DPA 1013

DECLARACIN DE PRCTICAS DE AUDITORA 1013

COMERCIO ELECTRNICOEFECTO EN LA AUDITORA DE ESTADOS
FINANCIEROS

CONTENIDO
Prrafos
1-5

Habilidades y conocimiento.

6-7

AU
B

Introduccin.

8-18

Identificacin del riesgo

19-24

Consideraciones del control interno..

25-34

El efecto de los registros electrnicos en la evidencia de auditora.....

35-36

VA
D

Conocimiento del negocio

R
ES
ER

Fecha de vigencia

Guas para la aplicacin de las NAs cuando una entidad use una red pblica, como internet,
para el comercio electrnico, y

ER
EC

a)

Esta declaracin proporciona:

O
S

Declaracin de Prctica de Auditora (DPA) 1013, Comercio Electrnico-Efecto en la Auditora de

Estados Financieros, deber leerse en el contexto del "Prefacio a las Normas sobre Control de
Calidad, Auditora, Otros trabajos para atestiguar y Servicios Relacionados", que expone la
aplicacin y la autoridad de las NIA.

b) Material para enriquecer la conciencia sobre asuntos de auditora de los estados financieros en
esta rea en rpido desarrollo.

DPA 1013
DECLARACIN DE PRCTICAS DE AUDITORA 1013
COMERCIO ELECTRNICOEFECTO EN LA AUDITORA DE ESTADOS
FINANCIEROS
Introduccin

AU
B

1. El propsito de esta Declaracin de Prcticas de Auditora es proporcionar guas para ayudar a

los auditores de los estados financieros cuando una entidad participe en una actividad comercial
que tenga lugar mediante computadoras conectadas a una red pblica, como internet (ecommerce, en ingls: comercio electrnico1). Los lineamientos de esta Declaracin son
particularmente relevantes para la aplicacin de la NA 300, Planeacin, la NIA 310,
Conocimiento del Negocio2 y la NIA 400, Evaluacin del Riesgo y Control Interno3.

VA
D

2. Esta Declaracin identifica asuntos especficos para ayudar al auditor cuando considera la
importancia del comercio electrnico para las actividades de negocios de la entidad y el efecto
del comercio electrnico en las evaluaciones del riesgo por los auditores con el fin de formarse
una opinin sobre los estados financieros. El propsito de la consideracin del auditor no es
formarse una opinin o proporcionar recomendaciones de consultora concernientes a los
sistemas o actividades de comercio electrnico de la entidad en s mismos.

O
S

R
ES
ER

3. Las comunicaciones y transacciones en redes y mediante computadoras no son caractersticas

nuevas del entorno de los negocios. Por ejemplo, los procesos de negocios frecuentemente
implican interaccin con una computadora remota, el uso de redes de computadoras, o
intercambio electrnico de datos (EDI, en ingls IED, en espaol). Sin embargo, el creciente
uso de la internet para comercio electrnico de negocio a consumidor, negocio a negocio,
negocio a gobierno y negocio a empleado introduce nuevos elementos de riesgo de los que debe
ocuparse la entidad y que el auditor debe considerar al planear y desempear la auditora de los
estados financieros.

ER
EC

4. Internet se refiere a la red mundial de redes de computadoras, es una red pblica compartida
que permite la comunicacin con otras entidades e individuos en todo el mundo. Es
interoperable, lo que quiere decir que cualquier computadora conectada a internet puede
comunicarse con cualquier otra computadora conectada a esta red de red. Internet es una red
pblica, en contraste con una red privada que slo permite acceso a personas o entidades
autorizadas. El uso de una red pblica introduce riesgos especiales de los que debe ocuparse
la entidad. El crecimiento de la actividad de internet sin la debida atencin por la entidad a
1

El trmino comercio electrnico (e-commerce, en ingls) se usa en esta DPA. Tambin se usa comnmente negocio
electrnico (e-business) en un contexto similar. No hay definiciones generalmente aceptadas de estos trminos, y
comercio electrnico y negocio electrnico a menudo se utilizan en forma intercambiable. Cuando se hace
distincin, comercio electrnico a veces se usa para referirse nicamente a actividades de transacciones (como la
compra y venta de bienes y servicios) y negocio electrnico se usa para referirse todas las actividades de negocios,
tanto de transacciones como no de transacciones, tales como las relaciones y comunicaciones con clientes.

