Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TITULO:
TEMA:
Trabajo Técnico sobre Temas Libres
ÁREA TEMÁTICA:
Auditoría
AUTORES:
PALABRAS CLAVE
1. INTRODUCCIÓN
En la sociedad del conocimiento, donde los sistemas de información se vuelven cada día más
complejos y sofisticados, donde poco a poco se van abandonando los papeles como soporte físico de
los documentos para dar paso a justificantes electrónicos, prácticamente ninguna entidad, por
pequeña o poco compleja que pueda llegar a ser en su operatoria, vive al margen del uso de las
computadoras (González, 2004).
Las organizaciones públicas y privadas utilizan sistemas informáticos en el procesamiento, registro,
almacenamiento, elaboración y presentación de su información financiera y, en general, en el
desarrollo de sus actividades. A su vez utilizan múltiples medios de comunicación electrónica para la
transmisión de información y datos, por ejemplo el correo electrónico.
En particular, el ingreso de datos a los registros contables es usualmente iniciado, autorizado,
grabado, procesado e informado en forma electrónica. Adicionalmente, los registros pueden ser parte
de sistemas integrados que comparten datos y dan soporte a todos los aspectos de los reportes
financieros, las operaciones y al cumplimiento de objetivos de la entidad (Statement on Auditing
Standard (SAS) 106).
En este contexto el auditor externo desarrolla su trabajo en un entorno informatizado. Según la Norma
Técnica de Auditoría española sobre Auditoría de Cuentas en Entornos Informatizados, dicho entorno
existe cuando la entidad auditada, al procesar la información financiera significativa para la auditoría,
emplea un ordenador, de cualquier tipo o tamaño, ya sea operado por la propia entidad o por un
tercero. Se entiende por sistemas informáticos, aquellos relacionados con el procesamiento,
almacenamiento, transmisión y emisión de la información financiera (Instituto de Contabilidad y
Auditoría de Cuentas, 2003).
El auditor debe considerar de que manera se ve afectada su tarea, principalmente en relación con los
procedimientos para el conocimiento y evaluación de los sistemas de control interno, el análisis de
riesgo inherente y de control, y el diseño y aplicación de las pruebas de cumplimiento y los
procedimientos sustantivos para alcanzar los objetivos de auditoría (Minguillón Roy, 2006; González,
2004). Además de ello debe considerarse el cumplimiento de los requisitos legales.
Específicamente interesa en este trabajo evaluar las particularidades que adquieren las evidencias de
auditoría en estos contextos. Sucede que la evidencia documental que respalda los registros contables
puede encontrarse en formato electrónico, complementando o reemplazando los documentos en
soporte papel. El auditor debe considerar este nuevo escenario en la planificación y ejecución de su
trabajo de auditoría para evaluar la suficiencia y competencia de las evidencias a obtener en la
ejecución de su tarea (Sindicatura de Comptes de la Comunitat Valenciana, 2010).
Las normas y estándares de auditoría requieren que el auditor obtenga suficiente evidencia
competente para respaldar su opinión acerca de la razonabilidad de los estados financieros. Sin
embargo, las características de las evidencias han cambiado significativamente a partir de las nuevas
tecnologías utilizadas por los entes, debilitando en algunos casos las formas de evidencias
tradicionales, requiriéndose una modificación en los procedimientos de auditoría destinados a
obtenerlas (Caster & Verardo, 2007). Los profesionales deben evaluar la disponibilidad de la evidencia
electrónica, planificar la forma de recolectarla convenientemente y adaptar los procedimientos de
análisis de documentación a los nuevos soportes digitales (Norma Internacional de Auditoría 500;
Arens, Elder & Beasley, 2007), considerando el cumplimiento de los requisitos de legitimidad,
autenticidad y preservación que les son aplicables.
En este contexto cabe revisar además el concepto de diligencia profesional, así como las capacidades
y conocimientos mínimos exigibles al profesional en ciencias económicas en relación a los sistemas
de tecnologías de la información. El perfil ideal del auditor financiero es aquel que combina
conocimientos en auditoría de cuentas y auditoría de sistemas y procesos informatizados (Astiz
Fernandez & Sole Bardia, 2008).
