar res- el uso obligatorio
puesta al riesgo de proveedores
derivado de la homologados,
deficiencia de con- sobre los cuales
trol. Y, si procede, existen procedimien-
adecuar los procedimien- tos de control adecuados
tos de auditoría convenientemen- previos a su inclusión en el ma-
te, por ejemplo, a través del reenfoque de las estro de proveedores. En la revisión de los
pruebas sobre la validación de controles o controles automáticos del proceso se detecta
del incremento del trabajo sustantivo sobre que, para un tipo determinado de orden de
una determinada área. compra, la configuración de la aplicación per-
mite introducir un nuevo proveedor en el mo-
mento de procesar la orden, con independen-
2.2 Los controles de aplicación
cia de que el mismo esté dado de alta en el fi-
Los controles de aplicación pueden ser chero maestro de proveedores autorizados.
manuales o automatizados y operan, gene- Esta debilidad en el control automático esta-
ralmente, a nivel del proceso de negocio, blecido posibilita la introducción de proveedo-
considerando también cualquier proceso ex- res no autorizados y, en consecuencia, poten-
clusivamente relacionado con la contabilidad cialmente la realización de compras a provee-
y el reporting financiero. Son controles espe- dores ficticios. La evaluación del auditor re-
cíficos sobre las aplicaciones que generan quiere de un análisis más minucioso si, a raíz
los registros contables y su finalidad es ase- de esta deficiencia de control detectamos,
gurar razonablemente que todas las transac- además, que la compañía ha estado realizan-
ciones son autorizadas y registradas, y que do compras a estos proveedores no incluidos
son procesadas de forma completa, adecua- en el maestro autorizado.
da y oportuna.
Otro ejemplo, supongamos que en un
Los controles de aplicación se pueden proceso de ventas, en el momento de emitir
desarrollar mediante procedimientos manua- la factura al cliente, el sistema permite al
les, que pueden o no apoyarse en las aplica- personal del departamento de facturación la
ciones, o mediante procedimientos automáti- posibilidad de modificar a la baja la cantidad
cos diseñados en los propios programas in- entregada y, en consecuencia, el importe de
formáticos. El escenario más habitual en las la factura. Evidentemente, la práctica prolon-
empresas es que el control interno del proce- gada de esta transacción, con fines malin-
so informatizado se base en una combina- tencionados o simplemente por error, podría
ción de controles automáticos programados tener un impacto significativo sobre las ven-
en las aplicaciones, con controles manuales tas y las existencias contabilizadas. Final-
basados en información generada por los mente, supongamos que por un error en la
sistemas, para aquellas actividades de con- parametrización de un sistema ERP, las
trol que requieren de cierto juicio en su eje- ventas para un determinado tipo de pedido
cución. no están siendo contabilizadas en la cuenta
contable correcta, ocasionando además dife-
En la revisión del control interno en un en- rencias entre los auxiliares y la contabilidad
torno informatizado, del mismo modo que el general.
auditor no se plantea prescindir de la evalua-
ción de los controles manuales, tampoco de- Los ejemplos arriba expuestos, aunque
be prescindir de la evaluación de los contro- pueden ser algo sorprendentes, son algunos
les automáticos, sobre todo cuando éstos han de los muchos casos que nos hemos encon-
sido diseñados por la compañía para mitigar trado en el transcurso de nuestra carrera co-
riesgos del proceso y asegurar la integridad mo auditores de sistemas y procesos informa-
de la información. tizados, y que confirman que los sistemas in-
formáticos no siempre están programados y/o
Con respecto a la relevancia de los con- configurados como deberían, y que éstos re-
troles automáticos, y a modo de ejemplo, su- quieren de una especial atención en los pri-