La NIA 310, "Conocimiento del negocio", fue derogada y reemplazada por la NIA 315, "Entendimiento de la entidad
y su entorno y evaluacin de los riesgos de representacin errnea de importancia relativa".

La NIA 400 Evaluaciones de riesgo y control interno fue derogada en derogada y reemplazadas por la NIA 315,
Entendimiento de la Entidad y su entorno y evaluacin de los riesgos de representacin errnea de importancia
relativa y la NIA 330, Procedimiento del auditor en respuesta de los riesgos evaluados.

dichos riesgos puede afectar la evaluacin del riesgo por el auditor.

5. Aunque esta Declaracin se ha redactado para situaciones donde la entidad participa en
actividad comercial por una red pblica como internet, muchos de los lineamientos que
contiene pueden tambin aplicarse cuando la entidad usa una red privada. De modo similar,
aunque muchos de los lineamientos sern tiles cuando se audite a entidades formadas
principalmente para actividades de comercio electrnico (a menudo llamadas "punto coms" o
"dot coms", en ingls), no pretende referirse a todos los temas de auditora que se trataran en el
examen de esas organizaciones.
Habilidades y conocimiento

Entender hasta dnde pueden afectar a los estados financieros:

AU
B

6. El nivel de habilidades y conocimiento requerido para entender el efecto del comercio

electrnico en la auditora variar con la complejidad de las actividades de comercio electrnico
de la entidad. El auditor considera si el personal asignado al trabajo tiene conocimiento
apropiado de TI (Tecnologa de la Informacin)4 y de negocios por internet para desempear la
auditora. Cuando el comercio electrnico tiene un efecto importante en el negocio de la
entidad, pueden requerirse niveles apropiados tanto de TI como de negocios por internet para:

VA
D

La estrategia y actividades de comercio electrnico de la entidad;

R
ES
ER

La tecnologa usada para facilitar las actividades de comercio electrnico de la entidad

y las habilidades y conocimiento de TI del personal de la entidad;

O
S

Los riesgos implicados en el uso del comercio electrnico por la entidad y su enfoque
para administrarlos, particularmente lo adecuado del sistema de control interno, la
infraestructura de seguridad incluida y los controles relacionados, ya que afecta al
proceso de informacin financiera;

ER
EC

Determinar la naturaleza, oportunidad y extensin de los procedimientos de auditora y

evaluar la evidencia de auditora;

7.

Considerar el efecto de que la entidad dependa de actividades de comercio electrnico

sobre su capacidad de continuar como un negocio en marcha.
En algunas circunstancias, el auditor puede tomar la decisin de usar el trabajo de un experto,
por ejemplo, si considera apropiado poner a prueba los controles tratando de penetrar los
estratos de seguridad del sistema de la entidad (prueba de vulnerabilidad o penetracin).
Cuando se usa el trabajo de un experto, el auditor obtiene suficiente evidencia apropiada de
auditora de que dicho trabajo es adecuado para fines de la auditora, de acuerdo con la NA
620, Uso del Trabajo de un Experto. El auditor tambin considera cmo se integra el trabajo
de un experto con el trabajo de otros en la auditora, y qu procedimientos se llevan a cabo
respecto de los riesgos identificados a travs del trabajo del experto.

La Gua Internacional de Educacin IEG 11, Tecnologa de la Informacin en el Currculo de Contabilidad emitida
por el Comit de Educacin de la IFAC, que define las reas ampliar de contenido y las habilidades y conocimiento
especfico que requieren todos los contadores profesionales en conexin con TI aplicada en un contexto de negocios,
puede ayudar al auditor a identificar las habilidades y conocimientos apropiados.