Sin embargo, en determinados entornos computadorizados complejos puede resultar necesaria la
incorporación en el equipo de auditoría de expertos en seguridad informática y especialistas en
derecho informático, generando grupos de trabajo multidisciplinarios que colaboren con el contador
que debe dictaminar sobre la información contenida en los estados contables, garantizando un servicio
de calidad y una auditoría eficaz y eficiente.
El objetivo del presente trabajo consiste en proporcionar un análisis acerca del impacto que produce el
uso de las nuevas tecnologías de la información sobre la obtención, procesamiento, conservación y
oponibilidad de las evidencias de auditoría de estados financieros, realizando un aporte a
profesionales y académicos sobre las particularidades y características de las evidencias en el marco
del nuevo contexto en el cual el auditor debe desarrollar su trabajo.
El trabajo se encuentra estructurado de la siguiente forma: en un primer apartado se presentan los
conceptos teóricos y a continuación algunos antecedentes normativos relacionados al tema analizado;
posteriormente se efectúan los aportes en relación a las particularidades de las evidencias digitales en
la auditoría financiera, y por último se exponen las consideraciones finales.
2. MARCO TEÓRICO
En un escenario altamente evolutivo, donde las organizaciones han debido actualizar sus procesos de
negocio a través de la informatización para sobrevivir en el entorno competitivo actual, los auditores de
estados financieros también deben avanzar. Si bien el objetivo último de la auditoría financiera no se
ve modificado (emitir una opinión sobre la razonabilidad de la información contenida en los estados
contables), los profesionales necesitan adaptar sus procedimientos y técnicas de auditoría para la
consecución de las evidencias que sustentan su opinión, a efectos de realizar una auditoría eficiente y
efectiva (Astiz Fernández et al., 2008).
Las evidencias de auditoría comprenden toda la información utilizada por el auditor para alcanzar las
conclusiones sobre las cuales se basa el dictamen de una auditoría e incluyen tanto la información
contenida en los registros contables de los que se obtienen los estados financieros, como otra
información. Este concepto es el que mencionan la Norma Internacional de Auditoría (NIA) 500 y el
SAS 106.
Los elementos de juicio son recabados por el auditor como resultado de las pruebas que realiza,
pudiendo obtenerse de los sistemas del ente, de la documentación respaldatoria de transacciones y
saldos, de personas internas a la organización – gerencia, empleados – y externas (Slosse, Gordicz y
Gamondés, 2007).
La transformación de las evidencias físicas tradicionales de auditoría en las denominadas evidencias
digitales no implica que éstas pierdan sus características esenciales: ser legítimas y oponibles,
permitiendo una clara reconstrucción del hecho que soportan.
Sin embargo, para cumplir el requisito de ser “oponibles” deben adoptar un status de prueba que no
siempre ostentan. Por su carácter persuasivo, pueden brindar conocimientos o indicios, pero no ser
contrastables, documentadas y legítimas, de modo que tanto las tradicionales como las digitales
requieren procedimientos para garantizar su oponibilidad a terceros, condición básica para que sirvan
como medio de prueba.
Las Normas de Auditoría para el Sector Público de España (Intervención General de la Administración
del Estado (IGAE), 1997), definen a la evidencia informática, como la información y datos contenidos
en soportes electrónicos, informáticos y telemáticos, así como los elementos lógicos, programas y
aplicaciones utilizados en los procedimientos de gestión del auditado. Esta evidencia informática
incluye los elementos identificados y estructurados que contienen texto, gráficos, sonidos, imágenes o
cualquier otra clase de información que pueda ser almacenada, editada, extraída e intercambiada
entre sistemas de tratamiento de la información, o usuarios de tales sistemas como unidades
diferenciadas.
Eoghan (2011) se refiere a la evidencia digital como un tipo de evidencia física, que está constituida
por campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con
herramientas y técnicas especiales.
Si bien las dos definiciones que anteceden son adecuadas, se considera necesario incluir el concepto
de valor probatorio en forma explícita, para que puedan utilizarse como soporte de opinión. Cabe citar
el viejo adagio que resalta que existe una diferencia entre la verdad y la parte de la verdad que es
demostrable. La opinión se sustenta con la parte de la verdad que es demostrable.
