INTRODUCCIÓN

LAS DIPAS Son guías de cumplimiento para efectuar la auditoría mediante sistemas
integrados de cómputo para evaluar y aplicar las técnicas necesarias.

Toda esta información será ingresada en una base de datos en la computadora en donde se
procederá a evaluarse de una manera más ágil y razonable. Esto nos permitirá detectar
deficiencias en las organizaciones de informática y en los sistemas que se desarrollan en
ellas.

Importancia de las DIPAS en la Auditoria de Sistemas

La importancia de las DIPAS radican en:

 Permite conocer el ambiente de TI más importante.

 Permite detectar si son óptimos o no los sistemas de computadoras en línea y/o si están
en vías de mejora.
 Permite evaluar la forma de tratamiento de información INGRESO-PROCESO para
formar parte la base de datos.
 Permite determinar los grados de riesgo.
 Simplifican el proceso de auditoría.

Las Normas Internacionales de Auditoría (NIA) se aplican a la auditoría de la información

financiera de cualquier entidad, independientemente de su dimensión. Las empresas de
reducido tamaño, sin embargo, poseen una combinación de características que hacen
necesario que el auditor tenga que adaptar su enfoque a las circunstancias del compromiso
en cuestión.

El término "empresas de reducida dimensión" se utiliza en esta Declaración referido a

entidades en las que el número de empleados, sus ventas o el total de sus activos sean
reducidos.

Las declaraciones internacionales de prácticas de auditoria se emiten para proporcionar guías

de interpretación y ayuda practica a los contadores profesionales para implementar las NIAS
y promover la buena práctica.
 INDICE

Pág.

Introducción

Contenido
1000. PROCEDIMIENTOS DE CONFIRMACIÓN ENTRE BANCOS ...........................
1001. AMBIENTES DE CIS – MICROCOMPUTADORAS INDEPENDIENTES ...........
1002. AMBIENTES DE CIS – SISTEMA DE COMPUTADORAS EN LÍNEA ..............
1003. AMBIENTES DE CIS – SISTEMAS DE BASE DE DATOS .................................
1004. LA RELACIÓN ENTRE SUPERVISORES BANCARIOS Y AUDITORES
EXTERNOS..........................................................................................................................
1005. CONSIDERACIONES ESPECIALES EN LA AUDITORÍA DE ENTIDADES
PEQUEÑAS..........................................................................................................................
1006. LA AUDITORÍA DE BANCOS COMERCIALES INTERNACIONALES ............
1008. EVALUACIÓN DEL RIESGO Y EL CONTROL INTERNO —
CARACTERÍSTICAS Y CONSIDERACIONES DEL CIS ...............................................
1009 - TÉCNICAS DE AUDITORÍA CON AYUDA DE COMPUTADORA ...................
1010. LA CONSIDERACIÓN DE ASUNTOS AMBIENTALES EN LA AUDITORÍA
DE ESTADOS FINANCIEROS ...........................................................................................
1012. AUDITORÍA DE INSTRUMENTOS FINANCIEROS DERIVADOS ..................
1013. COMERCIO ELECTRONICO

Conclusión

Bibliografía

Anexos

Cuestionario

2
DECLARACIONES INTERNACIONALES DE PRÁCTICAS DE AUDITORIA
(DIPA)

Las declaraciones internacionales de prácticas de auditoria se emiten para proporcionar guías

de interpretación y ayuda practica a los contadores profesionales para implementar las NIAS
y promover la buena práctica.

1000. PROCEDIMIENTOS DE CONFIRMACIÓN ENTRE BANCOS

El propósito de esta Declaración es suministrar sobre los procedimientos de confirmación

interbancaria a los auditores independientes externos y a los profesionales de la banca, tales
como auditores internos o inspectores. Se estima que los criterios contenidos en esta
Declaración contribuyen a la efectividad de los procedimientos de confirmación
interbancaria y a la eficacia del procesamiento de las respuestas.

Una etapa importante en el examen de los estados financieros de los bancos y de la

información relacionada con ellos es la solicitud de confirmación directa de otros sobre los
saldos mutuos y otros importes que aparecen en el balance y sobre otra información que si
bien no siempre aparece en dicho documento, puede ser puesta de manifiesto en cuentas de
orden o en la memoria.

La información fuera de balance que puede requerir confirmación incluye cuestiones tales
como las garantías, compras a futuro, contratos de recompra o reventa, opciones de compra
y acuerdos de compensación o de retenciones en garantía de determinados saldos.

Este tipo de evidencia es valiosa, porque procede directamente de una fuente independiente
y, por tanto, suministra un más alto nivel de seguridad y fiabilidad que la obtenida únicamente
de los propios registros del banco.

Procedimientos para las confirmaciones de saldos y otras transacciones entre bancos, sea que
estos aparezcan en los estados contables como aquellos ítems que están en notas o
directamente fuera del balance.

3
Consiste en la obtención de una comunicación escrita de un tercero independiente de la
empresa examinada y que se encuentra en posibilidad de conocer la naturaleza y condiciones
del hecho económico y de informar válidamente sobre la misma.

La empresa auditada se dirige a la persona a la cual se pide confirmación que se solicita, pero
la respuesta escrita de esta debe ser dirigida a los auditores. El auditor debe colocar
personalmente en el correo la solicitud de confirmación

La Técnica de Confirmación consiste realmente ratificar que lo expresado por los registros
contables corresponde a hechos ciertos e, igualmente, que lo manifestado por funcionarios
en las indagaciones que efectúa el auditor o Revisor Fiscal se ajusta a la realidad. La técnica
de la confirmación se realiza solamente con persona o personas ajenas a la
institución. Ejemplo: Circularizaciones de saldos, cuentas por cobrar, inventarios en
consignación, acreedores.
Del saldo bancario que presenta la empresa en un momento determinado. Este saldo puede
comprobarse, solicitando al banco o los bancos según el caso el saldo de la cuenta corriente
a la fecha requerida, el cual una vez obtenido es comparado con el mostrado por la
contabilidad de la empresa.

Esta técnica puede ser aplicada de diferentes formas:

De acuerdo a las respuestas esperadas:

Confirmación Positiva: Se envía la solicitud de confirmación de saldo, esperándose que

contesten todas las personas circularizadas.
En la práctica no todos contestan, pero se acude a técnicas estadísticas para determinar la
validez de la prueba. Es de utilidad cuando el volumen de cuentas a circularizar no es muy
alto y permite al auditor analizar todas las respuestas.
La confirmación consiste en la respuesta a una investigación para corroborar información
contenida en los registros contables. Por ejemplo, el auditor ordinariamente busca
confirmación directa de cuentas por cobrar por medio de comunicación con los deudores.

4
De acuerdo a la forma de enviar la solicitud:
Confirmación Abierta: Cuando no se incluye el monto del saldo que se está
corroborando. Esta técnica se usa tanto para activos como pasivos pero es de utilización
preferencial cuando de confirman activos.

Confirmación Cerrada: Cuando se incluye el monto del saldo a corroborar. Esta técnica se
usa tanto para activos como pasivos pero es de utilización preferencial cuando se confirman
pasivos. Los ejemplos de confirmación positiva y negativa presentados anteriormente son
ejemplos de confirmación cerrada.
También se puede concluir que toda confirmación negativa debe ser necesariamente cerrada.

DIPA 1001: “AMBIENTE DE TI-MICROCOMPUTADORAS INDEPENDIENTES”.

Está Declaración describe los efectos que tienen las microcomputadoras independientes
(PCs) sobre el sistema de contabilidad, los controles internos relacionados y sobre los
procedimientos de auditoría.

Control Interno en Ambientes de PCs

Las PCs están orientadas a usuarios finales individuales. El grado de precisión y

confiabilidad de la información financiera que producen dependerá, en parte, de los
controles internos que el usuario adopte, ya sea por voluntad o porque la administración los
ha prescrito. Los procedimientos de control establecidos se relacionan con la complejidad
del entorno del negocio en que operan las PC. Normalmente, el ambiente de PCs es menos
estructurado que un ambiente de TI controlado en forma central. En el primero, los usuarios
con sólo habilidades básicas de procesamiento de datos pueden adoptar y poner en marcha
los programas de aplicación en forma relativamente rápida, haciendo surgir asuntos tales
como lo adecuado de la documentación de sistemas o los procedimientos de control de
acceso. Dichos usuarios pueden no considerar como importantes o como de costo efectivo
los controles sobre el proceso de desarrollo de la aplicación

En un ambiente típico de PCs, el nivel de controles generales es más bajo del que se
encontraría en un ambiente de computación a mayor escala. No obstante, los
procedimientos selectos de seguridad y control pueden ayudar a mejorar el nivel general de
control interno.

Políticas Organizacionales y Procedimientos

5
Como parte de haber obtenido una comprensión del ambiente de control, y por tanto del
ambiente de TI para PCs, el auditor considera la estructura organizacional de la
organización y, en particular, la asignación de responsabilidades para el procesamiento de
datos. Las políticas y procedimientos efectivos para la adquisición, desarrollo, operación y
mantenimiento de PCs pueden enriquecer el ambiente general de control. La falta de
desarrollo de dichas políticas puede llevar a que la organización use programas obsoletos y
a errores en los datos así como de la información derivada de los mismos, lo cual puede
llevar al incremento del riesgo de fraude. Dichas políticas y procedimientos incluyen lo
siguiente:

 Estándares de adquisición, desarrollo y documentación

 Capacitación del usuario
 Lineamientos de seguridad, respaldos y almacenamiento
 Administración de contraseñas (password)
 Políticas de uso personal
 Estándares de adquisición y uso de software
 Estándares de protección de datos
 Mantenimiento de programas y soporte técnico
 Un nivel apropiado de segregación de funciones y responsabilidades
 Protección contra virus.
Protección Física–Equipo

Debido a sus características físicas, las PCs y sus medios de almacenamiento son
susceptibles a robo, daño físico, acceso no autorizado o mal uso. Pueden protegerse
físicamente de la manera siguiente:

 Cerrándolas bajo llave en un cuarto, gabinete o en un lugar protegido

 Usando un sistema de alarma que se active si la PC es desconectada o movida de su
lugar
 Asegurando la PC a una mesa
 Con políticas que exponen los procedimientos apropiados a seguir al salir de viaje
con una computadora portátil “laptop” o al usarla fuera de las instalaciones
 Usando la criptografía para archivos clave
 Instalando un mecanismo de seguridad para controlar el interruptor de =P
encendido / apagado. Esto quizá no prevenga el robo de la PC, pero puede ser
efectivo para controlar el uso no autorizado
 Desarrollando controles ambientales para prevenir daños por desastres naturales,
como incendio, inundación, etc.
Protección Física–Medios Removibles y No Removibles

Los programas y datos de las PCs pueden protegerse en medios de almacenamiento

removibles o no removibles. Por ejemplo, los disquetes y CDs pueden removerse
físicamente de la PC, mientras que los discos duros normalmente están integrados en la PC
o en una unidad independiente anexa a la misma.

6
Seguridad de Programas y Datos

Cuando muchos usuarios pueden acceder a las PCs hay un riesgo de que el sistema
operativo, los programas y los datos puedan ser alterados sin autorización, o que los
usuarios puedan instalar sus propias versiones de programas dando pie a responsabilidades
potenciales sobre autorización del software.

El grado de características de control y seguridad presentes en un sistema operativo de PC

varía. Aunque algunos sistemas operativos contienen características de seguridad
sofisticadas selladas, los utilizados en PCs generalmente no las tienen. Sin embargo, hay
técnicas para ayudar a asegurar que los datos que se procesen y lean sean autorizados,
aminorando la destrucción accidental de éstos.

Las siguientes técnicas pueden limitar sólo al personal autorizado al acceso a programas y
datos:

 Uso de contraseñas–password
 Desarrollar un paquete de control de acceso
 Usar medios de almacenamiento removibles
 Usar directorios y archivos ocultos
 Usar la criptografía.

Una técnica efectiva de control es usar perfiles de usuario y contraseñas que controlen el
nivel de acceso concedido a un usuario. Por ejemplo, se puede dar a un usuario un perfil
protegido por una contraseña que permita sólo la alimentación de datos, y puede
configurarse una PC para que requiera una contraseña antes de ser “forzada”.

En algunos casos, un paquete de control de acceso puede proporcionar control efectivo

sobre el acceso y uso de sistemas operativos, programas y datos. Por ejemplo, sólo un
usuario específico puede tener acceso al archivo de contraseñas o permitírsele instalar
programas. Dichos paquetes pueden también, en forma regular, examinar los programas en
la PC para detectar si se están usando programas o versiones de éstos no autorizados.

El uso de medios de almacenamiento removibles para programas y datos críticos y

sensibles puede proporcionar una mayor protección, al mantenerse fuera de línea y bajo
control independiente hasta ser requeridos. Por ejemplo, los datos sobre salarios en un
sistema de nóminas pueden mantenerse fuera de línea y usarse sólo cuando se requiera para
el procesamiento de nóminas.

Remover los programas y datos de las PCs con medios de almacenamiento removibles (por
ejemplo, disquetes, CDs y cartuchos) es una manera efectiva de mantenerlos seguros. Los
medios se colocan después bajo custodia de los bibliotecarios de archivos o de los usuarios
responsables de los datos o programas.

7
La criptografía o cifrado es una técnica que generalmente se utiliza cuando se transmiten
datos sensibles por las líneas de comunicación, pero puede también usarse en datos
almacenados en una PC.

Continuidad de Operaciones

En un ambiente de PC, la administración se apoya típicamente en el usuario para asegurar

la disponibilidad continua de los sistemas en caso de una falla, pérdida o destrucción del
equipo, sistema operativo, programas o datos. Esto implicará que:

El usuario retenga copias del sistema operativo, programas y datos; cuando menos
una almacenada en un lugar seguro, lejos de la PC
 Esté disponible el acceso a un equipo alterno dentro de un tiempo razonable, dado el
uso e importancia del sistema fundamental.
El Efecto de PCs sobre el Sistema de Contabilidad y los Controles Internos Relacionados

El efecto de las PCs sobre el sistema de contabilidad y los riesgos asociados generalmente
dependerá de:

 El grado en que se use la PCs para procesar aplicaciones contables

 El tipo e importancia de las transacciones financieras que se procesen
 La naturaleza de los programas y datos usados en las aplicaciones.

Controles Generales – Segregación de Funciones

En un ambiente de PC, los usuarios generalmente pueden desempeñar dos o más de las
siguientes funciones en el sistema de contabilidad:

 Iniciar documentos fuente

 Autorizar documentos fuente
 Alimentar datos al sistema
 Procesar datos que se han alimentado
 Cambiar programas y datos
 Usar o distribuir datos de salida
 Modificar los sistemas operativos.