pág
76
pd
 La auditoría de cuentas anuales
en entornos informatizados

meros años de implantación, en periodos de trato con el cliente, clasificación del aging de
cambios significativos en las aplicaciones, y clientes, etc.
en entornos de control interno informático po-
co evolucionados. Al igual que en los contro- Como se aprecia en estos ejemplos, los
les generales informáticos, las deficiencias cálculos que se realizan en procesos conta-
identificadas en los controles automáticos re- bles automatizados pueden llegar a ser bas-
quieren de su correspondiente análisis y eva- tante complejos y, en muchas ocasiones, la
luación del impacto en los procedimientos de validación por parte del auditor no es posible
auditoría. a través del muestreo, si se pretende un enfo-
que eficiente a la vez que un nivel de confort
Asimismo, y como hemos avanzado ante- significativo en el cálculo que realiza el siste-
riormente, con cierta frecuencia el auditor so- ma informático.
porta sus procedimientos en la efectividad de
controles manuales que se sustentan en in- En muchos de los casos, el auditor debe
formación generada por los sistemas informá- plantearse la opción de utilizar una herra-
ticos (informes de excepciones, informes de mienta de interrogación de ficheros, en la que
supervisión, etc.). Es evidente que la efectivi- es posible realizar procesos de réplica de cál-
dad de este control manual depende de la fia- culos complejos y ejecutar comparativas de
bilidad del informe utilizado en la ejecución de resultados. Estas pruebas pueden realizarse
dicho control. La validación de informes en para la totalidad de los registros y resulta un
entornos informatizados, sobre todo cuando procedimiento de auditoría clave en la valida-
éstos forman parte de controles clave del pro- ción independiente del sistema informático
ceso, requiere de una especial atención y ello por parte del auditor.
es objeto de un apartado específico en este
artículo.
2.4. Controles en interfases
En una auditoría de cuentas anuales en Además de los controles de aplicación
un entorno informatizado, en la que el audi- automáticos y los cálculos programados en
tor pretenda confiar en el control interno del las mismas aplicaciones, el auditor también
proceso informatizado, debe compaginarse debe tener en especial consideración las
la revisión de los controles de aplicación con
los controles generales, dado que, como he-
mos visto anteriormente, la dependencia en-
tre ambos componentes es absoluta. ESQUEMA 3
CONCEPTO DE CONTROLES EN UN ENTORNO
INFORMATIZADO EN SAP R/3
2.3. Procesos contables
automatizados El siguiente esquema ilustra las distintas capas que el auditor debe evaluar en un
entorno informatizado basado en el ERP SAP R/3, y en el cual se requiera confort
Los procesos contables automatizados en el control interno del proceso informatizado. La efectividad de los controles a ni-
son cálculos, clasificaciones, estimaciones o vel del proceso de negocio depende también de la efectividad de los controles ge-
nerales informáticos.
cualquier otro proceso contable que realiza
un sistema informático. A modo de ejemplo,
un proceso contable automatizado en el sec-
tor bancario, sería el cálculo de la provisión
para insolvencias por morosidad en función
Mangement
de las características y la situación de las Business &
operaciones, siguiendo los criterios estable- Process User controls
Controls
cidos por el Banco de España en las circula-
res que emite. Otro ejemplo, en el mismo Configurable controls

sector, sería el cálculo de las periodificacio-

Access Controls
nes de intereses para operaciones de Activo
y Pasivo. A pesar de que la complejidad de SAP Basis and Change Management
General
los procesos puede variar, no hace falta System
Controls Operating System security
pensar demasiado para hallar multitud de
Network and other IT infrastructure controls
otros ejemplos en la contabilidad de las em-
presas: los cálculos de amortización, la apli-
cación de tramos de facturación según con-

pág
pd www.partidadoble.es
77
 especial auditoría nº 202 septiembre 2008

« El escenario actual requiere que

el auditor considere los riesgos
2.5. Informes y hojas de cálculo
relevantes al reporting financiero

En el transcurso de la auditoría de cuen-

tas anuales, el auditor suele confiar en infor-
tecnológicos y el sistema de control mes generados por el sistema informático du-
rante la ejecución de distintos procedimientos
interno informático dentro de una « de auditoría, tales como:

• La validación de controles manuales

auditoría de cuentas anuales
• La validación de controles de supervisión

• La realización de pruebas sustantivas de

interfases entre aplicaciones y entre bases detalle
de datos. En este ámbito de control, mere-
cen una especial atención las interfases Cuando el auditor soporta sus procedi-
que, además, estén directamente relaciona- mientos de auditoría en informes generados
das con la aplicación de contabilidad gene- por el sistema informático, es de sentido co-
ral y de reporting financiero. Los controles mún que valide la fiabilidad e integridad de
de interfase son críticos para asegurar la in- la información contenida en estos informes.
tegridad de la información durante las trans- Esta validación debe realizarse, como míni-
misiones de datos entre sistemas como, por mo, la primera vez que se pretende confiar
ejemplo, entre un sistema logístico que re- en el informe o cuando se han producido
gistra las expediciones de mercancías y el cambios en los sistemas que puedan afectar
sistema de facturación que genera las factu- a la fiabilidad del informe. La validación pe-
ras en función de los datos de expedición riódica del informe en futuras auditorías de-
que recibe de la aplicación de logística. penderá de distintos criterios como, por
ejemplo, la relevancia del informe, pero tam-
Los controles de interfase pueden ser ma- bién, y como ya hemos mencionado con an-
nuales, por ejemplo a través de reconciliacio- terioridad, de la efectividad de los controles
nes totalmente manuales, o apoyarse en pro- generales informáticos.
cedimientos más automatizados que reconci-
lian automáticamente los datos entre los dos En la misma línea, el auditor debe tener
sistemas y que requieren de la revisión ma- en consideración el uso de hojas de cálculo
nual de un informe con los resultados del pro- relevantes al reporting financiero y, en conse-
ceso. El auditor debe evaluar si los controles cuencia, evaluar la fiabilidad de las mismas.
de interfase son adecuados y mitigan riesgos Es muy habitual en las empresas que los de-
de interfase, como la pérdida de datos por in- partamentos se apoyen en hojas de cálculo u
terrupción de las comunicaciones, duplicación otras bases de datos, externas al sistema de
de datos en el sistema destino, actualización información principal, para la realización de
del sistema destino con datos correspondien- cálculos, más o menos complejos, pero que
tes a un período incorrecto, etc. con frecuencia afectan de un modo significati-
vo a los datos de contabilidad general. En
El auditor debe evaluar los controles de nuestra experiencia como auditores, hemos
interfase desde un punto de vista de diseño identificado en varias ocasiones errores en
del control, como de la efectividad operativa hojas de cálculo, relativamente sencillas, con
del control de monitorización utilizado por la impacto potencial de un error material.
compañía. Además, el cruce de la informa-
ción de distintas aplicaciones y el análisis de Existen distintos procedimientos para la
la coherencia interna de los datos, mediante validación de informes y hojas de cálculo. El
la interrogación de ficheros y bases de datos recálculo y la interrogación de ficheros y ba-
utilizando técnicas de auditoría asistida por ses de datos a través de técnicas de auditoría
ordenador, es un procedimiento de auditoría asistida por ordenador, así como la revisión
que confiere un confort importante sobre la de fórmulas, son procedimientos habituales y
integridad de la información transmitida en- que confieren un confort razonable al auditor
tre distintos sistemas. financiero.

pág
78
pd
 La auditoría de cuentas anuales
en entornos informatizados

2.6. Segregación de funciones y responsabilidades que idealmente deberían

derechos de acceso en el sistema estar segregadas. En este caso, el auditor de-
informático berá evaluar los procedimientos alternativos o
compensatorios que mitiguen estos riesgos.
La evaluación del control interno en entor- No obstante, en cualquier caso, la entidad y
nos informatizados requiere también una revi- el auditor deben ser conscientes que la divi-
sión de la segregación de funciones y los de- sión de responsabilidades y la restricción de
rechos de acceso definidos en el sistema in- funciones del personal no es un aspecto ex-
formático. clusivamente relacionado con la organización
interna y ubicación física de las personas, si-
La división de responsabilidades y la res- no que, adicionalmente, requiere de una
tricción de funciones dentro de la entidad es apropiada definición de roles en las aplicacio-
un factor primordial en el control interno, y es- nes informáticas y los sistemas de gestión.
te aspecto toma una especial relevancia
cuando se trata de procesos de negocio infor-
3. LA INTEGRACIÓN DE
matizados. La entidad puede establecer pro-
ESPECIALISTAS Y FORMACIÓN DEL
cedimientos de control automáticos y manua- AUDITOR FINANCIERO
les, incluso disponer de un modelo organizati-
vo estricto que evite las incompatibilidades Dada la complejidad actual de los siste-
entre las funciones del personal. Sin embar- mas y las plataformas tecnológicas, el uso de
go, desviaciones en cuanto a la segregación especialistas auditores informáticos en la vali-
de funciones y el acceso lógico definido en el dación de los controles generales y los con-
sistema informático pueden hacer totalmente troles de aplicación y otros procesos automa-
inefectivo un determinado control y traducirse tizados resulta clave. Pero tan importante es
en transacciones de negocio no autorizadas, el conocimiento técnico del especialista, co-
fraude y malversaciones. mo la capacidad, por parte
del auditor financiero, de
Por ejemplo, supongamos un ciclo de entender cuándo y por-
compras tradicional donde las transacciones qué debe involucrarse al
de orden de compra, introducción de la factu- especialista. El auditor
ra del proveedor, y procesamiento del pago financiero debe apoyarse
están organizativamente segregadas en los en el auditor informático en el
departamentos correspondientes de Com- transcurso de la auditoría
pras, Facturación y Tesorería. En este esce- de cuentas anuales, pero
nario, la entidad puede disponer de controles este apoyo no debe con-
en el proceso de negocio de compras, pero la vertirse en una delegación
efectividad del control interno en dicho proce- total de la comprensión de los ries-
so podría cuestionarse si detectamos que la gos y los controles existentes en el
mayoría de los usuarios de las aplicaciones entorno informatizado.
disponen de acceso lógico a ejecutar el con-
junto de las transacciones anteriormente cita- La integración ‘auditor financie-
das y, por lo tanto, potencialmente realizar ro-auditor informático’ debe existir
una compra ficticia, aceptar la factura y pro- desde la fase de planificación de la au-
cesar el pago. ditoría, en la que se realiza la evaluación
inicial de riesgos y se determina el enfoque
Cuando el auditor considera que la segre- de auditoría, hasta la fase de conclusiones en
gación de funciones es importante para miti- la ejecución del plan de auditoría, donde, a
gar los riesgos identificados a nivel de aser- raíz de las deficiencias detectadas, debe
ción, el riesgo de fraude o de error en los es- valorarse conjuntamente si el nivel
tados financieros, el análisis del acceso lógico de confort en el control interno
en las aplicaciones informáticas requiere de del entorno informatizado es
una especial atención. el inicialmente previsto por
el auditor. El análisis
Es totalmente comprensible que la dimen- conjunto debe llevar al
sión de la entidad, su organización interna, y auditor a determinar si
otros factores varios ocasionen que, frecuen- los aspectos de con-
temente, las empresas combinen funciones y trol identificados