En este sentido, la Cloud Security Alliance (2011) define las pruebas electrónicas como cualquier dato
almacenado o transmitido en forma digital y que por sus características pudiera ser utilizado para
probar algún hecho en un procedimiento judicial. Adaptando el concepto se podría decir que las
evidencias de auditoría digitales son aquellas generadas, almacenadas o transmitidas por medios
electrónicos, que respaldan la opinión emitida por el auditor respecto de la información contenida en
los estados contables del ente auditado, y que sirven como prueba en procesos judiciales. De este
modo se hace referencia en la definición a dos de los principales objetivos de las evidencias de
auditoría.
Según Lanza Suárez (1997), las evidencias informáticas tienen características distintivas, que las
destacan a priori sobre los demás tipos:
la ininteligibilidad (es decir, que no es materia de puro conocimiento sin intervención
de los sentidos);
la ilegibilidad;
Este último punto lleva a una reflexión acerca del alcance del concepto “medios tradicionales de
auditoría”. Según la Real Academia Española, “tradicional” implica seguir las ideas, normas y
costumbres del pasado, situación que aparentemente cede ante el impacto del avance tecnológico.
Esto no significa que se deba modificar ni el concepto ni la esencia de los procedimientos, sino que
cambia el contexto en el que se aplican y las herramientas que se utilizan.
A modo de ejemplo, un relevamiento de datos realizado en forma manual sobre un fichero papel,
conceptualmente no difiere del relevamiento llevado a cabo mediante la lectura de un archivo
electrónico que los contiene. Ambos consisten en la toma de conocimiento de datos, cambiando sólo
la metodología, pero no el concepto ni el objetivo del procedimiento.
De la definición de evidencias informáticas brindada por las Normas de Auditoría para el Sector
Público de España se desprenden dos categorías (IGAE, 1997; Lanza Suárez, 1997; Minguillón Roy,
2006):
Cabe aclarar que la clasificación de evidencias digitales que antecede no implica de ningún modo su
concepción en forma separada. Uno de los grupos es resultado o fuente del otro, debiendo evaluarse
irremediablemente en conjunto en una auditoría.
3. ANTECEDENTES NORMATIVOS
Haciendo un relevamiento de normas de auditoría referidas a las evidencias digitales se pueden citar
las siguientes:
OPOSICIÓN
Valor Probatorio
PERDURABILIDAD
DE LA FUENTE
Debido a que los datos a ser evaluados en el proceso de auditoría se encuentran en soporte
magnético, se presentan las siguientes alternativas:
En ambos casos, puede resultar necesario el cotejo con la documentación fuente. Puede presentarse
una dificultad cuando el soporte documental de los archivos electrónicos no existe en formato tangible
(Piattini & Del Peso, 2001), sea porque los datos se originaron en transacciones o documentos
electrónicos, o porque se efectuó captura de imágenes sobre los documentos fuente y fueron
eliminados los soportes de papel.
Dado este concepto genérico, existen algunas cuestiones a considerar en la etapa de la obtención de
las evidencias, las cuales se analizan a continuación.
En los procesos de auditoría se utilizan listados en papel o guardados en formato digital, sobre los que
se realizan comprobaciones. Dichos listados son una visualización “física” de una evidencia
informática. Existe un mayor riesgo de no detección de la destrucción o alteración no autorizada de la
información que respalda los saldos y transacciones reflejados en los registros contables cuando la
misma se inicia, autoriza, procesa y almacena únicamente en medios electrónicos y no existen
controles adecuados y efectivos (SAS 80).
En principio, la alteración o modificación de los archivos electrónicos, sea intencional o no, puede ser
más sencilla que en los documentos en papel, sin que queden pruebas de dichos actos, no pudiendo
en muchos casos ser recuperadas salvo que el ente posea adecuados archivos de respaldo (Casal,
2010:1000-1001).
Dicha situación se revierte en los casos en que el ente usuario de la TI hubiera previsto medidas de
seguridad adecuadas. Por ejemplo, en los casos en los que se utiliza el encriptado resulta más difícil la
alteración de los datos contenidos en medios digitales que de aquellos contenidos en papel. Es así
que la integridad e inalterabilidad de la información depende de los controles fiables y de las técnicas
de seguridad empleadas por el ente.