Conocimiento del negocio

La NIA 3105, requiere que el auditor obtenga conocimiento del negocio que sea suficiente
para permitirle al auditor identificar y entender los hechos, transacciones y prcticas que
puedan tener un efecto importante en los estados financieros o en el dictamen de auditora. El
conocimiento del negocio incluye un conocimiento general de la economa y de la industria
dentro de la que opera la entidad. El crecimiento del comercio electrnico puede tener un
efecto importante en el entorno del negocio tradicional de la entidad.

9.

El conocimiento del negocio por el auditor es fundamental para evaluar la importancia del
comercio electrnico para las actividades de la entidad y cualquier efecto en el riesgo de
auditora. El auditor considera cambios en el entorno de negocios de la entidad atribuibles al
comercio electrnico, y los riesgos de negocios del comercio electrnico identificados hasta
ahora, en cuanto afectan a los estados financieros. Aunque el auditor obtenga mucha
informacin de investigaciones con los responsables de la informacin financiera, puede
tambin ser til hacer investigaciones con personal implicado directamente en las actividades
de comercio electrnico de la entidad, tales como el Director de Informacin o su equivalente.
Al obtener o actualizar el conocimiento del negocio de la entidad, el auditor considera lo
siguiente, en cuanto afecte a los estados financieros:

VA
D

Las actividades de negocios e industria de la entidad (prrafos 10-12);

La estrategia de comercio electrnico de la entidad (prrafo 13);

R
ES
ER

AU
B

8.

La extensin de las actividades de comercio electrnico de la entidad (prrafos 14-16); y

Los arreglos de subcontratacin (outsourcing) de la entidad (prrafos 17-18).

O
S

Cada uno de stos se discute adelante.

ER
EC

Las actividades de negocios e industria de la entidad

Las actividades de comercio electrnico pueden ser complementarias para la actividad
tradicional de negocios de una entidad. Por ejemplo, la entidad puede usar internet para
vender productos convencionales (como libros o discos compactos [CD]), entregados por
mtodos convencionales segn un contrato ejecutado en internet. En contraste, el comercio
electrnico puede representar una nueva lnea de negocios y la entidad puede usar su sitio
web tanto para vender como para entregar productos digitales va internet.

11.

Internet no tiene las lneas geogrficas de trnsito fijas y claras que tradicionalmente han
caracterizado el comercio fsico de mercancas y servicios. En muchos casos, particularmente
cuando los bienes y servicios pueden entregarse va internet, el comercio electrnico ha
podido reducir o eliminar muchas de las limitaciones impuestas por el tiempo y la distancia.

12.

Ciertas industrias son ms adecuadas para el uso del comercio electrnico; por lo tanto,
comercio dicho en estas industrias est en una fase de mayor madurez de desarrollo. Cuando
la industria de una entidad ha sido influida de manera importante por el comercio electrnico
por internet, pueden ser mayores los riesgos del negocio que afecten a los estados financieros.

10.

Ver nota 2.

Ejemplos de industrias que estn siendo transformadas por el comercio electrnico incluyen:
Software de computadoras;
Operacin de valores;
Banca;
Servicios de viajes;
Libros y revistas;

Msica grabada;

Publicidad;

Medios de noticias; y

AU
B

Educacin.

R
ES
ER

VA
D

La estrategia de comercio electrnico de la entidad, incluida la manera en que usa TI para el

comercio electrnico y su evaluacin de los niveles aceptables de riesgo, pueden afectar la
seguridad de los registros financieros as como la integridad y confiabilidad de la informacin
financiera producida. Los asuntos que pueden ser relevantes para el auditor cuando considera
la estrategia de comercio electrnico de la entidad en el contexto de su entendimiento del
control interno, incluyen:

O
S

Implicacin de los encargados del mando al considerar la alineacin de actividades de

comercio electrnico con la estrategia global de negocios de la entidad;

ER
EC

Si el comercio electrnico soporta una nueva actividad para la entidad, o si se propone

hacer ms eficientes las actividades existentes o alcanzar nuevos mercados para las
mismas;
Fuentes de ingresos para la entidad y cmo cambian stas (por ejemplo, si la entidad
actuar como principal o como agente de los bienes o servicios que se venden);

13.