pág
pd www.partidadoble.es
79
 especial auditoría nº 202 septiembre 2008

requieren de procedimientos adicionales de zados, herramientas de soporte a la auditoría

auditoría, previsiblemente, de naturaleza más y, en general, en estándares de auditoría bajo
sustantiva. entornos informatizados. Asimismo, el auditor
financiero debe obtener un nivel de formación
El éxito de una auditoría de cuentas anua- suficiente en tecnología que le permita perder
les efectiva y eficiente en un entorno altamente el miedo que, en ocasiones, le genera el inten-
informatizado radica en el nivel de integración tar comprender los sistemas informáticos de
del auditor financiero con el auditor informático. una organización y su relación con los proce-
Esta integración de capacidades lleva a un sos de negocio y los estados financieros.
nuevo perfil del auditor financiero, que aprove-
cha el uso de procedimientos y técnicas de au- Tampoco pretendemos que un auditor fi-
ditoría para hacer eficiente la auditoría en un nanciero, generalmente, con formación en
entorno informatizado. A la vez que no obvia, ciencias económicas o empresariales, se con-
durante las fases de evaluación de riesgos, vierta en un experto en tecnología (para ello
aquellos riesgos derivados del uso intensivo de ya tiene a los especialistas), pero sí que ten-
las tecnologías de información en el proceso ga una formación suficiente para evitar actitu-
de negocio que genera los datos contables. des que consideran que los sistemas informá-
ticos son, simplemente, una ‘caja negra’ en
El perfil generalizado del auditor financiero su proceso de auditoría de cuentas anuales,
actual está todavía demasiado lejos de este cuya revisión alternativa es simplemente la
perfil ideal, que combina conocimientos en au- realización de pruebas sustantivas.
ditoría de cuentas y en auditoría de sistemas y
procesos informatizados. El auditor actual re-
4. HERRAMIENTAS DE SOPORTE
quiere de una mayor formación en riesgos tec-
AL AUDITOR
nológicos, en controles en procesos informati-
En la evaluación de sistemas y procesos
informatizados, el auditor puede soportar la
ejecución de los procedimientos de auditoría
a través de distintas herramientas. El uso de
ESQUEMA 4
herramientas de auditoría se basa en la infor-
PROCESO DE GENERACIÓN DE INFORMACIÓN mación extraída directamente de los sistemas
Como se puede ver el proceso de generación de información en una empresa se de la compañía, e incluso, de los datos conta-
asemeja a la estructura de una caja, en la que la base es la infraestructura tecno-
lógica que soporta las aplicaciones, que a su vez soportan los procesos de nego-
bles que provienen de aplicativos o servido-
cios que generan la información contable. res de información.