En consecuencia, el auditor debe considerar si el diseño, implementación y operatividad de los
controles existentes sobre la seguridad de la información son adecuados para prevenir los cambios no
autorizados definiendo en consecuencia procedimientos de auditoría adicionales. En particular, la
Declaración Internacional de Prácticas de Auditoría (DIPA) 1013 recomienda al auditor en relación a
las evidencias:
El mencionado estándar prevé que el auditor no suele estar capacitado para reconocer la legitimidad
de un documento digital, y por ende las posibles alteraciones que hubiera sufrido la información. Bajo
este planteo no sería factible que el auditor pueda considerar la fiabilidad de la información sin la
intervención de un experto.
Sin embargo, el alcance dado al concepto de “debida diligencia” en este trabajo considera que el
profesional debería adquirir la habilidad de evaluar la fiabilidad de los documentos, o por lo menos
estar capacitado para comprender y evaluar la tarea del experto.
En algunos casos los documentos pueden existir únicamente en formato electrónico, ya sea porque se
originaron en dicho formato –como en el caso del comercio electrónico– o por haber sido escaneados
y eliminados los soportes en papel para su almacenamiento y consulta (SAS 80). La suficiencia y
adecuación de la evidencia dependerá de la efectividad de los controles internos existentes para
asegurar la exactitud e integridad del registro electrónico de la información. Es así que el profesional
en su trabajo de auditoría evaluará dichos aspectos del sistema de información en particular.
Respecto de la obtención y procesamiento de las evidencias digitales, si sólo puede realizarse
mediante el uso de computadoras, puede adoptarse como alternativa de solución la obtención de
copias de las bases de datos de los clientes y la ejecución de pruebas sobre dichas copias, en general
utilizando paquetes de software enlatados o personalizados.
La inalterabilidad de las evidencias en formato electrónico debe garantizarse tanto por parte del
auditado como por parte del auditor, dado que nada impediría que sea éste quién, accidental o
intencionadamente, modifique los archivos soporte. A efectos de minimizar esta debilidad de alteración
de las evidencias, el profesional puede utilizar software de auditoría con garantía de no modificación
de datos de origen. Si esto no fuera posible, deberá arbitrar otros medios para este fin, como por
ejemplo:
El uso de la firma digital, que es la opción más fiable, pero la más costosa, compleja
y selectiva.
Este método criptográfico asocia la identidad de una persona o de un equipo informático al mensaje o
documento. En función del tipo de firma, puede, además, asegurar la integridad del documento o
mensaje.
La Ley 25.506 de la República Argentina en su Artículo 1° indica que se entiende por firma digital al
resultado de aplicar a un documento digital un procedimiento matemático que requiere información de
exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control. La firma digital debe
ser susceptible de verificación por terceras partes, tal que dicha verificación simultáneamente permita
identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma.
Otra opción es la firma electrónica, en tanto esté implementada por el auditado, que
es quién debe garantizar el origen y el contenido de la información, y su utilización esté
incluida en la carta convenio de auditoría, atento a su diferencia en cuanto a efecto jurídico
y valor probatorio respecto de la firma digital.
Este es un concepto más amplio que el de firma digital, teniendo una naturaleza fundamentalmente
legal, ya que confiere a la firma un marco normativo que le otorga validez jurídica. Ésta puede
vincularse a un documento para identificar al autor, para señalar conformidad (o disconformidad) con
el contenido, para indicar que se ha leído o, según el tipo de firma, garantizar que no se pueda
modificar su contenido.
La ley argentina mencionada define la firma electrónica en su Artículo 5 como el conjunto de datos
electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por
el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser
considerada firma digital.
Por último, podría acordarse la utilización de alguna función hash, MD5 o similar que
garantice la integridad de los archivos.
En particular la función hash es un algoritmo matemático que permite calcular un valor resumen de un
conjunto de datos, los cuáles luego pueden o no ser firmados digitalmente. Funciona en una sola
dirección, es decir, no es posible, a partir del valor resumen, calcular los datos originales. Cuando la
entrada es un documento, el resultado de la función es un número que identifica inequívocamente al
texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y
comprobar su resultado con el que ha recibido. Ello no obstante, este tipo de operaciones no están
pensadas para que las lleve a cabo el usuario, sino que se utiliza software que automatiza tanto la
función de calcular el valor hash como su verificación posterior.