En otros ambientes de TI, estas funciones normalmente se segregarían mediante controles

generales apropiados. Está falta de segregación de funciones en un ambiente de PC puede
permitir que se dejen de detectar los errores, permitiendo que se cometa y oculte el fraude.

Controles de Aplicación

8
La existencia y uso de controles apropiados de acceso sobre los programas y datos,
combinados con controles sobre la alimentación, procesamiento y salida de datos pueden,
en coordinación con las políticas de administración, compensar algunas de las debilidades
en los controles generales en ambientes de PCs. Los controles efectivos incluyen lo
siguiente:

 Procedimientos de control programados, tales como verificaciones de acceso

 Un sistema de registro de transacciones y contrapartidas de lotes, incluyendo
seguimiento y resolución de cualquier excepción
 Supervisión directa, por ejemplo, una revisión de informes
 Conciliación de recuentos de registros o cifras de control.

El control puede establecerse por una función independiente que normalmente:

 Recibe todos los datos para procesamiento

 Asegura que todos los datos sean autorizados y registrados
 Hace un seguimiento de todos los errores detectados durante el procesamiento
 Verifica la distribución apropiada de los datos de salida
 Restringe el acceso físico a los programas de aplicación y datos.

El Efecto de un Ambiente de PCs sobre los Procedimientos de Auditoría

En un ambiente de PCs, puede no ser factible o efectivo, desde el punto de vista de costo
efectivo para la administración, implementar controles suficientes para reducir a un nivel
mínimo los riesgos de errores sin detectar. En esta situación, después de obtener la
comprensión del sistema de contabilidad y del ambiente de control requeridos por la NIA
400 “Evaluaciones de Riesgos y Control Interno”, el auditor puede encontrar que es más
efectivo, desde el punto de vista de costo, no hacer una revisión adicional de los controles
generales o de los controles de aplicación, sino concentrar los esfuerzos de auditoría en los
procedimientos sustantivos. Esto puede implicar un examen físico más amplio y
confirmación de los activos, más pruebas de las transacciones, tamaños mayores de
muestras así como mayor uso de TCA (Técnicas Computarizadas de Auditoría)

DIPA 1002: “AMBIENTE TI-SISTEMA DE COMPUTADORAS EN LÍNEA”

Está Declaración describe los efectos de un sistema de computadoras en línea sobre el

sistema de contabilidad, los controles internos relacionados y sobre los procedimientos de
auditoría.

Sistemas de Computadoras en línea.

9
Los sistemas de computadoras en línea son sistemas de computadoras que posibilitan a los
usuarios el acceso a datos y programas directamente a través de estaciones de trabajo.
Dichos sistemas pueden comprender:

 PCs mainframe (unidades centrales de procesamiento).

 Mini computadoras
 Una red de microcomputadoras interconectadas.
Cuando la organización usa un sistema de computadoras en línea, es probable que la
tecnología sea compleja y ligada a los planes estratégicos de negocios de la organización,
además permite a los usuarios iniciar directamente varias funciones, tales como:

 Alimentar transacciones (por ejemplo, transacciones de ventas en una tienda al

menudeo, retiros de efectivo en un banco y embarque de mercancías en una planta).
 Hacer investigaciones (por ejemplo, la cuenta corriente de clientes o información de
saldos).
 Solicitar informes (por ejemplo, una lista de partidas de inventario con cantidades
negativas “en existencia”).
 Actualizar archivos maestros (por ejemplo, establecer cuentas de nuevos clientes y
cambiar los códigos del libro mayor).
 Actividades de comercio electrónico (por ejemplo, colocar pedidos y pagar las
mercancías por Internet)
Características de los Sistemas de Computadoras en Línea:

 La entrada y validación de datos en línea.

 El acceso en línea al sistema por los usuarios
 Posible falta de un rastro visible de las transacciones
 Acceso potencial al sistema por parte de no usuarios no autorizados, incluyendo a
programadores y otras terceras parte (por ejemplo, a través de correo electrónico
Internet.

Control Interno en un Sistema de Computadoras en Línea

El auditor considera la infraestructura de seguridad antes de examinar los controles

generales y de aplicación, ya que pueden estar más expuestas al acceso no autorizado y a la
actualización, ya que esta juega un papel importante para asegurar la integridad de la
información producida. La organización puede necesitar establecer controles generales
adecuados para aminorar los riesgos de virus, acceso no autorizado y la destrucción
potencial de rastros de auditoría. Así, los controles de acceso son particularmente
importantes para el procesamiento en línea.

Estos controles pueden incluir el uso de contraseñas password, software especializado de

control de acceso, tal como monitores en línea que mantiene el control sobre los menús,
tablas de autorización, contraseñas, archivos y programas a los que se permite acceso de los
usuarios. Pueden también incluir controles físicos como el uso de cerraduras en las

10
estaciones de trabajo, cuartos de computadoras cerradas con llave y horarias sin actividad.
Hay ciertos controles de aplicación son particularmente importantes para el procesamiento
en línea. Incluyen los siguientes:

 Autorización para pre-procesamiento. Autorización para iniciar una transacción, por

ejemplo, usar una tarjeta bancaria junto con un número de identificación personal antes
de poder hacer un retiro de efectivo mediante un cajero automático.
 Pruebas de edición de la estación de trabajo, pruebas de razonabilidad y otras de
validación. Rutinas programadas que verifican los datos de entrada y los resultados del
procesamiento para que esté completo, y para su exactitud y razonabilidad. Estas
rutinas incluyen verificaciones de secuencia, límite, rango y razonabilidad y pueden
desempeñarse en una estación de trabajo inteligente o en la computadora central.
 Informes y manejo de errores de alimentación. Los procedimientos para asegurar que
todos los errores de alimentación sean informados, identificados y se les impida seguir
el procesamiento, sean corregidos y vueltos a someter para procesamiento oportuno y,
todo de una manera apropiada. Estos procedimientos generalmente comprenderán una
mezcla de rutinas tanto manuales como automatizadas.
 Procedimientos de corte. Procedimientos que aseguran que las transacciones se
procesan en el periodo contable apropiado. Son particularmente necesarios en sistemas
que tienen un flujo continuo de transacciones. Por ejemplo, en los sistemas en línea
donde las estaciones de trabajo de diversas localidades registran ordenes de ventas y
embarques, hay necesidad de coordinar el embarque real de mercancías, la salida de
inventario y el procesamiento de facturas.
 Controles de archivos. Procedimientos que aseguran que usan los archivos de datos
correctos para el procesamiento en línea.
 Controles de archivo maestro. Los cambios a los archivos maestros se controlan por
procedimientos similares a los usados para controlar otros datos de entrada de
transacciones. Puede ser necesario un refuerzo más estricto de estos procedimientos de
control porque los datos del archivo maestro pueden tener un efecto significativo sobre
los resultados del procesamiento.
 Balanceo. El proceso de establecer controles totales sobre los datos que se someten
para procesamiento por medio de las estaciones de trabajo en línea, y de comparar los
controles totales durante y después del procesamiento para asegurar que se transfieren
datos completos y exactos a cada fase del procesamiento. Estos controles de balanceo
son importantes para monitorear los controles de totalidad y exactitud en un ambiente
de procesamiento en tiempo real. Deberán incluirse en las rutinas automatizadas de
programas siempre que sea posible.

Efectos de los Sistemas de Computadoras en Línea sobre él Sistema de Contabilidad y los

Controles Internos Relacionados

El efecto de un sistema de computadoras en línea sobre el sistema de contabilidad y riesgos

asociados generalmente dependerá de:

11
  El grado en que el sistema en línea está siendo usado para procesar aplicaciones
contables;
 El tipo e importancia de las transacciones financieras que se procesan; y
 La naturaleza de los archivos y programas que usan las aplicaciones.

Factores como los siguientes pueden reducir el riesgo de errores que ocurren porque la
organización utiliza sistemas en línea:

1. Realizar la entrada de datos en o cerca del punto donde se originan las transacciones
reduce el riesgo de que no se registren las transacciones.
2. La corrección inmediata y realimentación de transacciones inválidas reduce el riesgo de
que dichas transacciones no sean corregidas y vueltas a alimentar rápidamente.
3. La alimentación de datos desempeñada por individuos que entienden la naturaleza de las
transacciones implicadas puede ser menos propensa a error que cuando es desempeñada
por individuos no familiarizados con la naturaleza de las transacciones.
4. Procesar las transacciones inmediatamente reduce el riesgo de que sean procesadas en el
periodo contable equivocado.
5. La revisión de autenticidad y autorización llevada a cabo en o cerca del punto donde las
transacciones se originan reduce el riesgo de suplantación u otro acceso no autorizado a
los datos o su manipulación

El riesgo de errores en los sistemas de computadoras en línea puede aumentar por las
siguientes razones:

1. Ubicar las estaciones de trabajo por toda la organización aumenta la oportunidad de

uso no autorizado de una estación de trabajo y la entrada de transacciones no
autorizadas.
2. Las estaciones de trabajo en línea pueden proporcionar una oportunidad más fácil de
usos no autorizados como:
 Modificación de transacciones o saldos alimentados previamente;
 Modificación de programas de computadora; o
 Acceso a datos y programas desde localidades remotas.
 Si el procesamiento en línea se interrumpe por alguna razón; por ejemplo; debido a
telecomunicaciones defectuosas, puede haber mayor oportunidad de que las
transacciones o archivos se pierdan y que la recuperación no sea exacta y completa.
 El acceso en línea a datos y programas desde lugares remotos mediante

Efecto de los Sistemas de Computadoras en Línea sobre los Procedimientos de

Auditoría

Generalmente en un sistema de computadoras en línea bien diseñado y controlado, es

probable que el auditor ponga a prueba los controles generales y de aplicación. Si dichos

12
controles se consideran satisfactorios, el auditor depositara gran confianza en los controles
internos del sistema al determinar la naturaleza, oportunidad y alcance de los
procedimientos de auditoría. Las características de los sistemas de computadoras en línea
pueden hacer más efectivo para el auditor desempeñar una revisión de pre-implementación
de nuevas aplicaciones contables en línea más revisar las aplicaciones después de la
instalación. Para ser completamente efectiva, la revisión puede necesitar hacerse extensiva
a otras aplicaciones que proporcionan datos para dichas aplicaciones contables; el auditor
puede también poner a prueba que el nuevo sistema opere y que esté implementado según
diseño. La revisión de pre-implementación puede dar al auditor una oportunidad para
solicitar funciones adicionales, como listados detallados de transacciones, o controles
dentro del diseño de la aplicación. Puede también dar al auditor suficiente tiempo para
desarrollar y poner a prueba los procedimientos de auditoría con anticipación al uso del
sistema. Los asuntos siguientes son de particular importancia para el auditor en un sistema
de computadoras en línea:

1. Autorización, exactitud, y que estén completas las transacciones en línea mediante la

implementación de controles apropiados en el momento en que la transacción se acepta
para procesamiento.
2. Integridad de registros y procesamiento, debido a que muchos usuarios y
programadores tienen acceso en línea al sistema.
3. Cambios necesarios en el desempeño de procedimientos debido a asuntos como:

• La necesidad de equipos de auditores con habilidades técnicas en sistemas de

computadoras en línea.

• El efecto del sistema de computadoras en línea sobre la oportunidad de los

procedimientos de auditoría.

• La falta de rastros visibles de las transacciones.

• Procedimientos realizados durante la etapa de planeación de la auditoría.

• Procedimientos de auditoría desempeñados en forma concurrente con el

procesamiento en línea.

• Procedimientos desempeñados después de que ha tenido lugar el proceso de datos

Los procedimientos desarrollados durante la etapa de planeación pueden incluir los

siguientes:

 Participación en el equipo de auditoría de individuos con pericia técnica en sistemas de

computadoras en línea y los controles relativos.
 Identificación de nuevas instalaciones de acceso remoto.

13
 Determinación preliminar, durante el proceso de evaluación del riesgo, del impacto del
sistema sobre los procedimientos de auditoría.
 Los procedimientos de auditoría desempeñados en forma concurrente con el
procesamiento en línea pueden incluir pruebas de los controles sobre las aplicaciones en
línea.
Cuando la organización permite el acceso mediante Internet, los procedimientos de
auditoría pueden incluir pruebas de acceso no autorizado y otros controles de
autorización y acceso, así como pruebas de procesamiento de transacciones. Para evitar
alteración inadvertida de registros de clientes, el auditor revisa los procedimientos
concurrentes con el personal apropiado de clientes y obtiene aprobación antes de
conducir las pruebas.

Los procedimientos desempeñados después de tener lugar el procesamiento pueden incluir

los siguientes:

 Pruebas de los controles sobre las transacciones registradas por el sistema en línea en
cuanto a autorización, exactitud, y que estén completas.
 Procedimientos sustantivos que cubran las transacciones y resultados del
procesamiento más que pruebas de control, cuando los primeros sean de costo más
efectivo o cuando el sistema no esté bien diseñado o controlado.
 Reprocesamiento de transacciones ya sea como una prueba de control o como un
procedimiento sustantivo.

DIPA 1003: “AMBIENTE DE TI-SISTEMA DE BASES DE DATOS”

Está Declaración describe los efectos de un sistema de base de datos sobre el sistema de
contabilidad y los controles internos relativos y sobre los procedimientos de auditoría.

Los sistemas de bases de datos consisten principalmente de dos componentes: la base de

datos y el sistema de administración de la base de datos (SABD). Los sistemas de bases de
datos interactúan con otros aspectos del hardware y software del sistema general de
computadoras.

Control Interno en un Ambiente de Base de Datos

La infraestructura de seguridad de información de una organización juega un importante

papel para asegurarla integridad de la información producida, por lo que el auditor
considera dicha infraestructura antes de examinar los controles generales y de aplicación.
Generalmente, el control interno en un ambiente de base de datos requiere controles
efectivos sobre la base de datos, el SABD y las aplicaciones. La efectividad de los controles
internos depende en gran parte de la naturaleza de las tareas de administración de datos y de
administración de la base de datos y como se desempeñan.