Adems, muchas otras industrias, en todos los sectores de negocios, se han visto afectadas de
manera importante por el comercio electrnico.
La estrategia de comercio electrnico de la entidad

La evaluacin de la administracin de cmo afecta el comercio electrnico, las utilidades

de la entidad y sus requerimientos financieros;
La actitud de la administracin hacia el riesgo y cmo puede afectar esto el perfil de riesgo
de la entidad;
El grado al que ha identificado la administracin las oportunidades y riesgos del comercio
electrnico en una estrategia documentada que es soportada por controles apropiados, o si
el comercio electrnico est sujeto a un desarrollo ad hoc que responde a oportunidades y
riesgos cuando surgen; y
El compromiso de la administracin con cdigos relevantes de buena prctica o programas
de web seal (de proteccin o sellado de red).

La extensin de las actividades de comercio electrnico de la entidad

14.

Diferentes entidades usan el comercio electrnico de diferentes maneras; por

ejemplo, podra usarse para:
Suministrar slo informacin sobre la entidad y sus actividades, a la cual pueden acceder
terceras partes como inversionistas, clientes, proveedores, proveedores de financiacin, y
empleados;
Facilitar transacciones con clientes establecidos en las que las transacciones son
concertadas va internet;
Obtener acceso a nuevos mercados y nuevos clientes al proporcionar informacin y

AU
B

procesamiento de las transacciones va internet;

Acceder a Proveedores de Servicios de Solicitudes (Application Service Providers, ASP, en

ingls); y

Crear un modelo de negocios enteramente nuevo.

El grado de uso del comercio electrnico afecta la naturaleza de los riesgos de los que debe
ocuparse la entidad. Pueden surgir temas sobre seguridad siempre que la entidad tiene un sitio
web. An si no hay acceso interactivo de terceras partes, las pginas de slo informacin
pueden brindar un punto de acceso a los registros financieros de la entidad. Puede esperarse
que la infraestructura de seguridad y los controles relacionados sean ms extensos donde el
sitio web se use para hacer transacciones con socios de negocios, o donde los sistemas estn
altamente integrados (ver prrafos 32 - 34).

16.

Al implicarse ms una entidad en el comercio electrnico, y al hacerse ms integrados y

complejos sus sistemas internos, se hace ms probable que las nuevas formas de hacer
transacciones de negocios difieran de las formas tradicionales de actividad de negocios y que
introduzcan nuevos tipos de riesgos.

ER
EC

O
S

R
ES
ER

VA
D

15.

Los arreglos de subcontratacin de la entidad

18.

Muchas entidades no tienen la pericia tcnica para establecer y operar los sistemas internos
que se necesitan para emprender el comercio electrnico. Estas entidades pueden depender
de organizaciones de servicios como Proveedores de Servicios de Internet (ISP, en ingls),
Proveedores de Servicios de Solicitudes (ASP) y las compaas anfitrionas de datos para que
les proporcionen muchos o todos los requerimientos de TI del comercio electrnico. La
entidad puede tambin usar organizaciones de servicios para otras diversas funciones en
relacin con sus actividades de comercio electrnico como tomar pedidos, entrega de
mercancas, operacin de centros de llamadas y ciertas funciones de contabilidad.

17.

Cuando la entidad usa una organizacin de servicios, ciertas polticas, procedimientos y

registros mantenidos por la organizacin de servicios pueden ser relevantes para la auditora
de los estados financieros de la entidad. El auditor considera los arreglos de subcontratacin
que usa la entidad para identificar cmo responde la entidad a los riesgos que se originan de
las actividades subcontratadas. La NA 402, Consideraciones de Auditora Relativas a
Entidades que utilizan Organizaciones de Servicios proporciona lineamientos para evaluar el

efecto que la entidad de servicio tiene en el riesgo de control.

Identificacin del riesgo
19.