Todas estas precauciones tienen el límite en el dinamismo de la información. Por ejemplo, carece de
sentido firmar una base de datos (además de la complicación técnica que representa), dado que al ser
un soporte transaccional, se modifica permanentemente. Si podría firmarse una copia de dicha base,
esto es, su contenido a un momento dado.
No habría inconveniente en garantizar documentos de texto o imágenes de documentos de texto
escaneadas, siempre y cuando se incluya la garantía de origen en este proceso.
En síntesis, el auditor debería detenerse a analizar –mediante alguna de las alternativas propuestas–
como garantizar el origen, la autoría, la integridad y la inalterabilidad de los archivos y/o documentos
digitales que obtiene, de modo que éstos resulten oponibles.
El auditor debe obtener evidencia suficiente y adecuada sobre la validez y confiabilidad de los datos
provenientes de los sistemas del cliente cuando sean significativos para el resultado de la auditoría.
Para ello existen dos enfoques:
Es necesario plantearse a esta altura si el auditor de estados financieros que actúa en un contexto
informático debe ser un experto en TICs para poder desarrollar su trabajo con idoneidad. Tal como se
menciona en el párrafo 9 del SAS 106, el auditor no necesariamente es especialista en la obtención y
examen de evidencia informática, como para darse cuenta que la información proporcionada por los
ordenadores no es fiable.
Para esto requiere:
Las normas citadas requieren del profesional que preste un servicio competente, indicando en la última
de ellas las dos fases que deben cumplirse para lograrlo: a) la obtención de la competencia; b) su
mantenimiento, lo cual exige una atención continua y el conocimiento de los avances técnicos,
profesionales y empresariales relevantes.
Esto implica la capacidad de evaluar los sistemas que generan la información sobre la cual se
desarrolla la labor de auditoría y finalmente se emite opinión. Requiere sin dudas un conocimiento
suficiente de TI como para cumplimentar un nivel adecuado de entendimiento de los sistemas de
información.
En la República Argentina la legislación vigente incluye como competencia profesional reservada al
Contador Público (único habilitado para realizar un trabajo de auditoría de estados contables) la
“Aplicación e implementación de sistemas de procesamiento de datos y otros métodos en los aspectos
contables y financieros de proceso de información gerencial” (Art. 6 de la Ley Nacional Nro. 20.488).
Específicamente en la Provincia de Buenos Aires, la Ley Provincial Nro. 10.620 que define las
competencias de los profesionales en ciencias económicas, concretamente en su Artículo 12 indica las
actividades para las que se requiere el titulo de contador público, incluyendo:
Parece atinado concluir que los niveles en los que debe identificarse un Contador Público que realiza
auditorías de estados financieros, serían el Nivel 1 o el Nivel 2. Se prefiere el Nivel 2 que desde luego,
presupone un vasto conocimiento en el área de TI, capaz de identificar y relevar procesos, identificar y
evaluar los riesgos que puedan atentar contra la integridad, confidencialidad y disponibilidad de la
información financiera, e identificar y evaluar el sistema de control interno vigente.
Contemplar estas cuestiones, ayudará al auditor a evaluar la fiabilidad de los datos informáticos, el
riesgo de que existan distorsiones significativas y a planificar pruebas de auditoría más eficaces,
incluyendo la decisión de la intervención un experto, tal como lo autoriza la Norma Internacional de
Auditoría Nro. 620 de la IFAC (no se desarrolla este punto dado que su análisis excede el objetivo de
este trabajo).
Dicha intervención es preferible que se ejecute mediante la incorporación de los especialistas del área
informática en el equipo de auditoría. Sin embargo ésta no debe convertirse en una delegación total de
la comprensión de riesgos y controles existentes en el entorno informatizado. El auditor financiero es
quien debe tener la capacidad de entender cuándo y por qué involucrar al especialista, apoyándose en
él en el transcurso de la auditoría. Sin llegar a ser un experto en tecnología, el profesional en ciencias
económicas debe procurar comprender y evaluar los sistemas informáticos, evitando la solución
alternativa de realizar simplemente pruebas sustantivas para la obtención de las evidencias.
Un caso particular en el que se pueden suscitar dudas acerca de la fiabilidad de las evidencias
obtenidas es el de las confirmaciones de terceros en formato electrónico.