14
Los controles generales sobre la base de datos, el SABD y las actividades de la
administración de recursos de datos (administración de datos y administración de la base de
datos) tienen un efecto profundo sobre el procesamiento de la aplicación el uso de SABD,
junto con las funciones integradas en él, puede ayudar a proporcionar controles efectivos.
Los controles generales de importancia particular en un ambiente de base de datos pueden
clasificarse en los siguientes grupos:

Enfoque Estándar para Desarrollo y Mantenimiento de Programas de Aplicación

Considerando que muchos usuarios comparten los datos, el control puede mejorarse si se
usa un enfoque estándar para desarrollar cada nuevo programa de aplicación y modificar
los existentes. Esto incluye un enfoque paso a paso, formalizado, al que debe adherirse
todos los individuos que desarrollan o modifican un programa de aplicación. También
incluye analizar el efecto de transacciones nuevas y existentes sobre la base de datos cada
vez que se requiera una modificación. El análisis resultante indicaría los efectos de los
cambios sobre la seguridad e integridad de la base de datos. Implementar un enfoque
estándar para desarrollar y modificar programas de aplicación es una técnica que puede
ayudar a mejorar la exactitud, integridad y totalidad de la base de datos. Los siguientes son
algunos de los controles que pueden ayudar a lograr esto:

 Se establecen estándares de definición, los cuales se vigilan y controlan para su

cumplimiento
 Se establecen procedimientos de respaldo y recuperación de datos para asegurar la
disponibilidad de la base de datos
 Se establecen diversos niveles de control de acceso para datos individuales, tablas y
archivos para prevenir el acceso inadvertido o no autorizado
 Se establecen controles para asegurar la exactitud, totalidad y consistencia de los
elementos y relaciones de datos en la base de datos. Sin embargo, en los sistemas
complejos del diseño de los sistemas no siempre puede proporcionar a los usuarios
controles que prueben la totalidad y exactitud de los datos, pudiendo haber un incremento
del riesgo de que el SABD no siempre identifique alteraciones de datos o índices
 Se siguen procedimientos de reestructuración de la base de datos cuando se hacen cambio
lógicos, físicos y de procedimiento.

Modelo de Datos y Propiedad de Datos

En un ambiente de base de datos, donde muchos individuos pueden usar programas para
ingresar/registrar y modificar datos, el administrador de la base de datos necesita asegurarse
de que haya una asignación de responsabilidad clara y definida por la exactitud e integridad
de cada partida de datos.
15
Acceso a la Base de Datos

El acceso de usuarios a la base de datos puede restringirse mediante controles de acceso.

Estas restricciones aplican a individuos, estaciones de trabajo y programas. Para que las
contraseñas sean efectivas se requieren procedimientos adecuados para cambiarlas,
mantener el secreto de las mismas y revisar e investigar los intentos de violación a la
seguridad. Relacionar las contraseñas a estaciones terminales, programas y datos definidos
ayuda a asegurar que solo usuarios y programas autorizados puedan tener acceso, corregir o
suprimir datos.

El acceso de usuarios a los diversos elementos de la base de datos puede controlarse aun
más mediante el uso de tablas de autorización. La implementación no apropiada de
procedimientos de acceso puede dar como resultado el acceso no autorizados a la base de
datos.

Segregación de Funciones

Las responsabilidades para desempeñar las diversas actividades requeridas para diseñar,
implementar y operar una base de datos se dividen entre el personal técnico, de diseño,
administrativo y de usuarios. Sus funciones incluyen diseño del sistema, diseño,
administración y operación de la base de datos. Es necesario mantener la adecuada
segregación de estas funciones para asegurar la totalidad, integridad y exactitud de la base
de datos.

Seguridad de los Datos y Recuperación de la Base de Datos

Es probable que las bases de datos se usen por personas en muy diferentes partes de las
operaciones de una organización. Esto significa que muchas partes de la organización serán
afectadas si los datos no estuvieran disponibles o tuvieran errores. Consecuentemente los
controles generales, en los sistemas de base de datos, se convierten en muy importantes
para la seguridad de los datos y la recuperación de la base de datos.

El Efecto de la Base de Datos sobre el Sistema de Contabilidad y los Controles

Internos Relacionados

El efecto de un sistema de datos sobre el sistema de contabilidad y los riesgos asociados

generalmente dependerán de factores como:

 El grado en el que las bases de datos se usen para aplicaciones contables

 El tipo e importancia de las transacciones financieras que se procesen
 La naturaleza y estructura de la base de datos, el SABD (incluyendo el diccionario de
datos) las tareas de administración de la base de datos y las aplicaciones (por ejemplo,
actualización por lote o en línea)
 Los controles generales y de aplicación que sean particularmente importantes en un
ambiente de base de datos.
16
  Los sistemas de base de datos típicamente dan mayor confiabilidad en los datos que los
sistemas que no son de base de datos. En estos sistemas los controles generales cobran
una mayor importancia que los controles de aplicación. Esto puede dar como resultado
un riesgo reducido de fraude o error en los sistemas de contabilidad donde se usen
bases de datos. Los siguientes factores, combinados con controles adecuados,
contribuyen a está mayor confiabilidad en los datos:
 Se logra mejor consistencia de datos porque los datos se registran y actualizan sólo una
vez, en lugar de ser almacenados en varios archivos y actualizados en diferentes
momentos por diferentes programas.

 Se mejorará la integridad de los datos con el uso efectivo de mecanismos incluidos en

el SABD, tales como rutinas de recuperación/reinicio, rutinas generalizadas de edición
y validación, junto con características de seguridad y control.

 Otras funciones disponibles con el SABD pueden facilitar los procedimientos de

control y auditoría. Estas funciones incluyen generadores de informes que pueden
usarse para crear informes de consistencia y lenguajes de consulta, los cuales pueden
ser usados para identificar inconsistencias en los datos.

1004. LA RELACIÓN ENTRE SUPERVISORES BANCARIOS Y AUDITORES

EXTERNOS

Los bancos desempeñan un papel básico en la economía. Reciben los ahorros del público,
suministran medios de pago de bienes y servicios y financian el desarrollo del comercio y de
la industria. Para llevar a cabo estas funciones de manera segura y eficiente, deben contar
con la confianza del público y de aquellos con los que realiza las operaciones.
La estabilidad del sistema bancario, nacional e internacional, se considera actualmente como
una cuestión de interés público. Que se refleja en la manera en que los bancos en todos los
países, a diferencia de otras grandes empresas comerciales, están sujetos a supervisión de su
saneamiento financiero por los bancos centrales y por otras instituciones financieras.

En la medida en que las operaciones de los bancos aumentan en complejidad, tanto en el

ámbito nacional como en el internacional, la función de las autoridades responsables de la
supervisión bancaria y de los auditores externos resulta cada vez más demandada. En ciertos
aspectos ambos cumplen funciones similares y el incremento de su actuación se percibe como
complementario.

Los supervisores bancarios no solo confían en buena medida en los resultados de del trabajo
de los auditores, sino que solicitan de manera creciente de la profesión contable la realización
de tareas adicionales que puedan contribuir al ejercicio de sus responsabilidades de
supervisión. Al mismo tiempo, los auditores, al llevar a cabo sus funciones, requieren de los
supervisores información que pueda ayudarles en el despeño más eficaz de sus funciones.

17
Esta declaración se refiere a la relación que debe mantener el auditor externo de un banco
con los demás supervisores externos de una entidad bancaria, tal como en la Argentina la que
efectúa el Banco Central. La norma sugiere mecanismos de efectiva coordinación y diálogo
entre las partes y establece las responsabilidades de la dirección del banco.

Los bancos juegan un papel central en la economía. Guardan el ahorro del público,
proporcionan medios de pago para mercancías y servicios y financian el desarrollo de
negocios y del comercio. Para desarrollar estas funciones segura y eficientemente, los bancos
individuales deben comandar la confianza del público y de aquellos con quienes hacen
negocios. La estabilidad del sistema bancario, nacional e internacional, ha venido por lo tanto
a ser reconocido como un aspecto de interés público. Este interés público se refleja en la
forma en que los bancos, en casi todos los países, a diferencia de la mayoría de otras
compañías comerciales, están sujetos a la supervisión prudencial de los bancos centrales y
otras agencias oficiales específicas.

1005. CONSIDERACIONES ESPECIALES EN LA AUDITORÍA DE ENTIDADES

PEQUEÑAS

Las Normas Internacionales de Auditoría (NIA) se aplican a la auditoría de la información

financiera de cualquier entidad, independientemente de su dimensión. Las empresas de
reducido tamaño, sin embargo, poseen una combinación de características que hacen
necesario que el auditor tenga que adaptar su enfoque a las circunstancias del compromiso
en cuestión.

El término "empresas de reducida dimensión" se utiliza en esta Declaración referido a

entidades en las que el número de empleados, sus ventas o el total de sus activos sean
reducidos.

Tales entidades normalmente presentan una o las dos siguientes características:

 limitada segregación de tareas;

 control por la dirección o los propietarios de los aspectos esenciales de su actividad.
La finalidad de esta Declaración es ayudar al auditor en la aplicación de las NIA a las
circunstancias características de las empresas de reducida dimensión.

.El objetivo de esta declaración es describir las características comúnmente encontradas en

las pequeñas empresas e indicar como ellas afectan la aplicación de las normas de auditoría.

18
El auditor de cualquier entidad adapta el enfoque de auditoría a las circunstancias de la
entidad y del trabajo. La auditoría de una entidad pequeña difiere de la auditoría de una
entidad grande, ya que la documentación puede ser poco sofisticada y las auditorías de las
entidades pequeñas ordinariamente son menos complejas, pudiendo desempeñarse usando
menos asistentes.

Para los fines de esta DIPA, una entidad pequeña es cualquier entidad en la que:

Haya una concentración de propiedad y administración en un número pequeño de individuos

Se encuentra también uno o más de los siguientes:

 Pocas fuentes de ingresos.

 Sistemas de registros no sofisticados.
 Controles internos limitados junto con el potencial.

1006. LA AUDITORÍA DE BANCOS COMERCIALES INTERNACIONALES

El Comité de Prácticas Internacionales de Auditoría (CPIA) de la Federación Internacional

de Contadores (IFAC) emite normas (NIA) sobre prácticas generalmente aceptadas de
auditoría y de servicios relacionados con la misma y sobre la forma y contenido del informe
de auditoría. Se pretende que tales normas contribuyan al incremento de la uniformidad de
las prácticas de auditoría y de servicios relacionados con la misma a lo largo del mundo.

La finalidad de esta Declaración es suministrar criterios adicionales al auditor al interpretar

y aplicar estas normas en el contexto de la auditoría de los bancos comerciales
internacionales. No se pretende, sin embargo, que sea una lista exhaustiva de los
procedimientos y prácticas utilizadas en las auditorías de este tipo.

Para el propósito de esta Declaración:

 un banco es una institución financiera que es reconocida como tal por las autoridades de
los países en los que opera y que normalmente tiene el derecho de utilizar el término
banco como parte de su nombre;
 un banco comercial es un banco cuya principal función es la aceptación de depósitos y la
realización de préstamos; puede también ofrecer otros servicios financieros, tales como
la adquisición y venta de metales preciosos, moneda extranjera o una amplia gama de
instrumentos financieros, la emisión y aceptación de instrumentos negociables y la
prestación de garantías; y
 un banco comercial internacional es un banco comercial que tiene oficinas operativas en
países diferentes a aquel en que está establecido o cuyas actividades trascienden las
fronteras nacionales.

19
El propósito de esta declaración es proveer guías adicionales a los auditores para amplificar
e interpretar las normas de auditoría en el contexto de una auditoría de bancos comerciales
internacionales.

El auditor deberá planear conducir una auditoría efectiva en una manera eficiente y
oportuna. Los planes deberán basarse en un conocimiento del negocio del cliente. Una
comprensión de la naturaleza de los riesgos es fundamental para el proceso de planeación
del auditor ya que le permite a éste evaluar el riesgo inherente asociado con diferentes
aspectos de las actividades de un banco y lo ayuda a determinar el alcance de confiabilidad
sobre el control interno y la naturaleza, oportunidad y alcance de sus procedimientos de
auditoría.

Los riesgos con las actividades bancarias pueden agruparse de manera amplia en riesgos de
producto y servicios que incluye el riesgo de crédito, el riesgo de la tasa de interés, el riesgo
de liquidez, el riesgo cambiario, el riesgo de mercado, el riesgo fiduciario) y los riesgos de
operación.
Para el desarrollo de un plan global de auditoria el auditor necesita dar particular importancia,
entre otros a los siguientes aspectos: los riesgos asociados con las actividades bancarias, el
grado esperado de confianza en el control interno el auditor deberá depositar una importante
confianza en el sistema de control interno del banco, para hacerlo, necesitará hacer una
evaluación cuidadosa del sistema para evaluar el alcance de confianza que puede depositar
en dicho sistema al determinar la naturaleza, oportunidad y alcance de sus propios
procedimientos de auditoria), lo extenso de los sistemas de CIS y Transferencia electrónica
de fondos usados por el banco, el trabajo de auditoría interna, la complejidad de las
transacciones realizadas, las transacciones de partes relacionadas, el trabajo de los
supervisores y la coordinación del trabajo que se va a realizar.

Consideraciones de auditoría en relación a cada uno de estos objetivos:

"LAS TRANSACCIONES SEAN EJECUTADAS DE ACUERDO CON LA

AUTORIZACIÓN GENERAL O ESPECÍFICA DE LA ADMINISTRACIÓN."

La responsabilidad principal por la estructura del control en un banco recae en el consejo de

20
directores y sus comités que son responsables del gobierno de las operaciones del banco. Sin
embargo, ya que las operaciones de los bancos generalmente son grandes y dispersas
geográficamente, las funciones de toma de decisiones necesitan estar descentralizadas y la
autoridad para que el banco se comprometa a transacciones de importancia relativa
generalmente está dispersa geográficamente y delegada entre los diversos niveles de la
administración y del personal ejecutivo. Dicha dispersión y delegación casi siempre se
encontrará en las funciones de préstamos, tesorería, y trasferencia de fondos, donde, por
ejemplo, las instrucciones de pago son enviadas por medio de un mensaje verificado.

Esta característica de las operaciones bancarias crea la necesidad de un sistema estructurado

de delegación de autoridad, que da como resultado la identificación y documentación
formales de:

"Todas las transacciones sean registradas enseguida por el monto correcto, en las cuentas
apropiadas y en el periodo contable en el que se ejecutan a modo de permitir la preparación
de información financiera, dentro de un marco conceptual reconocido de políticas de
contabilidad y para mantener la contabilización de los activos."

Al evaluar lo apropiado de los controles internos individuales usados para asegurar que todas
las transacciones estén registradas en forma apropiada, el auditor necesitará tomar en cuenta
un número de factores que son especialmente importantes en un entorno bancario. Estos son
como sigue:

Los bancos manejan grandes volúmenes de transacciones, que pueden implicar grandes
cantidades de dinero, ya sea en forma individual o acumulativamente. Por consiguiente, el
banco necesitará tener procedimientos de balanceo y de conciliación que son operados dentro
de un periodo de tiempo que permite detectar errores y discrepancias de modo que puedan
ser investigados y corregidos con un mínimo riesgo de pérdida para el banco. Dichos
procedimientos pueden ser operados por hora, a diario, por semana, o por mes, dependiendo
del volumen, naturaleza de las transacciones, nivel de riesgo, y el periodo para liquidación
de la transacción.

21
"SE PERMITA EL ACCESO A LOS ACTIVOS SÓLO DE ACUERDO CON LA
AUTORIZACIÓN DE LA ADMINISTRACIÓN."