La administracin se enfrenta a muchos riesgos de negocio relativos a las actividades de

comercio electrnico de la entidad, que incluye:
Prdida de integridad de la transaccin, cuyos efectos pueden ser ms complejos por la
falta de un rastro de auditora adecuado ya sea en papel o en forma electrnica;
Riesgos de seguridad muy invasivos del comercio electrnico, incluidos los ataques de
virus y el potencial de que la entidad sufra fraude de parte de clientes, empleados y otros a
travs del acceso no autorizado;

AU
B

Polticas contables impropias relacionadas, por ejemplo, con capitalizacin de gastos como
costo de desarrollo de sitios web, poco entendimiento de convenios contractuales
complejos, riesgo de traspaso de ttulos, conversin de moneda extranjera, reservas para
garantas o devoluciones y asuntos de reconocimiento de ingresos, tales como:

Si la entidad acta como principal o como agente y si se reconocern ventas brutas o

slo comisiones;

R
ES
ER

VA
D

Si se da espacio de publicidad a otras entidades en el sitio web de la organizacin,

cmo se determinan y liquidan los ingresos (por ejemplo, con el uso de transacciones
de intercambio);
El tratamiento de descuentos por volumen y por ofertas de introduccin (por ejemplo,
mercancas gratis por cierta cantidad);

O
S

Corte (por ejemplo, si las ventas slo se reconocen cuando las mercancas se han
surtido y los servicios se han prestado);

ER
EC

Incumplimiento de requisitos sobre impuestos y de otros requisitos legales y de

reglamentacin, particularmente cuando las transacciones de comercio electrnico por
internet se conducen a travs de fronteras internacionales;

Omisin en asegurarse de que los contratos cuya nica evidencia es electrnica, sean
vinculantes;
Exceso de dependencia del comercio electrnico al colocar sistemas importantes de
negocios u otras transacciones de negocios en internet; y
Fallas o "colapsos" de sistemas e infraestructura.
20.

La entidad se ocupa de ciertos riesgos del negocio que se originan en el comercio electrnico
mediante la implementacin de una infraestructura apropiada de seguridad y controles
relacionados, lo que generalmente incluye medidas para:
Verificar la identidad de clientes y proveedores;
Asegurar la integridad de las transacciones;

 Obtener el acuerdo sobre trminos de la operacin, incluyendo acuerdo sobre entrega y

trminos de crdito y procesos de resolucin de pleitos, que pueden referirse a rastreo de
transacciones y procedimientos para asegurar que una de las partes de la transaccin no
pueda despus negar haber convenido en los trminos especificados (procedimientos de
no repudio);
Obtener pago de, o asegurar las facilidades de crdito para, los clientes; y
Establecer protocolos de proteccin de privacidad e informacin.
El auditor usa el conocimiento que obtuvo del negocio para identificar los hechos,
transacciones y prcticas relacionados con riesgos del negocio que se originan por las
actividades de comercio electrnico de la entidad que, ajuicio del auditor, pueden dar como
resultado una representacin errnea de los estados financieros o tener un efecto importante
en los procedimientos del auditor o en el dictamen de auditora.

AU
B

21.

Todava no existe un marco de referencia legal internacional integral para el comercio

electrnico y una infraestructura enciente para soportar dicho marco (firmas electrnicas,
registros de documentos, mecanismos para litigios, proteccin del consumidor, etc.) Los
marcos de referencia legal en diferentes jurisdicciones varan en su reconocimiento del
comercio electrnico. No obstante, la administracin necesita considerar asuntos legales y de
reglamentacin relacionados con las actividades de comercio electrnico de la entidad, por
ejemplo, si la entidad tiene mecanismos adecuados para reconocimiento de obligaciones de
impuestos, particularmente impuestos sobre ventas o al valor agregado, en diversas
jurisdicciones. Los factores que pueden dar origen a impuestos sobre transacciones de
comercio electrnico incluyen el lugar donde:

O
S

R
ES
ER

VA
D

22.