El profesional debe evaluar el riesgo de que las respuestas obtenidas hubieren sido alteradas
afectándose la veracidad de las respuestas, independientemente del medio de soporte utilizado. Las
confirmaciones electrónicas suponen un mayor riesgo de modificación por la dificultad de identificar el
origen y la identidad del emisor. Los riesgos particulares a ser tenidos en cuenta al momento de
diseñar el proceso de confirmación electrónico se refieren a:
la fuente de la respuesta, en cuanto a que la misma proceda del tercero con quien
efectivamente se ha realizado la transacción;
Caster et al. (2007) recomiendan que se incremente el escepticismo respecto de las comunicaciones
recibidas por estos medios (sean de parte del auditado o de un tercero independiente) validando la
información obtenida.
Esta recomendación es válida y el auditor deberá evaluar su autenticidad, previendo o ejecutando
procedimientos que despejen sus dudas para verificar la fuente y el contenido de la información –tales
como confirmaciones telefónicas de las respuestas con el tercero emisor, o la solicitud de que la
misma sea enviada también por correo postal, si bien este ultimo no garantiza que sea él quien las
envía.
Las tres variables de riesgos expuestas tienen tratamiento específico.
La fuente –entiéndase origen, esto es lugar de procedencia y autor– puede acreditarse mediante la
utilización de firma digital como mayor exponente de seguridad, fundamentados en la presunción de
autoría, integridad, procedencia y aceptación (no repudio por parte del emisor) que otorga el certificado
digital.
Si se garantizara con firma electrónica, no habría diferencia desde el punto de vista técnico de
seguridad, sólo se requeriría un reconocimiento (acuerdo) para otorgarle fiabilidad.
Otros medios contractuales que impliquen algún tipo de encripción y reconocimiento de la fuente
también podrían ser utilizados satisfactoriamente.
Obviamente en estos acuerdos también debería preverse la garantía con respecto a las autorizaciones
para actuar en representación del auditado.
Por último, la seguridad de la transmisión puede garantizarse aceptablemente (no con certeza)
mediante la utilización de determinados protocolos, como por ejemplo el SSL, Secure Sockets Layer,
en español “capa de conexión segura”, que utilizan la criptografía como medio para generar
comunicaciones seguras entre un cliente o usuario y un servidor a través de una red, como ser
Internet.
Puede afirmarse entonces que el avance de la tecnología permite y propicia la utilización de nuevas
técnicas con un grado de seguridad razonable para el auditor.
No se efectuará un análisis de este punto en profundidad dado que una vez que se obtuvieran los
datos fuente teniendo en cuenta los recaudos indicados en los apartados previos, la decisión acerca
de la metodología a utilizar para su procesamiento y evaluación dependerá de cada profesional, quien
lo resolverá en base a las circunstancias y al plan de trabajo definido en el proceso de planificación de
la auditoría.
Se considera atinado resaltar como concepto excluyente que los documentos originales nunca deben
ser alterados, debiendo el auditor prever y tomar los recaudos necesarios para que desde su captura
de la información se impida su alteración.
Esto se logra evitando la aplicación de los procedimientos sobre archivos originales, sino que debe
hacérselo siempre sobre copias, dado que los primeros deben conservarse como garantía de origen
de la evidencia.
los deterioros que pudieran sufrir en caso de estar expuestos a condiciones físicas
adversas,
Continuando con el análisis sobre la conservación de las evidencias realizado en el apartado anterior,
cabe considerar aspectos vinculados con la perdurabilidad de la fuente. La naturaleza y oportunidad
de ejecución de los procedimientos de auditoría se pueden ver afectadas por la disponibilidad de los
datos contables originales en un único momento o en un lapso de tiempo limitado. Incluso puede
ocurrir que la información no pueda obtenerse con posterioridad si los archivos electrónicos originales
han sufrido cambios y no existen copias de seguridad de los mismos, si los soportes, dispositivos de
lectura o formatos se han vuelto obsoletos, o si los medios magnéticos de almacenamiento se han
deteriorado (Arens et al., 2007).
También puede ocurrir que la disponibilidad de los datos se vea afectada por el soporte de lectura
informatizada de los documentos fuente, de archivos informáticos y otras evidencias que el auditor
pudiera necesitar.