Los activos de un banco con frecuencia son fácilmente transferibles, de alto valor y de una
forma que no puede ser salvaguardada sólo con procedimientos físicos. Por lo tanto, para
asegurar que el acceso a los activos se permita sólo de acuerdo con la autorización de la
administración, generalmente un banco usa controles como:

 claves y arreglos de acceso conjunto para limitar el acceso a los sistemas de PED y
TEF a los empleados autorizados;
 segregación de las funciones de mantenimiento de registros y de acceso (incluyendo el
uso de reportes de confirmación de transacciones generados por computadora
disponibles inmediatamente y sólo al empleado a cargo de las funciones de
mantenimientos de registros).

"LA CONTABILIZACIÓN REGISTRADA DE LOS ACTIVOS SE COMPARE CON

LOS ACTIVOS EXISTENTES A INTERVALOS RAZONABLES Y SE TOME LA
ACCIÓN APROPIADA RESPECTO DE CUALESQUIERA DIFERENCIAS."

La gran cantidad de activos manejados por los bancos, los volúmenes de transacciones
realizadas, el potencial para cambios en el valor de dichos activos debido a fluctuaciones en
precios del mercado y la importancia de confirmar la operación continua de controles de
acceso y de autorización necesitará la operación frecuente de controles de conciliación. Esto
tendrá particular importancia respecto de:

 activos en forma negociable, como efectivo, valores al portador y activos en la forma

de posiciones de depósitos y valores con otras instituciones donde la falta oportuna de
detección de errores y discrepancia (lo cual puede ser a diario donde se impliquen
transacciones del mercado de dinero) podría llevar a una pérdida irrecuperable. Los
procedimientos de conciliación usados para lograr este objetivo de control
normalmente se basarán en el conteo físico y en la confirmación de terceros; y
 activos cuyo valor se determina con referencia a precios del mercado externo como
contratos de valores y de divisas extranjeras.

"LAS OBLIGACIONES FIDUCIARIAS SEAN CUMPLIDAS EN FORMA

ADECUADA”

Los principales objetivos del control interno respecto de las actividades fiduciarias de un

22
banco son asegurar que:

 todas las obligaciones originadas por las relaciones fiduciarias se cumplan

adecuadamente; y
 todos los activos bajo custodia del banco, originados de las relaciones fiduciarias sean
adecuadamente salvaguardados y registrados en forma apropiada.

DIPA 1008: “Evaluación del riesgo del control interno-Características y

consideraciones del CIS”

Un entorno de sistema de información de cómputo (CIS) se define en la Norma

Internacional de Auditoría (NIA) 401 "Auditoría en un Entorno de Sistemas de Información
por Computadora," como sigue:

Para los fines de las Normas Internacionales de Auditoría, existe un entorno de CIS cuando
hay implicada una computadora de cualquier tipo o tamaño en el procesamiento por parte
de la entidad de información financiera de importancia para la auditoría, ya sea que la
computadora sea operada por la entidad o por un tercero.

Estructura Organizacional

En un entorno de CIS, una organización establecerá una estructura organizacional y

procedimientos para administrar las actividades de CIS. Las características de una
estructura organizacional de CIS incluyen:

• Concentración de funciones y conocimiento: Aunque la mayoría de los sistemas que

emplean métodos de CIS incluye ciertas operaciones manuales, generalmente el
número de personas involucradas en el procesamiento de información financiera es
significativamente reducido. Más aún, cierto personal de procesamiento de datos puede
ser los únicos con un conocimiento detallado de la interrelación entre las fuentes de
datos, cómo se procesan, y la distribución y uso de los datos de salida. Es también
probable que esté consciente de cualesquiera debilidades en el control interno y, por lo
tanto, pueden estar en posición de alterar programas o datos mientras están
almacenados o durante el procesamiento. Todavía más, pueden no existir muchos
controles convencionales basados en la segregación adecuada de funciones
incompatibles, o en ausencia de controles de acceso u otros, pueden ser menos
efectivos.
• Concentración de programas y datos: A menudo están concentrados los datos por
transacción y del archivo maestro, generalmente en forma legible por la máquina, ya
sea en una instalación de computadora localizada centralmente o en un número de
instalaciones distribuidas por toda una organización. Es probable que los programas de

23
 computadora que dan la capacidad de obtener acceso a, y de alterar dichos datos estén
almacenados en la misma ubicación que los datos. Por lo tanto, en ausencia de
controles apropiados, hay un mayor potencial para acceso no autorizado a, y alteración
de, programas y datos.
 Naturaleza del Procesamiento
 El uso de computadoras puede dar como resultado el diseño de sistemas que
proporcionen menos evidencia que aquellos que se usen procedimientos manuales.
Además, estos sistemas pueden ser accesibles a un mayor número de personas. Las
características del sistema que pueden ser resultado de la naturaleza del procesamiento
CIS, incluyen:
• Ausencia de documentos de entrada: Los datos pueden ser alimentados directamente
al sistema por computadora sin documentos que los soporten. En algunos sistemas de
transacción en línea, la evidencia por escrito de la autorización de alimentación de
datos individuales (por ejemplo, aprobación para entrada de pedidos) puede ser
reemplazada por otros procedimientos, como los controles de autorización contenidos
en los programas de computadoras (por ejemplo, aprobación de límite de crédito).
• Falta de rastro visible de transacciones: Ciertos datos pueden mantenerse en
archivos de computadoras solamente. En un sistema manual, normalmente es posible
seguir una transacción a través del sistema examinando un entorno de CIS, sin
embargo, el rastro de la transacción puede estar parcialmente en forma legible por
máquina, y todavía más, puede existir sólo por un período limitado de tiempo.
• Falta de datos de salida visibles: Ciertas transacciones o resultados del procesamiento
pueden no imprimirse. En un sistema manual, y en algunos sistemas de CIS, es posible
normalmente examinar en forma visual los resultados del procesamiento. En otros
sistemas de CIS, los resultados del procesamiento no pueden imprimirse, o pueden
imprimirse sólo datos resumidos. Así, la falta de datos de salida visibles puede dar
como resultado la necesidad de tener acceso a datos retenidos en archivos legibles sólo
por computadora.

• Facilidad de acceso a datos y programas de computadora: Se puede tener acceso a

los datos y los programas de computadora, y pueden ser alterados, en la computadora o
por medio del uso de equipo de computación en lugares remotos. Por lo tanto, en
ausencia de controles apropiados, hay un potencial mayor para el acceso no autorizado
a, y la alteración de, datos y programas por personas dentro o fuera de la organización.

Aspectos de Diseño y de Procedimiento

El desarrollo de CIS generalmente dará como resultado el diseño y características de

procedimientos que son diferentes de los que se encuentran en los sistemas manuales. Estos
aspectos diferentes de diseño y de procedimiento de CIS incluyen:

• Consistencia de funcionamiento: El CIS desempeña funciones exactamente como se

les programe y son potencialmente más confiables que los sistemas manuales, previsto
que todos los tipos de transacción y todas las condiciones que puedan ocurrir se anticipen
e incorporen en el sistema. Por otra parte, un programa de computadora que no esté

24
 correctamente programado y probado puede procesar en forma consistente transacciones u
otros datos en forma errónea.
• Procedimientos de control programados: La naturaleza del procesamiento por
computadora permite el diseño de procedimientos de control interno en los programas de
computadora. Estos procedimientos pueden ser diseñados para proporcionar controles con
visibilidad limitada
• Actualización sencilla de una transacción en archivo múltiple o de base de datos:
Una entrada sencilla al sistema de contabilidad puede automáticamente actualizar todos
los registros asociados con la transacción.
• Transacciones generadas por sistemas: Ciertas transacciones pueden iniciarse por el
CIS sin necesidad de un documento de entrada. La autorización de dichas transacciones
puede no ser evidenciada con documentos de entrada visibles ni documentada en la
misma forma que las transacciones que se inician fuera del CIS (por ejemplo, el interés
puede ser calculado y cargado automáticamente a los saldos de cuentas de clientes con
base en términos previamente autorizados contenidos en un programa por computadora.)
• Vulnerabilidad de datos y medio de almacenamiento de programas: Grandes
volúmenes de datos y los programas de computadora usados para procesar dichos datos
pueden almacenarse en medios de almacenamiento portátil o fijo, como discos o cintas
magnéticas. Estos medios son vulnerables al robo, pérdida, o destrucción intencional o
accidental.

Controles Internos en un Entorno del CIS

Los controles internos sobre el procesamiento por computadora, que ayudan a lograr
objetivos globales del control interno, incluyen tanto procedimientos manuales como
procedimientos integrados en programas por computadora.

Controles Generales del CIS

El propósito de los controles generales de CIS es establecer un marco de referencia de

control global sobre las actividades de CIS y proporcionar un nivel razonable de certeza de
que se logran los objetivos globales del control interno.

Los controles generales del CIS pueden incluir lo siguiente:

1. Controles de organización y administración: Diseñados para establecer un marco de

referencia organizacional sobre las actividades de CIS ,incluyendo:
a. Políticas y procedimientos relativos a funciones de control
b. Segregación apropiada de funciones incompatibles (por ejemplo, preparación de
transacciones de entrada, programación y operaciones por computadora.)
2. Desarrollo de sistemas de aplicación y controles de mantenimiento: Diseñados para
proporcionar certeza razonable de que los sistemas se desarrollan y mantienen de
manera eficiente y autorizada. También están diseñados típicamente para establecer
control sobre:
a. Pruebas, conversión, implementación y documentación de sistemas nuevos y
revisados
b. Cambios a sistemas de aplicación

25
 c. Acceso a documentación de sistemas
d. Adquisición de sistemas de aplicación con terceros.
3. Controles de operación de computadoras: Diseñados para controlar la operación de
los sistemas y proporcionar certeza razonable de que:
a. Los sistemas son usados para propósitos autorizados únicamente
b. El acceso a las operaciones de la computadora es restringido a personal autorizado
c. Sólo usan programas autorizados
d. Los errores de procesamiento son detectados y corregidos.
4. Controles del software de sistemas: Diseñados para proporcionar razonable certeza de
que el software del sistema se adquiere o desarrolla de manera autorizada y eficiente,
incluyendo:
a. Autorización, aprobación, pruebas, implementación y documentación de software de
sistemas nuevos y modificaciones del software de sistemas
b. Restricción de acceso a software y documentación de sistemas al personal autorizado.
5. Controles de entrada de datos y de programas: Diseñados para proporcionar
razonable certeza de que:
a. Hay establecida una estructura de autorización sobre las transacciones que se
alimentan al sistema
b. El acceso a datos y programas está restringido a personal autorizado.
6. Hay otras salvaguardas del CIS que contribuyen a la continuidad del procesamiento del
CIS. Estas pueden incluir:
a. Respaldo de datos y programas de computadora en otro sitio
b. Procedimientos de recuperación para usarse en caso de robo, pérdida o destrucción
intencional o accidental
c. Provisión para procesamiento externo en caso de desastre.

Controles de Aplicación del CIS

El propósito de los controles de aplicación de CIS es establecer procedimientos específicos

de control sobre las aplicaciones contables para proporcionar razonable certeza de que
todas las transacciones están autorizadas y registradas, y son procesadas completamente,
con exactitud y con oportunidad. Los controles de aplicación de CIS incluyen:

1. Controles sobre datos de entrada: Diseñados para proporcionar razonable certeza de

que:
a. Las transacciones son autorizadas en forma apropiada antes de ser procesadas por
la computadora
b. Las transacciones son convertidas con exactitud a una forma legible por máquina
y registradas en los archivos de datos de la computadora
c. Las transacciones no están perdidas, añadidas, duplicadas o cambiadas en forma
impropia
d. Las transacciones incorrectas son rechazadas, corregidas y, si es necesario,
vueltas a procesar oportunamente.
2. Controles sobre el procesamiento y sobre archivos de datos de la computadora:
Diseñados para proporcionar certeza razonable de que:

26
 a. Las transacciones, incluyendo las transacciones generadas por el sistema, son
procesadas en forma apropiada por la computadora
b. Las transacciones no están perdidas, añadidas, duplicadas o cambiadas en forma
no apropiada
c. Los errores de procesamiento son identificados y corregidos oportunamente.
3. Controles sobre los datos de salida: Diseñados para proporcionar razonable certeza
de que:
a. Los resultados del procesamiento son exactos
b. El acceso a los datos de salida está restringido a personal autorizado
c. Los datos de salida se proporcionan al personal autorizado apropiado
oportunamente.

Revisión de los Controles Generales del CIS.

El auditor deberá considerar cómo estos controles generales del CIS afectan las
aplicaciones del CIS importantes para la auditoría. Los controles generales del CIS que se
relacionan a algunas o todas las aplicaciones son controles típicamente interdependientes en
cuanto a que su operación es a menudo esencial para la efectividad de los controles de
aplicación del CIS.

Revisión de Controles de Aplicación del CIS

El control sobre los datos de entrada, procesamiento, archivos de datos y salida de datos
puede ser desempeñado por personal del CIS, por usuarios del sistema, por un grupo de
control separado o puede ser programado en el software de aplicación. Los controles de
aplicación del CIS que el auditor puede desear probar incluyen:

 Controles manuales ejercidos por el usuario: Si los controles manuales ejercidos por el
usuario del sistema de aplicación tienen la capacidad de dar una certeza razonable de
que los datos de salida del sistema son completos, exactos y autorizados, el auditor
puede decidir limitar las pruebas de control a estos controles manuales (por ejemplo,
los controles manuales ejercidos por el usuario sobre el sistema computarizado de
nóminas para empleados asalariados podría incluir un total anticipado del control de
entradas para los pagos brutos, la comprobación de los cálculos de salida de salarios
netos, la aprobación de pagos y transferencia de fondos, la comparación con las cifras
del registro de nómina, y una rápida conciliación bancaria.) En este caso, el auditor
puede desear probar sólo los controles manuales ejercidos por el usuario.
 Controles sobre los datos de salida del sistema: Si, además de los controles manuales
ejercidos por el usuario, los controles que deben probarse usan información producida
por la computadora o están contenidos dentro de programas de computadora, puede ser
posible probar dichos controles examinando los datos de salida del sistema usando
técnicas de auditoría ya sea manual o con ayuda de computadora. Dichos datos de
salida pueden ser en forma de medios magnéticos, microfilm o impresos

27
 Procedimientos de control programados: En el caso de ciertos sistemas por
computadora, el auditor puede encontrar que no sea posible o, en algunos casos, no sea
práctico probar los controles examinando sólo los controles del usuario o los datos de
salida del sistema (por ejemplo, en una aplicación que no da resultados impresos de
aprobaciones críticas o violaciones a las políticas normales, el auditor puede querer
probar los procedimientos de control contenidos dentro del programa de aplicación. El
auditor puede considerar llevar a cabo pruebas de control con el uso de técnicas de
auditoría con ayuda de computadora, como prueba de los datos, reprocesamiento de
datos de transacciones o, en situaciones inusuales, examinar la codificación del
programa de aplicación.