Asuntos legales y de reglamentacin

Est legalmente registrada la entidad;

ER
EC

Tienen base sus operaciones fsicas;

Se localiza su servidor de web:

Se surten sus mercancas y servicios; y

Se localizan sus clientes o se entregan sus mercancas y servicios.
Todos stos pueden estar en diferentes jurisdicciones. Esto puede dar origen a un riesgo de
que los impuestos debidos sobre transacciones entre jurisdicciones no se reconozcan de modo
apropiado.
23.

Los asuntos legales o de reglamentacin que pueden ser particularmente relevantes en un

entorno de comercio electrnico incluyen:
Adhesin a requerimientos de privacidad nacional e internacional;
Adhesin a requerimientos nacionales e internacionales para industrias reguladas;

 La obligatoriedad de los contratos;

La legalidad de ciertas actividades, por ejemplo, juegos de azar por internet;
El riesgo de lavado de dinero; y
Violacin de derechos de propiedad intelectual.
La NA 250, Consideracin de Leyes y Reglamentos en una Auditora de Estados Financieros
requiere que al planear y desempear procedimientos de auditora y al evaluar y dictaminar
los resultados de los mismos, el auditor reconozca que el incumplimiento por parte de la
entidad de las leyes y reglamentos puede afectar en una manera de importancia relativa los
estados financieros. La NA 250 tambin requiere que, para planear la auditora, el auditor
deber lograr una comprensin general del marco de referencia legal y de reglamentacin
aplicable a la entidad y a la industria y de cmo est cumpliendo la entidad con dicho marco
de referencia. Este marco de referencia puede, en las circunstancias particulares de la entidad,
incluir ciertos temas legales y de reglamentacin relacionados con sus actividades de
comercio electrnico. Mientras que la NA 250 reconoce que no puede esperarse que una
auditora detecte el incumplimiento de todas las leyes y reglamentaciones, se requiere
especficamente que el auditor desempee procedimientos para ayudar a identificar casos de
incumplimiento de dichas leyes y reglamentaciones donde el incumplimiento deber
considerarse al preparar los estados financieros. Cuando surge un asunto legal o de
reglamentacin que, a juicio del auditor, pueda dar como resultado una representacin
errnea de importancia relativa de los estados financieros o tener un efecto importante en los
procedimientos del auditor o en el dictamen de auditora, el auditor considera la respuesta de
la administracin al asunto. En algunos casos, puede ser necesario el consejo de un abogado
con pericia particular en asuntos de comercio electrnico al considerar asuntos legales y de
reglamentacin que surjan de la actividad de comercio electrnico de una entidad.

R
ES
ER

VA
D

AU
B

24.

O
S

Consideraciones de control interno

Los controles internos pueden usarse para aliviar muchos de los riesgos asociados con
actividades de comercio electrnico. De acuerdo con la NIA 4006, el auditor considera el
entorno de control y los procedimientos de control que la entidad ha aplicado a sus
actividades de comercio electrnico al grado en que sean relevantes para las aseveraciones de
los estados financieros. En algunas circunstancias, por ejemplo, cuando los sistemas de
comercio electrnico son altamente automatizados, cuando los volmenes de transacciones
son altos o cuando no se retiene evidencia electrnica que comprenda el rastro de la auditora,
el auditor puede determinar que no es posible reducir el riesgo de auditora a un nivel bajo
aceptable usando slo procedimientos sustantivos. A menudo, en estas circunstancias se usan
TAACs (Tcnicas de Auditora con Ayuda de Computadora; CAAT, en ingls) (referirse a la
DIPA 1009, Tcnicas de Auditora con Ayuda de Computadora)7.

26.

Igual que ocuparse de la seguridad, la integridad de la transaccin y alineacin del proceso,

segn se analiza adelante, los siguientes aspectos del control interno son particularmente
relevantes cuando la entidad participa en el comercio electrnico:

ER
EC

25.