Estas situaciones implican que la fuente de la cual el auditor puede obtener los datos para efectuar su
trabajo podría no ser perdurable en el tiempo, lo cual puede tener distintos efectos:
Que una vez ejecutados los procedimientos y obtenidas las evidencias, desaparezca
la fuente, quedando como única constancia de su existencia las copias que en sus papeles
de trabajo conserva el auditor. Cabe reiterar entonces las recomendaciones efectuadas en
apartado 4.1.b) destinadas a garantizar el origen, la autoría, la integridad y la inalterabilidad
de los archivos y/o documentos digitales obtenidos, de modo que el profesional pudiera
tener el respaldo de su opinión y en caso de que fuera necesario utilizarlos como medio de
prueba en instancias judiciales.
Finalmente cabe reflexionar acerca del modo de garantizar la legitimidad de los elementos de prueba
cuando las evidencias se encuentran en copias de archivos almacenadas en soportes magnéticos
(discos duros, pen drives, cintas, etc.) u ópticos (CD, DVD, BlueRay, etc.).
Si hubiera sido posible tomar los recaudos de seguridad efectiva expuestos en el párrafo de obtención
de las evidencias, resultaría factible utilizarlos como medio de prueba.
De no ser así, deberá recurrirse a medidas complementarias tales como:
obtener una copia impresa e intervenida por el auditado de un listado que respalde
los totales de determinados campos de un archivo, lo cual garantizaría los totales, pero no
siempre la composición de detalles;
obtener copia de los documentos fuente de las evidencias que constan en registros
digitales o asegurar la permanencia en poder de terceros para garantizar su exhibición
compulsiva si fuera necesario.
La efectividad de las medidas complementarias dependerá de las previsiones que al respecto tome el
profesional al momento de elaborar sus papeles de trabajo.
Una cuestión adicional a ser tenida en cuenta al respecto se refiere a los requerimientos establecidos
en las normas procesales respecto de la forma de obtención de las pruebas para que éstas sean
válidas en instancias judiciales. Es sabido que la prueba podría caerse si no hubieran sido recabadas
de acuerdo a lo que éstas indican.
Si bien se entiende que el auditor se encuentra autorizado para obtener las evidencias en relación a la
tarea que ejecuta, pueden existir ciertos límites impuestos por leyes referidas a la protección de datos
personales, de procesos industriales secretos, de la propiedad intelectual, y particularmente tratándose
de casos forenses, algunos medios de pruebas utilizados para el fraude pueden resultar invasivos o
atentar contra garantías de orden constitucional (grabaciones, filmaciones, secuestro de
documentación).
Es por ello que se recomienda recurrir en estos casos al asesoramiento de un especialista en derecho,
en particular en materia procesal y penal.
5. CONSIDERACIONES FINALES
Frente al permanente avance de la tecnología utilizada por las organizaciones que influye en la
generación de la información contable de un ente mediante la utilización de sistemas cada vez más
complejos resulta imperativo adecuar las técnicas tradicionales de auditoría, sin que ello implique una
modificación de su objetivo.
Las evidencias digitales comprenden el conjunto de elementos de juicio que el profesional debe
obtener de los medios informáticos del ente auditado a fin de formarse una opinión sobre la
razonabilidad de la información contenida en los estados contables. A su vez se ha resaltado la
importancia del valor probatorio que dichas evidencias deben ostentar, todo lo cual implica un conjunto
de particularidades a ser tenidas en cuenta.
Entre los aspectos a ser evaluados antes de iniciar el proceso de obtención de las evidencias digitales
resulta relevante destacar las precauciones para evitar la alteración de las fuentes de origen, las
medidas para garantizar su legitimidad, la experiencia y conocimientos del auditor en materia
informática, el cumplimiento de la normativa tanto de auditoría como la relacionada a la validez para su
uso en instancias judiciales y la forma en que se evaluará la autenticidad de las evidencias obtenidas.
En este nuevo contexto, los procedimientos para el tratamiento y análisis de las evidencias digitales
deben ser novedosos, manteniéndose inalterable su esencia y objetivos.