Evaluación

Los controles generales del CIS pueden tener un efecto significativo en el procesamiento de
transacciones en los sistemas de aplicación. Si estos controles no son efectivos, puede haber
un riesgo de que pudieran ocurrir representaciones erróneas y no ser detectadas en los
sistemas de aplicación. Así, las debilidades en los controles generales del CIS pueden
imposibilitar la prueba de ciertos controles de aplicación del CIS; sin embargo, los
procedimientos manuales ejercidos por los usuarios pueden proporcionar control efectivo al
nivel de aplicación.

DIPA 1009: “Técnicas de Auditoria con la ayuda de la computadora”

Los objetivos y alcance global de una auditoria no cambian cuando se conduce una
auditoria en un ambiente de sistemas de información de cómputo (CIS). Sin embargo, la
aplicación de procedimientos de auditoría puede requerir que el auditor considere técnicas
conocidas como Técnicas de auditoría con ayuda de computadora (TAACs) que usan la
computadora como una herramienta de auditoría.

Las TAACs pueden mejorar la efectividad y eficiencia de los procedimientos de auditoría.

Pueden también proporcionar pruebas de control efectivas y procedimientos sustantivos
cuando no haya documentos de entrada o un rastro visible de auditoría, o cuando la
población y tamaños de muestra sean muy grandes.

El propósito de esta declaración es proporcionar lineamientos sobre el uso de TAACs.

Se aplica a todos los usos de TAACs que requieran el uso de una computadora de cualquier
tipo o tamaño. Las consideraciones especiales que se refieren a ambientes de CIS en
entidades pequeñas se describen más adelante.

Descripción de técnicas de auditoría con ayuda de computadora

28
Esta declaración describe las técnicas de auditoría con ayuda de computadora incluyendo
herramientas de auditoría, conocidas en forma colectiva como TAACs. Las TAACs pueden
usarse para desarrollar diversos procedimientos de auditoría, incluyendo los siguientes:

 Pruebas de detalles de transacciones y saldos, por ejemplo, el uso de software de

auditoría para recalcular los intereses o la extracción de facturas por encima de un cierto
valor de los registros de computadora
 Procedimientos analíticos, por ejemplo, identificar inconsistencias o fluctuaciones
importantes
 Pruebas de controles generales, por ejemplo, pruebas de la instalación o configuración
del sistema operativo o procedimientos de acceso a las bibliotecas de programas o el uso
de software de comparación de códigos para verificar que la versión del programa en
uso es la versión aprobada por la administración
 Muestreo de programas para extraer datos para pruebas de auditoría
 Pruebas de controles de aplicación, por ejemplo, pruebas del funcionamiento de un
control programado
 Rehacer cálculos realizados por los sistemas de contabilidad de la entidad.

Las TAACs son programas y datos de computadora que el auditor usa como parte de los
procedimientos de auditoría para procesar datos importantes para la auditoria contenidos en
los sistemas de información de una entidad. Los datos pueden ser datos de transacciones,
sobre los que el auditor desea realizar pruebas de controles o procedimientos sustantivos, o
pueden ser otros tipos de datos. Por ejemplo, los detalles de la aplicación de algunos
controles generales pueden mantenerse en forma de archivos de texto u otros archivos por
aplicaciones que no sean parte del sistema contable. El auditor puede usar TAACs para
revisar dichos archivos para obtener evidencia de la existencia y operación de dichos
controles. Las TAACs pueden consistir en programas de paquete, programas escritos para
un propósito, programas de utilería o programas de administración del sistema.
Independientemente del origen de los programas, el auditor ratifica que sean apropiados y
su validez para fines de auditoría antes de usarlos:

 Los programas en paquete son programas generalizados de computadora diseñados

para desempeñar funciones de procesamiento de datos, tales como leer datos,
seleccionar y analizar información, hacer cálculos, crear archivos de datos así como dar
informes en un formato especificado por el auditor.
 Los programas escritos para un propósito desempeñan tareas de auditoria en
circunstancias específicas. Estos programas pueden desarrollarse por el auditor, por la
entidad que está siendo auditada o por un programador externo contratado por el
auditor. En algunos casos el auditor puede usar los programas existentes de una entidad
en su estado original o modificados porque así puede ser más eficiente que desarrollar
programas independientes.

29
 Los programas de utilerías se usan por una entidad para desempeñar funciones
comunes de procesamiento de datos, tales como clasificación, creación e impresión de
archivos. Estos programas generalmente no están diseñados para propósitos de
auditoria y, por lo tanto, pueden no contener características tales como conteos
automáticos de registros o totales de control.
 Los programas de administración del sistema son herramientas de productividad
mejorada que típicamente son parte de un ambiente sofisticado de sistemas operativos,
por ejemplo, software de recuperación de datos o software de comparación de códigos.
Como los programas de utilerías, estas herramientas no están diseñadas
específicamente para usarlos en auditoria y su uso requiere un cuidado adicional.
 Las rutinas de auditoria incorporadas a veces están integradas en un sistema de
computadoras de una entidad para proporcionar datos de uso posterior por el auditor.
Incluyen:

1. Fotos instantáneas: Esta técnica implica tomar una foto de una transacción mientras
fluye por los sistemas de computadora. Las rutinas del software de auditoria están
incorporadas en diferentes puntos de la lógica del procesamiento para capturar
imágenes de la transacción mientras avanza por las diversas etapas del
procesamiento. Esta técnica permite al auditor rastrear los datos y evaluar los
procesos de computadora aplicados a los datos.
2. Archivo de revisión de auditoria del control del sistema. Este implica incorporar
módulos de software de auditoria dentro de un sistema de aplicaciones para
proporcionar monitoreo continuo de las transacciones del sistema. La información
es reunida en un archivo especial de computadora que el auditor puede examinar.

a. Las técnicas de datos de prueba a veces se usan durante una auditoria,

alimentando datos (por ejemplo, una muestra de transacciones) en el sistema de
computadora de una entidad y comparando los resultados obtenidos con
resultados predeterminados

3. Un auditor podría usar datos de prueba para:

 Poner a prueba controles específicos en programas de computadora, tales como
controles en línea de contraseñas y acceso a datos;
 Poner a prueba transacciones seleccionadas de transacciones previamente
procesadas o creadas por el auditor para poner a prueba características específicas
de procesamiento de los sistemas de información de una entidad. Dichas
transacciones generalmente son procesadas por separado del procesamiento
normal de la entidad; y
 Poner a prueba transacciones usadas en un mecanismo integrado de pruebas donde
se establece una unidad modelo (por ejemplo, un departamento o empleado
ficticio), a la cual se le registran las transacciones durante el ciclo de
procesamiento normal.

30
Cuando se procesan los datos de prueba con el procesamiento normal de la entidad, el
auditor se asegura de que las transacciones de prueba sean eliminadas posteriormente de los
registros contables de la entidad.

El creciente poder y sofisticación de las microcomputadoras, particularmente laptops, ha

dado como resultado otras herramientas para uso del auditor. En algunos casos, las laptops
serán enlazadas a los sistemas de computadora central del auditor.

Consideraciones en el uso de TAACs

Al planear una auditoria, el auditor puede considerar una combinación apropiada de

técnicas de auditoria manuales y con ayuda de computadora. Al evaluar el uso de TAACs,
los factores a considerar incluyen:

Antes de usar TAACs el auditor considera los controles incorporados en el diseño de los
sistemas de computadora de la entidad a los que se aplicarían éstas para determinar cómo
deberían emplearse.

1. Conocimiento, pericia y experiencia del equipo de auditoría del ambiente de CIS

La NIA 401, “Auditoria en un Ambiente de Sistemas de Información por Computadora”

trata del nivel de habilidades y competencia que necesita el equipo de auditoría para conducir
una auditoria en un ambiente de CIS. Proporciona lineamientos para cuando un auditor
delega trabajo a ayudantes con habilidades de CIS o cuando se usa el trabajo de otros
auditores o expertos con dichas habilidades. Específicamente, el equipo de auditoría deberá
tener suficiente conocimiento para planear, ejecutar y usar los resultados de la TAAC
particular que se adopte. El nivel de conocimiento requerido depende de la complejidad y
naturaleza de la TAAC y del sistema de información de la entidad.

2. Disponibilidad de TAACs e instalaciones adecuadas de computación

El auditor deberá considerar la disponibilidad de las TAACs, instalaciones adecuadas de

computación y los sistemas de información y datos necesarios basados en computadoras. El
auditor puede planear el uso de otras instalaciones de computación cuando el uso de
TAACs en una computadora de la entidad no es económico o no es factible, por ejemplo, a
causa de una incompatibilidad entre el programa del paquete del auditor y la computadora
de la entidad. Además, el auditor puede elegir usar sus propias instalaciones, como
microcomputadoras o laptops.

3. Imposibilidad de pruebas manuales

Quizá no sea posible desempeñar manualmente algunos procedimientos de auditoria

porque dependen de un procesamiento complejo (por ejemplo, análisis estadístico
avanzado) o implica cantidades de datos que sobrepasarían cualquier procedimiento

31
manual. Además, muchos sistemas de información por computadora desempeñan tareas
para las que no hay evidencia de copias impresas disponibles y, por lo tanto, puede no ser
factible para el auditor desempeñar las pruebas manualmente. La falta de evidencia en
copias impresas puede ocurrir en diferentes etapas del ciclo de negocios.

 La fuente de información puede ser iniciada electrónicamente por la activación de voz,

imágenes electrónicas de datos o transferencias electrónicas de fondos en el punto de
venta. Además, algunas transacciones como descuentos y cálculo de intereses, pueden
generarse directamente por programas de computadora sin autorización específica de
las transacciones individuales.
 Un sistema puede no producir un rastro visible de auditoria que proporcione certeza
sobre la totalidad y exactitud de las transacciones procesadas.
 Un sistema puede no producir informes en copia impresa. Además, un informe impreso
puede contener sólo totales resumidos mientras que los archivos de computadora
retienen los detalles de soporte.

4. Efectividad y eficiencia

La efectividad y eficiencia de los procedimientos de auditoria pueden mejorarse usando las

TAACs para obtener y evaluar la evidencia de auditoria. Las TAACs son a menudo un
medio eficiente de poner a prueba un gran número de transacciones o controles sobre
grandes volúmenes por medio de:

 Analizar y seleccionar muestras de un gran volumen de transacciones;

 Aplicar procedimientos analíticos; y
 Desarrollar procedimientos sustantivos.

Los asuntos relacionados con la eficiencia que pueden ser considerados por el auditor
incluyen:

 El tiempo para planear, diseñar, ejecutar y evaluar la TAAC

 Revisión técnica y horas de asistencia
 Diseño e impresión de formas (por ejemplo, confirmaciones)
 Disponibilidad de recursos de computación.

Al evaluar la efectividad y eficiencia de una TAAC, el auditor puede considerar el uso

continuo de la aplicación de la TAAC. La planeación inicial, diseño y desarrollo de una
TAAC generalmente beneficiará a las auditorias de períodos posteriores.

5. Oportunidad

32
 Ciertos datos, como detalles de transacciones, a menudo se conservan por sólo un corto
tiempo, y pueden no estar disponibles en forma legible por la máquina para cuando el
auditor lo requiere. Así, el auditor necesitará hacer arreglos para la retención de los datos
requeridos, o puede necesitar alterar la programación del trabajo que requiera de estos
datos.

Cuando el tiempo disponible para desempeñar una auditoria sea limitado, el auditor puede
planear el uso de una TAAC, porque cumplirá con su requerimiento de tiempo mejor que
otros procedimientos posibles.

Utilización de TAACs

Los pasos principales que debe tomar el auditor en la aplicación de una TAAC son:

 Establecer el objetivo de aplicación de la TAAC

 Determinar el contenido y accesibilidad de los archivos de la entidad
 Identificar los archivos específicos o bases de datos que deben examinarse
 Entender la relación entre las tablas de datos cuando deba examinarse una base de datos
 Definir las pruebas o procedimientos específicos y transacciones relacionadas y saldos
afectados
 Definir los requerimientos de datos de salida
 Convenir con el usuario y departamentos de CIS, si es apropiado, en las copias de los
archivos relevantes o tablas de bases de datos que deben hacerse en la fecha y momento
apropiado del corte
 Identificar al personal que puede participar en el diseño y aplicación de la TAAC
 Refinar las estimaciones de costos y beneficios
 Asegurarse que el uso de la TAAC está controlado y documentado en forma apropiada
 Organizar las actividades administrativas, incluyendo las habilidades necesarias e
instalaciones de computación
 Conciliar los datos que deban usarse para la TAAC con los registros contables;
 Ejecutar la aplicación de la TAAC
 Evaluar los resultados.

1. Control de la aplicación de la TAAC

Los procedimientos específicos necesarios para controlar el uso de una TAAC dependen
de la aplicación particular. Al establecer el control, el auditor considera la necesidad de:

a. Aprobar especificaciones y conducir una revisión del trabajo que deba desarrollar la
TAAC.
b. Revisar los controles generales de la entidad que puedan contribuir a la integridad
de la TAAC, por ejemplo, controles sobre cambios a programas y acceso a archivos

33
 de computadora. Cuando dichos controles no son confiables para asegurar la
integridad de la TAAC, el auditor puede considerar el proceso de la aplicación de la
TAAC en otra instalación de computación adecuada.
c. Asegurar la integración apropiada de los datos de salida dentro del proceso de
auditoria por parte del auditor.

Los procedimientos llevados a cabo por el auditor para controlar las aplicaciones de la
TAAC pueden incluir:

a. Participar en el diseño y pruebas de la TAAC.

b. Verificar, si es aplicable, la codificación del programa para asegurar que esté de
acuerdo con las especificaciones detalladas del programa.
c. Solicitar al personal de computación de la entidad revisar las instrucciones del sistema
operativo para asegurar que el software correrá en la instalación de computación de la
entidad.
d. Ejecutar el software de auditoria en pequeños archivos de prueba antes de ejecutarlo en
los archivos principales de datos.
e. Verificar si se usaron los archivos correctos, por ejemplo, verificando la evidencia
externa, como totales de controles mantenidos por el usuario, y que dichos archivos
estén completos.
f. Obtener evidencia de que el software de auditoria funcionó según lo planeado, por
ejemplo, revisando los datos de salida y la información de control.
g. Establecer medidas apropiadas de seguridad para salvaguardar la integridad y
confidencialidad de los datos.