Mantener la integridad de los procedimientos de control en el entorno rpidamente cambiante

6
7

Ver nota 3.
La DIPA 1009, Tcnica de Auditoria con ayuda de Computadora, fue derogada.

del comercio electrnico;

Asegurar el acceso a registros relevantes para las necesidades de la entidad y para fines de
auditora.
Seguridad
La infraestructura de seguridad y los controles relativos de la entidad son una caracterstica
particularmente importante de su sistema de control interno cuando partes externas tienen la
capacidad de acceder al sistema de informacin de la entidad utilizando una red pblica como
internet. La informacin est segura al grado en que se hayan satisfecho los requisitos para su
autorizacin, autenticidad, confidencialidad, integridad, no repudio y disponibilidad.

28.

La entidad ordinariamente se ocupar de riesgos de seguridad relacionados con el registro y

procesamiento de transacciones de comercio electrnico a travs de su infraestructura de
seguridad y los controles relacionados. La infraestructura de seguridad y los controles
relacionados pueden incluir una poltica de seguridad de la informacin, una evaluacin del
riesgo de seguridad de la informacin, as como normas, medidas, prcticas y procedimientos
dentro de los cuales los sistemas individuales se introducen y mantienen, incluyendo tanto
medidas fsicas como salvaguardas lgicas y otras salvaguardas tcnicas como identificadores
de usuarios, contraseas y "cortafuegos" (firewalls: sistema de seguridad que protege una red
cerrada). Al grado en que sean relevantes para las aseveraciones de los estados financieros el
auditor considera asuntos como:

VA
D

AU
B

27.

El uso efectivo de cortafuegos (firewall) y software de proteccin contra virus para

proteger sus sistemas de la introduccin de software daino o no autorizado, datos u
otro material en forma electrnica,

El uso efectivo de codificacin, incluyendo tanto:

Mantener la privacidad y seguridad de transmisiones mediante, por
ejemplo, autorizacin de claves de descifrado; como

ER
EC

O
S

R
ES
ER

Controles sobre el desarrollo e implementacin de sistemas utilizados para soportar

actividades de comercio electrnico;

Prevenir el mal uso de tecnologa de codificacin mediante, por ejemplo,

control y salvaguarda de claves privadas de descodificacin;

Si los controles de seguridad instalados siguen siendo efectivos al estar disponibles

nuevas tecnologas que pueden usarse para atacar la seguridad de internet;

Si el entorno de control soporta los procedimientos de control implementados. Por

ejemplo, mientras que algunos procedimientos de control, como los sistemas
digitales de codificacin certificados, pueden ser tcnicamente avanzados, pueden
no ser efectivos si operan dentro de un entorno de control inadecuado.

Integridad de la transaccin
29.

El auditor considera que la informacin proporcionada para registro y procesamiento en los

registros financieros de la entidad est completa, sea exacta, oportuna y autorizada (integridad

10

de la transaccin). La naturaleza y el nivel de sofisticacin de las actividades de comercio

electrnico de una entidad influyen en la naturaleza y extensin de los riesgos relacionados
con el registro y procesamiento de las transacciones de comercio electrnico.
Los procedimientos de auditora respecto de la integridad de la informacin en sistema de
contabilidad relativa a transacciones de comercio electrnico, se refieren principalmente a la
evaluacin de la confiabilidad de los sistemas en uso para capturar y procesar dicha
informacin. En un sistema sofisticado, la accin de origen, por ejemplo, recibo del pedido de
un cliente por internet, automtica mente iniciar todos los otros pasos del procesamiento de
la transaccin. Por lo tanto, en contraste con los procedimientos de auditora para actividades
tradicionales de negocios, que ordinariamente se centran por separado en procesos de control
relativos a cada etapa de la captura y procesamiento de la transaccin, los procedimientos de
auditora para el comercio electrnico sofisticado a menudo se centran en controles
automatizados que se relacionan con la integridad de las transacciones al capturarse y luego
inmediata y automticamente procesarse.

31.

En un entorno de comercio electrnico, los controles relativos a la integridad de la

transaccin a menudo se disean por ejemplo para:

AU
B

30.