Entre las soluciones alternativas planteadas se encuentran el uso de la firma digital, la firma
electrónica o de funciones de tipo hash o similares, todo ello cuando fuera posible. En caso contrario,
el auditor debe recurrir a otras medidas que le permitan garantizar el origen, la integridad e
inalterabilidad de los documentos obtenidos, de modo de poder re-utilizarlos y oponerlos a terceros en
caso que fuera necesario.
El profesional es responsable de obtener y mantener las competencias profesionales que le permitan
realizar su tarea en forma diligente. Se requiere que se involucre en la evaluación y conocimiento de
los sistemas de información y de TI, siendo que el viejo paradigma de auditoría tradicional, basado en
la evaluación documental papel y sistemas de relevamiento con amplio componente manual, resulta
cada vez menos aplicable.
Considerando que la naturaleza de la función del auditor es abarcativa de distintos aspectos (de
información, legales, administrativos, impositivos) y dada la complejidad que pueden adoptar los
sistemas informáticos de los entes auditados, puede ser necesario que el profesional cuente con
apoyo multidisciplinario de expertos que se incorporen en sus equipos de trabajo, particularmente en el
caso aquí analizado, en seguridad informática y en derecho informático.
Cabe mencionar dos situaciones que implican un análisis en particular dentro del ámbito de las
evidencias digitales, que representan posibles líneas de investigación futura, respecto de las cuales es
conocido que algunos autores están trabajando, pero que requieren un tratamiento más extenso.
El primer caso se da cuando las evidencias únicamente están disponibles en formato digital, dado que
respaldan transacciones y procesos respecto de los cuales no existen soportes visibles o tangibles,
como es el caso del comercio electrónico. Esta situación representa un mayor grado de riesgo y
complejidad que requiere una adecuación de las herramientas y técnicas de auditoría que han sido
propuestas en este trabajo.
El segundo caso es aquel en el que existe tercerización de parte de la función de TI. Aquí las
evidencias están en poder de terceros ajenos al ente emisor de los estados contables. En
consecuencia, el profesional debe evaluar el grado de confianza que puede depositar en la
información procedente de sistemas informáticos producidos y/o mantenidos por terceros, situación
que depende de su auditabilidad y/o de las evaluaciones de control involucradas en los mismos. No
existe todavía una propuesta de solución sencilla, aun cuando se trate de contratistas o empresas que
brinden servicios de tratamiento informático exteriorizado (o tercerizado) por el auditado. La
computación en la nube –conocida por su nombre en inglés como cloud computing– es ejemplo de
esta situación, donde se produce un “traslado de confianza”, mudando la custodia de parte de su
sistema de control interno y la residencia de sus datos hacia el proveedor de servicios.
En consecuencia, resulta necesario continuar investigando en este área de actuación profesional a fin
de brindar herramientas que garanticen una labor eficaz y eficiente, que permita lograr el objetivo
último de la auditoría financiera en forma responsable.
6. REFERENCIAS BIBLIOGRÁFICAS
Seudónimo: AUDITEVI
Cargo Actual
Becas Obtenidas
Publicaciones
Colaboradora de libro
y artículos publicados en revistas indexadas. Presentaciones en congresos nacionales e
internacionales. (8000 - Bahía Blanca - Argentina).
Cargos Actuales
Profesor a cargo de las asignaturas “Auditoría I” y “Auditoría II” (Universidad CAECE sede Mar
del Plata).
Actividades Anteriores:
Proyecto ARG/98/023 del Programa de las Naciones Unidas para el Desarrollo. Función:
Consultor “A”. Supervisor Auditor en el área de Recaudación y Fiscalización de la Dirección
Provincial de Rentas de la Provincia de Buenos Aires.
Posición Actual
Directora del Posgrado “Contabilidad Superior, Control y Auditoria” del Depto. de Ciencias de la
Administración (UNS).
Libros y publicaciones:
Análisis Financiero en base a Información Contable. Autores: Albanese Diana, Milanesi Gastón
y colaboradores. Marzo 2012. Induvio Editora, Bahía Blanca, Argentina. ISBN 978-987-1519-25-5.
Actividad Profesional
Auditora Interna en una entidad financiera no bancaria de la ciudad de Bahía Blanca (1977-
2007)
Integrante del Directorio de una entidad financiera no bancaria y responsable del Control Interno
ante el Banco Central de la República Argentina (200-2007)