Cuando el auditor tiene la intención de desarrollar procedimientos de auditoria en forma

concurrente con procesamiento en línea, el auditor revisa dichos procedimientos con el
personal apropiado del cliente y obtiene aprobación antes de conducir las pruebas para
ayudar a evitar la alteración inadvertida de los registros del cliente.

Para asegurar procedimientos de control apropiados, no se requiere necesariamente la

presencia del auditor en la instalación de computación durante la ejecución de una TAAC.
Sin embargo, esto puede proporcionar ventajas prácticas, como controlar la distribución de
los datos de salida y asegurar la corrección oportuna de errores, por ejemplo, si se fuera a
usar un archivo de entrada equivocado.

Los procedimientos de auditoria para controlar las aplicaciones de datos de prueba pueden
incluir:

a. Controlar la secuencia de presentación de datos de prueba cuando se extienda a varios

ciclos de procesamiento.
b. Realizar corridas de prueba que contengan pequeñas cantidades de datos de prueba
antes de presentar los datos de prueba principales de la auditoria
c. Predecir los resultados de los datos de prueba y compararlos con la salida real de
datos de pruebas, para las transacciones individuales y, en total

34
 d. Confirmar que se usó la versión actual de los programas para procesar los datos de
prueba
e. Poner a prueba si los programas usados para procesar los datos de prueba fueron
utilizados por la entidad durante el periodo aplicable de auditoria.

Cuando el auditor utilice una TAAC, puede requerir la cooperación de personal de la

entidad con amplio conocimiento de la instalación de computación. En estas circunstancias,
el auditor puede considerar si el personal influyó en forma inapropiada en los resultados de
la TAAC.

Los procedimientos de auditoria para controlar el uso de un software de ayuda para la

auditoria pueden incluir:

a. Verificar la totalidad, exactitud y disponibilidad de los datos relevantes, por

ejemplo, pueden requerirse datos históricos para elaborar un modelo financiero
b. Revisar la razonabilidad de los supuestos usados en la aplicación del conjunto de
herramientas, particularmente cuando se usa software de modelaje
c. Verificar la disponibilidad de recursos con habilidad en el uso y control de las
herramientas seleccionadas
d. Confirmar lo adecuado del conjunto de herramientas para el objetivo de auditoria,
por ejemplo, puede ser necesario el uso de sistemas específicos para la industria en
el diseño de programas de auditoria para negocios con ciclos únicos.

2. Documentación

El estándar de papeles de trabajo y de procedimientos de retención para una TAAC es

consistente con el de la auditoria como un todo.

Los papeles de trabajo necesitan contener suficiente documentación para describir la

aplicación de la TAAC, tal como:

Planeación
• Objetivos de la TAAC
• Consideración de la TAAC especifica que se va a usar
• Controles que se van a ejercer
• Personal, tiempo, y costo.
Ejecución
• Preparación de la TAAC y procedimientos de prueba y controles
• Detalles de las pruebas realizadas por la TAAC
• Detalles de datos de entrada, procesamiento y datos de salida
• Información técnica relevante sobre el sistema de contabilidad de la entidad, tal como
la organización de archivos.
- Evidencia de auditoria
• Datos de salida proporcionados
• Descripción del trabajo de auditoria desarrollado en los datos de salida
• Conclusiones de auditoria.

35
 • Recomendaciones a la administración de la entidad
• Además, puede ser útil documentar las sugerencias para usar la TAAC en años futuros.

3. Utilización de TAACs en ambientes de CIS en entidades pequeñas

Aunque los principios generales explicados en esta declaración se aplican a ambientes de

CIS en entidades pequeñas, los siguientes puntos necesitan consideración especial:

• El nivel de controles generales puede ser tal que el auditor deposite menos
confiabilidad en el sistema de control interno. Esto dará como resultado un mayor énfasis
sobre pruebas de detalles de transacciones y saldos y procedimientos analíticos de revisión,
lo que puede incrementar la efectividad de ciertas TAACs, particularmente software de
auditoria
• Cuando se procesan volúmenes menores de datos, los métodos manuales pueden ser de
costo más efectivo.
• Una entidad pequeña quizá no pueda proporcionar al auditor ayuda técnica adecuada,
haciendo poco factible el uso de TAACs.

1010. LA CONSIDERACIÓN DE ASUNTOS AMBIENTALES EN LA AUDITORÍA

DE ESTADOS FINANCIEROS

Esta declaración proporciona ayuda práctica a los auditores al describir: las principales
consideraciones del auditor en una auditoria de estados financieros con relación a asuntos
ambientales, ejemplos de posibles impactos de los asuntos ambientales en los estados
financieros y guía que el auditor puede considerar cuando ejerza su juicio profesional.
Las cuestiones relacionadas con el medio ambiente son relevantes en un número creciente de
entidades y, en determinadas circunstancias, pueden tener impacto significativo en sus
estados financieros. Estas cuestiones son cada vez de mayor interés para los usuarios de los
estados financieros. El reconocimiento, medida e información sobre estas materias es
responsabilidad de la dirección.

Para algunas entidades, las cuestiones relacionadas con el medio ambiente no son
significativas. Sin embargo, cuando ello no es así, puede existir el riesgo de irregularidades
significativas (incluida la presentación no adecuada) en los estados financieros resultantes;
en tales circunstancias, el auditor debe prestar atención a cuestiones relacionadas con el
medio ambiente en la auditoría de los estados financieros.

36
Las cuestiones relacionadas con el medio ambiente pueden resultar complejas y, por tanto,
pueden requerir especial atención por los auditores. Esta Declaración suministra criterios a
los auditores, describiendo:

a) las principales consideraciones que debe tener el cuenta el auditor en relación con las
cuestiones relacionadas con el medio ambiente;
b) ejemplos de posibles incidencias de cuestiones medioambientales en los estados
financieros; y
c) criterios a tener en cuenta por el auditor al ejercer su juicio profesional en tal contexto,
al objeto de determinar la naturaleza, programación y alcance de los procedimientos de
auditoría en relación con:

- conocimiento de las actividades del cliente (NIA 310);

- evaluación del riesgo y control interno (NIA 400);
- consideración de la legislación y la regulación (NIA 250); y
- otros procedimientos sustantivos (NIA 620, entre otras).

1009 - TÉCNICAS DE AUDITORÍA CON AYUDA DE COMPUTADORA

Los objetivos y alcance global de una auditoría no cambian cuando se conduce una auditoría
en un ambiente de sistemas de información de cómputo (CIS). Sin embargo, la aplicación de
procedimientos de auditoría puede requerir que el auditor considere técnicas conocidas como
Técnicas de auditoría con ayuda de computadora (TAACs) que usan la computadora como
una herramienta de auditoría.

Las TAACs pueden mejorar la efectividad y eficiencia de los procedimientos de auditoría.

Pueden también proporcionar pruebas de control efectivas y procedimientos sustantivos
cuando no haya documentos de entrada o un rastro visible de auditoría, o cuando la población
y tamaños de muestra sean muy grandes.

El propósito de esta declaración es proporcionar lineamientos sobre el uso de TAACs. Se

aplica a todos los usos de TAACs que requieran el uso de una computadora de cualquier tipo
o tamaño. Las consideraciones especiales que se refieren a ambientes de CIS en entidades
pequeñas se describen más adelante.

37
Descripción de técnicas de auditoría con ayuda de computadora (TAACs CAATs Computer
assisted audit techniques)

Esta declaración describe las técnicas de auditoría con ayuda de computadora incluyendo
herramientas de auditoría, conocidas en forma colectiva como TAACs. Las TAACs pueden
usarse para desarrollar diversos procedimientos de auditoría, incluyendo los siguientes:

• Pruebas de detalles de transacciones y saldos, por ejemplo, el uso de software de auditoría

para recalcular los intereses o la extracción de facturas por encima de un cierto valor de los
registros de computadora;

• Procedimientos analíticos, por ejemplo, identificar inconsistencias o fluctuaciones

importantes;
• pruebas de controles generales, por ejemplo, pruebas de la instalación o configuración del
sistema operativo o procedimientos de acceso a las bibliotecas de programas o el uso de
software de comparación de códigos para verificar que la versión del programa en uso es la
versión aprobada por la administración;
• Muestreo de programas para extraer datos para pruebas de auditoría;
• Pruebas de controles de aplicación, por ejemplo, pruebas del funcionamiento de un
control programado; y
• rehacer cálculos realizados por los sistemas de contabilidad de la entidad.

Las TAACs son programas y datos de computadora que el auditor usa como parte de los
procedimientos de auditoría para procesar datos importantes para la auditoría contenidos en
los sistemas de información de una entidad. Los datos pueden ser datos de transacciones,
sobre los que el auditor desea realizar pruebas de controles o procedimientos sustantivos, o
pueden ser otros tipos de datos. Por ejemplo, los detalles de la aplicación de algunos controles
generales pueden mantenerse en forma de archivos de texto u otros archivos por aplicaciones
que no sean parte del sistema contable. El auditor puede usar TAACs para revisar dichos
archivos para obtener evidencia de la existencia y operación de dichos controles. Las TAACs
pueden consistir en programas de paquete, programas escritos para un propósito, programas
de utilería o programas de administración del sistema. Independientemente del origen de los
programas, el auditor ratifica que sean apropiados y su validez para fines de auditoría antes
de usarlos:

• Los programas en paquete son programas generalizados de computadora diseñados para

desempeñar funciones de procesamiento de datos, tales como leer datos, seleccionar y
analizar información, hacer cálculos, crear archivos de datos así como dar informes en un
formato especificado por el auditor.
• Los programas escritos para un propósito desempeñan tareas de auditoría en
circunstancias específicas. Estos programas pueden desarrollarse por el auditor, por la
entidad que está siendo auditada o por un programador externo contratado por el auditor.
En algunos casos el auditor puede usar los programas existentes de una entidad en su estado
original o modificados porque así puede ser más eficiente que desarrollar programas
independientes.

38
• Los programas de utilerías se usan por una entidad para desempeñar funciones comunes
de procesamiento de datos, tales como clasificación, creación e impresión de archivos.
Estos programas generalmente no están diseñados para propósitos de auditoría y, por lo
tanto, pueden no contener características tales como conteos automáticos de registros o
totales de control.
• Los programas de administración del sistema son herramientas de productividad
mejorada que típicamente son parte de un ambiente sofisticado de sistemas operativos, por
ejemplo, software de recuperación de datos o software de comparación de códigos. Como
los programas de utilerías, estas herramientas no están diseñadas específicamente para
usarlos en auditoría y su uso requiere un cuidado adicional.
• Las rutinas de auditoría incorporadas a veces están integradas en un sistema de
computadoras de una entidad para proporcionar datos de uso posterior por el auditor.
Incluyen:

Fotos instantáneas: Esta técnica implica tomar una foto de una transacción mientras fluye
por los sistemas de computadora. Las rutinas del software de auditoría están incorporadas en
diferentes puntos de la lógica del procesamiento para capturar imágenes de la transacción
mientras avanza por las diversas etapas del procesamiento. Esta técnica permite al auditor
rastrear los datos y evaluar los procesos de computadora aplicados a los datos.

Archivo de revisión de auditoría del control del sistema. Este implica incorporar módulos
de software de auditoría dentro de un sistema de aplicaciones para proporcionar monitoreo
continuo de las transacciones del sistema. La información es reunida en un archivo especial
de computadora que el auditor puede examinar.

• Las técnicas de datos de prueba a veces se usan durante una auditoría, alimentando datos
(por ejemplo, una muestra de transacciones) en el sistema de computadora de una entidad y
comparando los resultados obtenidos con resultados predeterminados. Un auditor podría usar
datos de prueba para:

a) Poner a prueba controles específicos en programas de computadora, tales como

controles en línea de contraseñas y acceso a datos
b) Poner a prueba transacciones seleccionadas de transacciones previamente procesadas
o creadas por el auditor para poner a prueba características específicas de
procesamiento de los sistemas de información de una entidad. Dichas transacciones
generalmente son procesadas por separado del procesamiento normal de la entidad; y
c) poner a prueba transacciones usadas en un mecanismo integrado de pruebas donde se
establece una unidad modelo (por ejemplo, un departamento o empleado ficticio), a
la cual se le registran las transacciones durante el ciclo de procesamiento normal.

Cuando se procesan los datos de prueba con el procesamiento normal de la entidad, el auditor
se asegura de que las transacciones de prueba sean eliminadas posteriormente de los registros
contables de la entidad.

39
El creciente poder y sofisticación de las microcomputadoras, particularmente laptops, ha
dado como resultado otras herramientas para uso del auditor. En algunos casos, las laptops
serán enlazadas a los sistemas de computadora central del auditor. Ejemplos de estas técnicas
incluyen:

• Sistemas expertos, por ejemplo en el diseño de programas de auditoría y en la planeación

de auditoría y evaluación de riesgos;
• Herramientas para evaluar los procedimientos de un cliente para la administración de
riesgos;
• Papeles de trabajo electrónicos, planeados para la extracción directa de datos de los
registros de la computadora del cliente, por ejemplo: descargar el libro mayor para pruebas
de auditoría; y
• Programas de modelaje corporativo y financiero para usar como pruebas predecibles de
auditoría.
Estas técnicas son más comúnmente conocidas como “automatización de la auditoría.”

Consideraciones en el uso de TAACs

Al planear una auditoría, el auditor puede considerar una combinación apropiada de técnicas
de auditoría manuales y con ayuda de computadora. Al evaluar el uso de TAACs, los factores
a considerar incluyen:

• El conocimiento, pericia y experiencia del equipo de auditoría del ambiente de CIS;

• La disponibilidad de TAACs e instalaciones y datos adecuados de computación;
• La imposibilidad de pruebas manuales;
• Efectividad y eficiencia; y
• Oportunidad.
Antes de usar TAACs el auditor considera los controles incorporados en el diseño de los
sistemas de computadora de la entidad a los que se aplicarían éstas para determinar cómo
deberían emplearse.

Conocimiento, pericia y experiencia del equipo de auditoría del ambiente de CIS

La NIA 401, “Auditoría en un Ambiente de Sistemas de Información por Computadora” trata

del nivel de habilidades y competencia que necesita el equipo de auditoría para conducir una
auditoría en un ambiente de CIS. Proporciona lineamientos para cuando un auditor delega
trabajo a ayudantes con habilidades de CIS o cuando se usa el trabajo de otros auditores o
expertos con dichas habilidades. Específicamente, el equipo de auditoría deberá tener
suficiente conocimiento para planear, ejecutar y usar los resultados de la TAAC particular
que se adopte. El nivel de conocimiento requerido depende de la complejidad y naturaleza
de la TAAC y del sistema de información de la entidad.