Validar datos de entrada;

Prevenir duplicacin u omisin de las transacciones;

Asegurar que los trminos de la operacin se han convenido antes de que se procese
un pedido, incluyendo entrega y trminos de crdito que pueden requerir, por
ejemplo, que se obtenga el pago cuando se coloca un pedido;

Distinguir entre surfear (browsing, en ingls) de los clientes y pedidos colocados,

asegurarse que una parte en la transaccin no pueda ms tarde negar haber estado de
acuerdo con los trminos especificados (no repudio) y asegurar que las transacciones
sean con partes aprobadas cuando sea apropiado;

Prevenir el procesamiento incompleto asegurndose que todos los pasos se completen

y registren (por ejemplo, para una transaccin de negocio a consumidor: pedido
aceptado, pago recibido, mercanca/servicio entregado y sistema de contabilidad
actualizado) o si no se completan y registran todos los pasos, rechazando el pedido;

ER
EC

O
S

R
ES
ER

VA
D

Asegurar la apropiada distribucin de los detalles de la transaccin en todos los

mltiples sistemas de una red (por ejemplo, cuando se compilan los datos de manera
central y se comunican a diversos gerentes de recursos para ejecutar la transaccin); y
Asegurarse que los registros se retienen, respaldan y aseguran de manera apropiada.

Alineacin del proceso

32.

Alineacin del proceso se refiere a la manera en que diversos sistemas de TI se integran entre
s para operar, en efecto, como un sistema. En el entorno del comercio electrnico, es
importante que las transacciones generadas desde el sitio web de una entidad se procesen de
manera apropiada por los sistemas internos de la organizacin, como el sistema de
contabilidad, los sistemas de administracin de relaciones con clientes y sistemas de
administracin de inventarios (a menudo conocidos como sistemas de respaldo o sistemas de

11

procesamiento). Muchos sitios web no estn integrados automticamente con los sistemas
internos.
33.

El modo en que se capturan y transfieren las transacciones de comercio electrnico al sistema

de contabilidad de la entidad puede afectar a asuntos tales como:
Que el procesamiento de las transacciones y almacenamiento de la informacin sean
completos y exactos;
La oportunidad del reconocimiento de ingresos de ventas, compras y otras transacciones;
y
La identificacin y registro de las transacciones problemticas.

AU
B

Cuando sea relevante para las aseveraciones de los estados financieros, el auditor considera
los controles que gobiernan la integracin de las transacciones de comercio electrnico con
los sistemas internos, y los controles sobre los cambios en sistemas y conversin de datos
para automatizar la alineacin del proceso.

34.

VA
D

Puede no haber ningn registro en papel para las transacciones de comercio electrnico, y los
registros electrnicos pueden destruirse o alterarse ms fcilmente que los registros de papel
sin dejar evidencia de tal destruccin o alteracin. El auditor considera si las polticas de
seguridad de la informacin de la entidad y los controles de seguridad segn estn
implementados, son adecuados para prevenir cambios no autorizados al sistema o registros de
contabilidad, o a sistemas que proporcionan datos al sistema de contabilidad.

R
ES
ER

35.

El efecto de los registros electrnicos en la evidencia de auditora

ER
EC

O
S

36. El auditor puede poner a prueba los controles automatizados como verificaciones de integridad
de registros, sellos fechadores electrnicos, firmas digitales y controles de versiones cuando
considera la integridad de la evidencia electrnica. Dependiendo de la evaluacin del auditor
de estos controles, l puede tambin considerar la necesidad de desempear procedimientos
adicionales como confirmar los detalles de transacciones o saldos de cuentas con terceras
partes (referirse a la NA 505, Confirmaciones Externas).

12

Fecha de vigencia

ER
EC

O
S

R
ES
ER

VA
D

AU
B

Esta declaracin de prcticas de auditora entra en vigencia a partir del 01 de enero de 2013. Se
aconseja su aplicacin anticipada para lo cual el auditor debe tomar las previsiones que implican
aplicar las Normas de Auditoria (NAs) en los compromisos asumidos y el alcance de su trabajo.

13