Algunos de los beneficios en el uso de

estas herramientas son:

✓ Facilidad de manejo de grandes volúme-

nes de datos

✓ Mayor cobertura y alcance de las pruebas

✓ Aprovechamiento de la informatización de
datos de las empresas

✓ Fiabilidad de los datos obtenidos

✓ Manejabilidad de los datos

✓ Rapidez en el procesamiento de los datos

Las herramientas de auditoría asististida

por ordenador (CAATs - Computer Assisted
Audit Tools) son softwares específicos que
permiten un cierto nivel de programación y
poder procesar rutinas y cálculos, de cierta

pág
80
pd
 La auditoría de cuentas anuales
en entornos informatizados

complejidad, sobre volúmenes significativos

de datos. Estas herramientas son útiles para
ejecutar procedimientos de auditoría en dis-
tintos ámbitos, tales como la validación de
procesos contables automatizados, fiabilidad
« El perfil del auditor financiero
actual está aún demasiado lejos del
de las interfases, fiabilidad de informes, así ideal, que combina conocimientos
como la realización de procedimientos sus-
tantivos y pruebas de detalle.
en auditoría de cuentas y
El uso de CAATs se extiende también en
la ejecución de los procedimientos de audito- auditoría de sistemas y «
ría en relación a la consideración, por parte
del auditor, de los riesgos de error material procesos informatizados
debido a fraude (ISA 240 - The auditor’s res-
ponsibility to consider fraud in an audit of fi-
nancial statements). Por ejemplo, los procedi-
mientos de auditoría sobre la posible manipu-
lación de los estados financieros a través de de negocio y éstos, a su vez, se ven afecta-
la introducción de apuntes manuales pueden dos por la fiabilidad de los sistemas y proce-
verse significativamente reforzados mediante sos informáticos que los soportan.
el análisis de la totalidad de estas transaccio-
nes manuales en base a criterios varios (ajus- En procesos y sistemas complejos, la ten-
tes por encima de la materialidad, apuntes in- dencia hacia un enfoque de auditoría basado
troducidos con posterioridad al corte del ejer- en la confianza en controles, y la reducción
cicio, Ley de Benford, etc.) . gradual de horas en el trabajo sustantivo, de-
bería ser el proceso natural, si se pretende la
También existe una variedad de herra- eficiencia y efectividad en los procedimientos
mientas de auditoría específicas por platafor- del auditor, a la vez que se tienen en conside-
ma tecnológica y por ERP, que pueden apo- ración los riesgos tecnológicos derivados de
yar al auditor en la evaluación de la seguri- un entorno informatizado.
dad, el acceso lógico y la segregación de fun-
ciones, e incluso en el análisis de la configu- La ejecución de una auditoría de cuentas
ración de los controles automáticos en deter- anuales con un enfoque eficiente y adecuado
minadas aplicaciones. en controles incrementa el conocimiento de
los procesos de negocio por parte del auditor,
En entornos cada vez más informatizados, y la posibilidad de agregar valor al cliente den-
la evolución natural de los procedimientos de tro del proceso de auditoría, por una parte, a
auditoría encaminados a la obtención de las través de recomendaciones de control interno,
evidencias del auditor, se orienta hacia técni- y por otra, a través de soluciones derivadas
cas cada vez más automatizadas que incorpo- de una mayor comprensión de los problemas
ran métodos, dentro del concepto de auditoría con los que se enfrenta el cliente. Este segun-
en tiempo real, basados en inteligencia artificial do aspecto es cada vez más importante y más
y análisis de modelos de comportamiento, para reclamado por parte del mercado a la profe-
la detección de fraude o de transacciones inu- sión de auditor financiero. Nuestros clientes
suales en los estados financieros. requieren que les demos confianza sobre la
fiabilidad y razonabilidad de la información
contable y de gestión que utilizan para la toma
5. CONCLUSIONES
de decisiones, y que alimentan los reportes e
En el escenario empresarial actual, el gra- informes que emiten al exterior: cuentas anua-
do de dependencia de la información contable les, memoria social, informes de responsabili-
y de gestión en los sistemas y procesos infor- dad social corporativa, informes a regulado-
matizados requiere que el auditor financiero res, etc. Todo ello en un marco de auditoría
considere los riesgos tecnológicos y el siste- efectiva y eficiente realizada en el menor tiem-
ma de control interno informático dentro del po posible, lo que sólo se puede conseguir,
contexto de una auditoría de cuentas anua- generalmente, bajo enfoques que incluyen la
les. La información financiera y de gestión se auditoría de los sistemas y procesos informati-
ve afectada por la fiabilidad de los procesos zados de las compañías. ✽

pág
pd www.partidadoble.es
81