Disponibilidad de TAACs e instalaciones adecuadas de computación

40
El auditor deberá considerar la disponibilidad de las TAACs, instalaciones adecuadas de
computación y los sistemas de información y datos necesarios basados en computadoras. El
auditor puede planear el uso de otras instalaciones de computación cuando el uso de TAACs
en una computadora de la entidad no es económico o no es factible, por ejemplo, a causa de
una incompatibilidad entre el programa del paquete del auditor y la computadora de la
entidad. Además, el auditor puede elegir usar sus propias instalaciones, como
microcomputadoras o laptops.

Puede requerirse la cooperación del personal de la entidad para proporcionar las

instalaciones de procesamiento en un horario cómodo, para ayudar con actividades como la
carga y ejecución de las TAACs en el sistema de la entidad, y proporcionar copias de archivos
de datos en el formato requerido por el auditor.

Imposibilidad de pruebas manuales

Quizá no sea posible desempeñar manualmente algunos procedimientos de auditoría porque

dependen de un procesamiento complejo (por ejemplo, análisis estadístico avanzado) o
implica cantidades de datos que sobrepasarían cualquier procedimiento manual. Además,
muchos sistemas de información por computadora desempeñan tareas para las que no hay
evidencia de copias impresas disponibles y, por lo tanto, puede no ser factible para el auditor
desempeñar las pruebas manualmente. La falta de evidencia en copias impresas puede ocurrir
en diferentes etapas del ciclo de negocios.

• La fuente de información puede ser iniciada electrónicamente por la activación de voz,

imágenes electrónicas de datos o transferencias electrónicas de fondos en el punto de venta.
Además, algunas transacciones como descuentos y cálculo de intereses, pueden generarse
directamente por programas de computadora sin autorización específica de las
transacciones individuales.
• Un sistema puede no producir un rastro visible de auditoría que proporcione certeza sobre
la totalidad y exactitud de las transacciones procesadas. Por ejemplo, un programa de
computadora podría cotejar las notas de entrega con las facturas de proveedores. Además,
los procedimientos de control programados como verificación de límites de crédito de
clientes, pueden proporcionar evidencia de copia impresa sólo con base en excepciones.
• Un sistema puede no producir informes en copia impresa. Además, un informe impreso
puede contener sólo totales resumidos mientras que los archivos de computadora retienen
los detalles de soporte.

Efectividad y eficiencia

La efectividad y eficiencia de los procedimientos de auditoría pueden mejorarse usando las

TAACs para obtener y evaluar la evidencia de auditoría. Las TAACs son a menudo un medio
eficiente de poner a prueba un gran número de transacciones o controles sobre grandes
volúmenes por medio de:

41
• analizar y seleccionar muestras de un gran volumen de transacciones;
• aplicar procedimientos analíticos; y
• desarrollar procedimientos sustantivos.

Los asuntos relacionados con la eficiencia que pueden ser considerados por el auditor
incluyen:

• El tiempo para planear, diseñar, ejecutar y evaluar la TAAC;

• Revisión técnica y horas de asistencia;
• Diseño e impresión de formas (por ejemplo, confirmaciones); y
• Disponibilidad de recursos de computación.

Al evaluar la efectividad y eficiencia de una TAAC, el auditor puede considerar el uso

continuo de la aplicación de la TAAC. La planeación inicial, diseño y desarrollo de una
TAAC generalmente beneficiará a las auditorías de períodos posteriores.

Oportunidad

Ciertos datos, como detalles de transacciones, a menudo se conservan por sólo un corto
tiempo, y pueden no estar disponibles en forma legible por la máquina para cuando el auditor
lo requiere. Así, el auditor necesitará hacer arreglos para la retención de los datos requeridos,
o puede necesitar alterar la programación del trabajo que requiera de estos datos.

Cuando el tiempo disponible para desempeñar una auditoría sea limitado, el auditor puede
planear el uso de una TAAC, porque cumplirá con su requerimiento de tiempo mejor que
otros procedimientos posibles.

Utilización de TAACs

Los pasos principales que debe tomar el auditor en la aplicación de una TAAC son:

(a) establecer el objetivo de aplicación de la TAAC;

(b) determinar el contenido y accesibilidad de los archivos de la entidad;
(c) identificar los archivos específicos o bases de datos que deben examinarse;
(d) entender la relación entre las tablas de datos cuando deba examinarse una base de
datos;
(e) definir las pruebas o procedimientos específicos y transacciones relacionadas y
saldos afectados;
(f) definir los requerimientos de datos de salida;
(g) convenir con el usuario y departamentos de CIS, si es apropiado, en las copias de
los archivos relevantes o tablas de bases de datos que deben hacerse en la fecha y
momento apropiado del corte;
(h) identificar al personal que puede participar en el diseño y aplicación de la TAAC;
(i) refinar las estimaciones de costos y beneficios;
(j) asegurarse que el uso de la TAAC está controlado y documentado en forma
apropiada;

42
 (k) organizar las actividades administrativas, incluyendo las habilidades necesarias e
instalaciones de computación;
(l) conciliar los datos que deban usarse para la TAAC con los registros contables;
(m) ejecutar la aplicación de la TAAC; y
(n) evaluar los resultados.

Control de la aplicación de la TAAC

Los procedimientos específicos necesarios para controlar el uso de una TAAC dependen de
la aplicación particular. Al establecer el control, el auditor considera la necesidad de:

(a) aprobar especificaciones y conducir una revisión del trabajo que deba desarrollar la
TAAC;
(b) revisar los controles generales de la entidad que puedan contribuir a la integridad de la
TAAC, por ejemplo, controles sobre cambios a programas y acceso a archivos de
computadora. Cuando dichos controles no son confiables para asegurar la integridad de
la TAAC, el auditor puede considerar el proceso de la aplicación de la TAAC en otra
instalación de computación adecuada; y
(c) asegurar la integración apropiada de los datos de salida dentro del proceso de auditoría
por parte del auditor.

Los procedimientos llevados a cabo por el auditor para controlar las aplicaciones de la TAAC
pueden incluir:

(a) participar en el diseño y pruebas de la TAAC;

(b) verificar, si es aplicable, la codificación del programa para asegurar que esté de
acuerdo con las especificaciones detalladas del programa;
(c) solicitar al personal de computación de la entidad revisar las instrucciones del sistema
operativo para asegurar que el software correrá en la instalación de computación de la
entidad;
(d) ejecutar el software de auditoría en pequeños archivos de prueba antes de ejecutarlo
en los archivos principales de datos;
(e) verificar si se usaron los archivos correctos, por ejemplo, verificando la evidencia
externa, como totales de controles mantenidos por el usuario, y que dichos archivos
estén completos.
(f) obtener evidencia de que el software de auditoría funcionó según lo planeado, por
ejemplo, revisando los datos de salida y la información de control; y
(g) establecer medidas apropiadas de seguridad para salvaguardar la integridad y
confidencialidad de los datos.

Cuando el auditor tiene la intención de desarrollar procedimientos de auditoría en forma

concurrente con procesamiento en línea, el auditor revisa dichos procedimientos con el
personal apropiado del cliente y obtiene aprobación antes de conducir las pruebas para ayudar
a evitar la alteración inadvertida de los registros del cliente.

43
Para asegurar procedimientos de control apropiados, no se requiere necesariamente la
presencia del auditor en la instalación de computación durante la ejecución de una TAAC.
Sin embargo, esto puede proporcionar ventajas prácticas, como controlar la distribución de
los datos de salida y asegurar la corrección oportuna de errores, por ejemplo, si se fuera a
usar un archivo de entrada equivocado.

Los procedimientos de auditoría para controlar las aplicaciones de datos de prueba pueden
incluir:

• controlar la secuencia de presentación de datos de prueba cuando se extienda a varios

ciclos de procesamiento;
• realizar corridas de prueba que contengan pequeñas cantidades de datos de prueba antes
de presentar los datos de prueba principales de la auditoría;
• predecir los resultados de los datos de prueba y compararlos con la salida real de datos de
pruebas, para las transacciones individuales y, en total;
• confirmar que se usó la versión actual de los programas para procesar los datos de
prueba; y
• poner a prueba si los programas usados para procesar los datos de prueba fueron
utilizados por la entidad durante el periodo aplicable de auditoría.

Cuando el auditor utilice una TAAC, puede requerir la cooperación de personal de la entidad
con amplio conocimiento de la instalación de computación. En estas circunstancias, el auditor
puede considerar si el personal influyó en forma inapropiada en los resultados de la TAAC.

Los procedimientos de auditoría para controlar el uso de un software de ayuda para la

auditoría pueden incluir:

• verificar la totalidad, exactitud y disponibilidad de los datos relevantes, por ejemplo,

pueden requerirse datos históricos para elaborar un modelo financiero;
• revisar la razonabilidad de los supuestos usados en la aplicación del conjunto de
herramientas, particularmente cuando se usa software de modelaje;
• verificar la disponibilidad de recursos con habilidad en el uso y control de las
herramientas seleccionadas; y
• confirmar lo adecuado del conjunto de herramientas para el objetivo de auditoría, por
ejemplo, puede ser necesario el uso de sistemas específicos para la industria en el diseño de
programas de auditoría para negocios con ciclos únicos.

Documentación

El estándar de papeles de trabajo y de procedimientos de retención para una TAAC es

consistente con el de la auditoría como un todo (ver NIA 230, “Documentación”).

Los papeles de trabajo necesitan contener suficiente documentación para describir la

aplicación de la TAAC, tal como:

44
 a) Planeación

• Objetivos de la TAAC;
• Consideración de la TAAC especifica que se va a usar
• controles que se van a ejercer; y
• Personal, tiempo, y costo.

b) Ejecución

• Preparación de la TAAC y procedimientos de prueba y controles;

• Detalles de las pruebas realizadas por la TAAC;
• Detalles de datos de entrada, procesamiento y datos de salida; e
• Información técnica relevante sobre el sistema de contabilidad de la entidad, tal como la
organización de archivos.

c) Evidencia de auditoría

• Datos de salida proporcionados;

• Descripción del trabajo de auditoría desarrollado en los datos de salida; y
• Conclusiones de auditoría.

d) Otros

• Recomendaciones a la administración de la entidad,

• Además, puede ser útil documentar las sugerencias para usar la TAAC en años futuros.

Utilización de TAACs en ambientes de CIS en entidades pequeñas

Aunque los principios generales explicados en esta declaración se aplican a ambientes de

CIS en entidades pequeñas, los siguientes puntos necesitan consideración especial:

a) El nivel de controles generales puede ser tal que el auditor deposite menos
confiabilidad en el sistema de control interno. Esto dará como resultado un mayor
énfasis sobre pruebas de detalles de transacciones y saldos y procedimientos
analíticos de revisión, lo que puede incrementar la efectividad de ciertas TAACs,
particularmente software de auditoría.
b) Cuando se procesan volúmenes menores de datos, los métodos manuales pueden
ser de costo más efectivo.
c) Una entidad pequeña quizá no pueda proporcionar al auditor ayuda técnica
adecuada, haciendo poco factible el uso de TAACs.

Ciertos programas de auditoría en paquete pueden no operar en computadoras pequeñas,

restringiendo así la opción del auditor en cuanto a TAACs. Sin embargo, los archivos de
datos de la entidad pueden copiarse y procesarse en otra computadora adecuada.

45
1010. LA CONSIDERACIÓN DE ASUNTOS AMBIENTALES EN LA AUDITORÍA
DE ESTADOS FINANCIEROS

Esta declaración proporciona ayuda práctica a los auditores al describir: las principales
consideraciones del auditor en una auditoria de estados financieros con relación a asuntos
ambientales, ejemplos de posibles impactos de los asuntos ambientales en los estados
financieros y guía que el auditor puede considerar cuando ejerza su juicio profesional.
Las cuestiones relacionadas con el medio ambiente son relevantes en un número creciente de
entidades y, en determinadas circunstancias, pueden tener impacto significativo en sus
estados financieros. Estas cuestiones son cada vez de mayor interés para los usuarios de los
estados financieros. El reconocimiento, medida e información sobre estas materias es
responsabilidad de la dirección.

Para algunas entidades, las cuestiones relacionadas con el medio ambiente no son
significativas. Sin embargo, cuando ello no es así, puede existir el riesgo de irregularidades
significativas (incluida la presentación no adecuada) en los estados financieros resultantes;
en tales circunstancias, el auditor debe prestar atención a cuestiones relacionadas con el
medio ambiente en la auditoría de los estados financieros.

Las cuestiones relacionadas con el medio ambiente pueden resultar complejas y, por tanto,
pueden requerir especial atención por los auditores. Esta Declaración suministra criterios a
los auditores, describiendo:

d) las principales consideraciones que debe tener el cuenta el auditor en relación con las
cuestiones relacionadas con el medio ambiente;
e) ejemplos de posibles incidencias de cuestiones medioambientales en los estados
financieros; y
f) criterios a tener en cuenta por el auditor al ejercer su juicio profesional en tal contexto,
al objeto de determinar la naturaleza, programación y alcance de los procedimientos de
auditoría en relación con:

• conocimiento de las actividades del cliente (NIA 310);

• evaluación del riesgo y control interno (NIA 400);
• consideración de la legislación y la regulación (NIA 250); y
• otros procedimientos sustantivos (NIA 620, entre otras).

1012. AUDITORIA DE INSTRUMENTOS FINANCIEROS

46
El propósito de esta Declaración internacional de prácticas de auditoria (IAPS) es
proporcionar lineamientos al auditor para planear y desempeñar procedimientos de auditoria
para las aseveraciones de los estados financieros relacionadas con instrumentos financieros
derivados.

Esta IAPS se centra en la auditoria de derivados poseídos por usuarios finales, incluyendo
bancos y otras entidades del sector financiero cuando son los usuarios finales. Un usuario
final es una entidad que participa en una transacción financiera ya sea por medio de una bolsa
organizada o de un corredor, para fines de cobertura, administración de activos/pasivos o
para especular. Los usuarios finales consisten primordialmente en corporaciones, entidades
del gobierno, inversionistas institucionales e instituciones financieras. Las actividades de
derivados de un usuario final a menudo están relacionadas con la producción o uso por la
entidad de una materia prima (commodity). Los asuntos de sistemas de contabilidad y de
control interno asociados con la emisión o negociación de derivados pueden ser diferentes de
los relacionados con el uso de los derivados. La IAPS 1006, “La Auditoria de bancos
comerciales internacionales,” proporciona lineamientos sobre las auditorias de bancos y otras
entidades del sector financiero, e incluye lineamientos sobre la auditoria a bancos
comerciales internacionales que emiten o negocian derivados.

Auditoría de instrumentos financieros derivados. La norma provee guías para la planificación

y auditoría de las afirmaciones de los estados contables respecto de los instrumentos
financieros derivados (futuros, opciones, swaps, etc.) y sus variaciones, tanto respecto de su
medición como de su exposición

La responsabilidad del auditor relacionada con instrumentos financieros derivados, en el

contexto de la auditoría de estados financieros tomados como un todo, es considerar si las
aseveraciones de la administración relacionadas con los derivados dan como resultado
estados financieros preparados, respecto de todo lo importante, de acuerdo con el marco de
referencia para información financiera identificado.

1013. COMERCIO ELECTRÓNICO - EFECTO EN LA AUDITORIA DE ESTADOS

FINANCIEROS

El propósito de esta Declaración Práctica Internacional de Auditoria es proveer asistencia a

los auditores de estados financieros cuando la entidad cuyos estados financieros que están
siendo auditados, se ocupan de una actividad comercial que tiene lugar mediante la conexión
de computadores a una red pública tal como la internet (Internet e com). Las orientaciones
de esta Declaración son particularmente relevante con la aplicación de los siguientes

47
Estándares de Auditoria: 300 Planeación, 310 Conocimiento del Negocio, 400 Valoración de
Riesgos y Control Interno, 401 Auditoria en Ambientes Computarizados y Sistemas de
Información.

El uso de redes públicas para negocios asociados con el consumidor final (B-C), Negocio a
Negocio (B-B), Negocio a Gobierno (B-G), Negocio a Empleados (B-E), comercio
electrónico (e-com), presentan riesgos únicos que deben ser dirigidos hacia la entidad y
considerados por el auditor cuando planea el desarrollo de la auditoria de estados financieros.

Esta declaración identifica asuntos específicos para asistir al auditor cuando considera
significativo el comercio electrónico para las actividades de la entidad y los efectos en la
valoración de los riesgos que él requiere para formarse una opinión sobre los estados
financieros. En ausencia de un compromiso separado, el propósito de las consideraciones del
auditor, diferentes a formarse una opinión, pueden ser proveer una consultoría,
recomendaciones concernientes a los negocios de la entidad relacionados con el comercio
electrónico, sistemas o actividades propias.

Esta declaración se refiere a los efectos en la auditoría de estados contables cuando el ente
auditado utiliza medios electrónicos para la comercialización de sus bienes o servicios.

El comercio electrónico puede utilizarse en cualquier entorno en el que se intercambien

documentos entre empresas: compras o adquisiciones, finanzas, industria, transporte, salud,
legislación y recolección de ingresos o impuestos. Ya existen compañías que utilizan el
comercio electrónico para desarrollar los aspectos siguientes:

• Creación de canales nuevos de marketing y ventas.

• Acceso interactivo a catálogos de productos, listas de precios y folletos publicitarios.
• Venta directa e interactiva de productos a los clientes.
• Soporte técnico ininterrumpido, permitiendo que los clientes encuentren por sí mismos,
y fácilmente, respuestas a sus problemas mediante la obtención de los archivos y
programas necesarios para resolverlos.

Mediante el comercio electrónico se intercambian los documentos de las actividades

empresariales entre socios comerciales. Los beneficios que se obtienen en ello son: reducción
del trabajo administrativo, transacciones comerciales más rápidas y precisas, acceso más fácil
y rápido a la información, y reducción de la necesidad de reescribir la información en los
sistemas de información.

48
Los tipos de actividad empresarial que podrían beneficiarse mayormente de la incorporación
del comercio electrónico son:

• Sistemas de reservas. Centenares de agencias dispersas utilizan una base de datos

compartida para acordar transacciones.
• Stocks. Aceleración a nivel mundial de los contactos entre proveedores de stock.
• Elaboración de pedidos. Posibilidad de referencia a distancia o verificación por parte
de una entidad neutral.
• Seguros. Facilita la captura de datos.
• Empresas proveedoras de materia prima a fabricantes. Ahorro de grandes cantidades de
tiempo al comunicar y presentar inmediatamente la información que intercambian.

Seguridad En El Comercio Electrónico

La seguridad en el comercio electrónico y específicamente en las transacciones comerciales

es un aspecto de suma importancia. Para ello es necesario disponer de un servidor seguro a
través del cual toda la información confidencial es encriptado y viaja de forma segura, esto
brinda confianza tanto a proveedores como a compradores que hacen del comercio
electrónico su forma habitual de negocios.

Al igual que en el comercio tradicional existe un riesgo en el comercio electrónico, al realizar

una transacción por Internet, el comprador teme por la posibilidad de que sus datos personales
(nombre, dirección, número de tarjeta de crédito, etc.) sean interceptados por "alguien", y
suplante así su identidad; de igual forma el vendedor necesita asegurarse de que los datos
enviados sean de quien dice serlos. Por tales motivos se han desarrollado sistemas de
seguridad para transacciones por Internet: Encriptación, Firma Digital y Certificado de
Calidad, que garantizan la confidencialidad, integridad y autenticidad respectivamente.

• La Encriptación: Es el conjunto de técnicas que intentan hacer inaccesible la

información a personas no autorizadas. Por lo general, la encriptación se basa en una
clave, sin la cual la información no puede ser descifrada. Con la encriptación la
información transferida solo es accesible por las partes que intervienen (comprador,
vendedor y sus dos bancos).
• La Firma Digital: Evita que la transacción sea alterada por terceras personas sin
saberlo. El certificado digital, que es emitido por un tercero, garantiza la identidad de
las partes. Encriptación
Riesgos

49
Como medio comercial el Web presenta las siguientes deficiencias, derivadas tanto de su
tecnología como de su naturaleza interactiva:

Entorno Empresarial Y Tecnológico Cambiante.

Empresas y clientes desean tener flexibilidad para cambiar, según su voluntad, de socios
comerciales, plataformas y redes. No es posible evaluar el costo de esto, pues depende del
nivel tecnológico de cada empresa, así como del grado deseado de participación en el
comercio electrónico. Como mínimo una empresa necesitará una computadora personal con
sistema operativo Windows o Machintosh, un módem, una suscripción a un proveedor de
servicios de Internet, una línea telefónica. Una compañía que desee involucrarse más, deberá
prepararse para introducir el comercio electrónico en sus sistemas de compras, financieros y
contables, lo cual implicará el uso de un sistema para el intercambio electrónico de datos
(EDI) con sus proveedores y/o una intranet con sus diversas sedes.

Privacidad Y Seguridad.

La mayoría de los usuarios no confía en el Web como canal de pago. En la actualidad, las
compras se realizan utilizando el número de la tarjeta de crédito, pero aún no es seguro
introducirlo en Internet sin conocimiento alguno. Cualquiera que transfiera datos de una
tarjeta de crédito mediante el Web, no puede estar seguro de la identidad del vendedor.
Análogamente, éste no lo está sobre la del comprador.

Quien paga no puede asegurarse de que su número de tarjeta de crédito no sea recogido y sea
utilizado para algún propósito malicioso; por otra parte, el vendedor no puede asegurar que
el dueño de la tarjeta de crédito rechace la adquisición.

Cuestiones Legales, Políticas Y Sociales.

Existen algunos aspectos abiertos en torno al comercio electrónico: validez de la firma

electrónica, no repudio, legalidad de un contrato electrónico, violaciones de marcas y
derechos de autor, pérdida de derechos sobre las marcas, pérdida de derechos sobre secretos
comerciales y responsabilidades. Por otra parte, deben considerarse las leyes, políticas
económicas y censura gubernamentales.

Ejemplos De Situaciones

50
En las que el auditor puede encontrar que es imposible diseñar pruebas sustantivas efectivas
que por sí mismas provean evidencia de auditoría suficiente y apropiada respecto de que
ciertas aserciones no están declaradas equivocadamente de manera material incluyen lo
siguiente:

Una entidad que dirige sus negocios usando IT para iniciar órdenes de compra y entrega de
bienes con base en reglas predeterminadas de qué ordenar y en qué cantidades y para pagar
las cuentas relacionadas con base en decisiones generadas por el sistema a partir de la
recepción confirmada de los bienes y los términos de pago. Ninguna otra documentación de
órdenes colocadas o de bienes recibidos se produce o mantiene, distinta de la que se hace a
través del sistema IT. Otro ejemplo sería, una entidad que provee servicios a los clientes vía
medios electrónicos (por ejemplo, un proveedor de servicios de Internet o una compañía de
telecomunicaciones) y usa IT para crear una bitácora de los servicios provistos a sus clientes,
inicia y procesa sus facturas por los servicios y automáticamente registra tales cantidades en
registros contables electrónicos que hacen parte del sistema usado para producir los estados
financieros de la entidad.

CONCLUSIONES

• Las Declaraciones Internacionales sobre Prácticas de Auditoria están ligadas a las

Normas Internacionales de Auditoria solo que estas ven otra clase de auditorías no
muy comunes pero si complejas ya que deben de integrarse con Auditorias en
Instituciones Bancarias, Supervisiones y consideraciones especiales que tampoco
están contemplada en las NIA’s.

• También se muestra con diferentes campos como los de confirmaciones las cuales
son contempladas con más detalles y con más extensiones de las que se mencionan

51
 en las Normas Internacionales de Auditoria, además trata temas como los de las
empresas bancarias internacionales y comerciales.

• Ejecuta posiciones como el de los informes de Estados Financieros con las normas
internacionales los cuales son comparados con las leyes que se regían para realizar
anteriormente los Estados Financieros Locales, las cuales explican las condiciones
por las que deben pasar dichos procesos.

• De acuerdo a la forma de enviar la solicitud en Confirmación Cerrada, cuando se

incluye el monto del saldo a corroborar. Esta técnica se usa tanto para activos como
pasivos pero es de utilización preferencial cuando se confirman pasivos es por esto
que concluimos que toda Confirmación negativa debe ser necesariamente cerrada.

• Los procedimientos para confirmación de bancos nos proporciona la ayuda en la

práctica a los auditores independientes y también a los auditores externos e
inspectores, sobre los procedimientos de confirmación entre bancos. Esta declaración
no pretende tener la autoridad de una Norma Internacional de Auditoria.

• Los bancos juegan un rol muy importante en la vida económica y la fuerza y

estabilidad continua del sistema bancario es un asunto de interés público general; el
propósito de esta declaración es proporcionar información y lineamientos sobre cómo
puede reforzarse la relación entre auditores y supervisores de bancos para una ventaja
recíproca.

• El propósito de las auditorias de los estados financieros; es proporcionar asistencia

practica a los auditores y promover la buena práctica en la aplicación de las NIAs
para las auditorias de los estados financieros de los bancos.

• La consideración de temas ambientales en la auditoria van a permitir al auditor

expresar una opinión sobre los estados financieros que están preparados, en todos los

52
 aspectos significativos, en concordancia con un marco de referencia aplicable para la
presentación de información financiera.

BIBLIOGRAFIA

• Normas Internacionales de Auditoria

• DIPAS 1000 - 1100. Declaraciones Internacionales sobre Prácticas de Auditoria
• http://www.cpcesla.org.ar/doc/boletin/163/adopcion_nia.doc.
• Adopción de Normas Internacionales de Auditoria
• http://fccea.unicauca.edu.co/old/bancosinternales.htm

53
ANEXOS

54
55
56
57
58
 CUESTIONARIO

1. ¿Que son DIPAS?

Las DIPAs Son guías de cumplimiento para efectuar la auditoría mediante sistemas
integrados de cómputo para evaluar y aplicar las técnicas necesarias.

2. ¿Qué significa DIPAS?

Declaraciones internacionales sobre prácticas de auditoria.

3¿Cuál es el propósito de la DIPA 1000?

Proporcionar ayuda al auditor externo sobre los procedimientos de confirmación de saldos

entre bancos Y a la administración de una entidad bancaria.

4. ¿Objetivos de la DIPA 1000?

1. Busca obtener las confirmaciones entre las entidades bancarias, como la verificación de
ingresos y salidas y los saldos de los fondos de la entidad.
2. Obtener evidencia acerca de los depósitos, transferencias recibidas, notas de abono
generados y otros percibidos, así como pagos de cheques, cartas orden, notas descargo.
3. al buscar obtener confirmaciones entre bancos, puede encontrar dificultades en la
terminología, interpretaciones consistentes.
4. Aplicación de los procedimientos de confirmación entre bancos.

5¿Cuál es el propósito de la DIPA 1001?

Ayuda a los auditores al Desarrollo de una buena práctica, Proporcionando lineamientos

sobre la aplicación de las NIAs; cuando se usen microcomputadoras independientes en la
producción de información que sea importante para los estados financieros de la entidad.

6¿Cuál es el propósito de la DIPA 1002?

El auditor ejerce Juicio profesional, cualquiera de los procedimientos de auditoría descritos

en esta declaración, a la luz de los requerimientos de las NIAs y de las circunstancias
particulares de la entidad; Para determinar el alcance en que pueden ser apropiados.

7. ¿Cuál es el propósito de la DIPA 1003?

Ayuda a los auditores Desarrollo de una buena práctica, Y los controles y sobre los
procedimientos de auditoría; describe los efectos de un sistema de base de datos sobre el
sistema de contabilidad.

59
8. ¿Cuál es el objetivo de la DIPA 1005?

• Es describir las características comúnmente encontradas en las entidades pequeñas e

indicar cómo pueden afectar a la aplicación de las NIAs.
• indicar cómo pueden afectar a la aplicación de las NIAs.

9. ¿Cuál es el propósito de la DIPA 1006?

Proporcionar asistencia práctica a los auditores y promover la buena práctica de las NIAs
para Las auditorias de los estados financieros de bancos.

10. ¿Cuál es el propósito de la DIPA 1010?

Propósito es ayudar a los auditores y al desarrollo de una buena práctica, al proporcionar

guías sobre la aplicación de las NIAs en casos en que los asuntos ambientales sean
significativos para los estados financieros de la entidad. Los asuntos ambientales pueden
ser complejos y pueden, por tanto, requerir consideración adicional de los auditores.

11. ¿Cuál es el propósito de la DIPA 1012?

• Proveer normas y lineamientos para la planificación y desarrollo de procedimientos de

auditoria
• Evaluar las afirmaciones relacionadas con instrumentos financieros derivados

12. ¿Cuál es la DIPA 1009?

Técnicas de auditoría con ayuda de computadora.

13. ¿Cuál es el propósito de la DIPA 1009?

El propósito de esta norma es proporcionar lineamientos en el uso de TAACs.

Aplica a todos los usos de TAACs que impliquen una computadora de cualquier tipo o
tamaño. La NIA 401 "Auditoría en un entorno de sistemas de información por
computadora" comenta algunos de los usos de TAACs.

14. ¿Cuál es la DIPA 1013?

Comercio electrónico – efecto en la auditoría de estados financieros.

15. De qué habla la DIPA 1013?

Esta declaración identifica materias específicas para apoyar al auditor cuando éste
considera la importancia del comercio electrónico en las actividades de negocios de la
entidad; así como el efecto del comercio electrónico en la evaluación de riesgo de auditor,
para propósitos de formarse una opinión de los estados financieros.

60