XXX CONFERENCIA INTERAMERICANA DE CONTABILIDAD

TITULO:

Auditoría financiera en contexto de TI.

Análisis de las evidencias digitales

TEMA:
Trabajo Técnico sobre Temas Libres

ÁREA TEMÁTICA:
Auditoría

AUTORES:

López, María de los Ángeles – Argentina

Rumitti, Carlos Alberto – Argentina

Albanese, Diana Ester – Argentina

Punta del Este, Uruguay

1 al 3 de Diciembre de 2013
RESUMEN EJECUTIVO

Existe un creciente nivel de utilización de tecnologías de información y comunicación (TICs) en los

procesos de las organizaciones, generándose una dependencia para el procesamiento, registro,
almacenamiento, elaboración y presentación de la información en general y particularmente la que
respalda los estados financieros.
En consecuencia, los contadores públicos que realizan encargos de auditoría de estados financieros
surgidos de entornos altamente informatizados deben contemplar el efecto que el uso de la tecnología
tiene sobre su labor. Uno de los aspectos relevantes es el referido a la modificación que sufren las
evidencias de auditoría, convirtiéndose en lo que se conoce como “evidencias digitales”.
El presente trabajo tiene como objetivo analizar el impacto del uso de las nuevas tecnologías de la
información sobre la obtención, procesamiento, conservación y oponibilidad de las evidencias de
auditoría de estados financieros. Se pretende realizar aportes para profesionales y académicos a
través de una evaluación de sus particularidades, brindando pautas y recomendaciones para el
desarrollo de la labor profesional.
Asimismo se pretende alertar a los contadores públicos sobre la necesidad de adquirir nuevos
conocimientos y habilidades a efectos de cumplir con las competencias exigidas para desempeñarse
como auditores de estados financieros y de considerar la incorporación de expertos del área
informática en sus equipos de trabajo cuando la complejidad de los procesos evaluados así lo
requiera.

PALABRAS CLAVE

Auditoría de estados financieros – Tecnología de Información – Evidencias Digitales

1. INTRODUCCIÓN

En la sociedad del conocimiento, donde los sistemas de información se vuelven cada día más
complejos y sofisticados, donde poco a poco se van abandonando los papeles como soporte físico de
los documentos para dar paso a justificantes electrónicos, prácticamente ninguna entidad, por
pequeña o poco compleja que pueda llegar a ser en su operatoria, vive al margen del uso de las
computadoras (González, 2004).
Las organizaciones públicas y privadas utilizan sistemas informáticos en el procesamiento, registro,
almacenamiento, elaboración y presentación de su información financiera y, en general, en el
desarrollo de sus actividades. A su vez utilizan múltiples medios de comunicación electrónica para la
transmisión de información y datos, por ejemplo el correo electrónico.
En particular, el ingreso de datos a los registros contables es usualmente iniciado, autorizado,
grabado, procesado e informado en forma electrónica. Adicionalmente, los registros pueden ser parte
de sistemas integrados que comparten datos y dan soporte a todos los aspectos de los reportes
financieros, las operaciones y al cumplimiento de objetivos de la entidad (Statement on Auditing
Standard (SAS) 106).
En este contexto el auditor externo desarrolla su trabajo en un entorno informatizado. Según la Norma
Técnica de Auditoría española sobre Auditoría de Cuentas en Entornos Informatizados, dicho entorno
existe cuando la entidad auditada, al procesar la información financiera significativa para la auditoría,
emplea un ordenador, de cualquier tipo o tamaño, ya sea operado por la propia entidad o por un
tercero. Se entiende por sistemas informáticos, aquellos relacionados con el procesamiento,
almacenamiento, transmisión y emisión de la información financiera (Instituto de Contabilidad y
Auditoría de Cuentas, 2003).
El auditor debe considerar de que manera se ve afectada su tarea, principalmente en relación con los
procedimientos para el conocimiento y evaluación de los sistemas de control interno, el análisis de
riesgo inherente y de control, y el diseño y aplicación de las pruebas de cumplimiento y los
procedimientos sustantivos para alcanzar los objetivos de auditoría (Minguillón Roy, 2006; González,
2004). Además de ello debe considerarse el cumplimiento de los requisitos legales.
Específicamente interesa en este trabajo evaluar las particularidades que adquieren las evidencias de
auditoría en estos contextos. Sucede que la evidencia documental que respalda los registros contables
puede encontrarse en formato electrónico, complementando o reemplazando los documentos en
soporte papel. El auditor debe considerar este nuevo escenario en la planificación y ejecución de su
trabajo de auditoría para evaluar la suficiencia y competencia de las evidencias a obtener en la
ejecución de su tarea (Sindicatura de Comptes de la Comunitat Valenciana, 2010).
Las normas y estándares de auditoría requieren que el auditor obtenga suficiente evidencia
competente para respaldar su opinión acerca de la razonabilidad de los estados financieros. Sin
embargo, las características de las evidencias han cambiado significativamente a partir de las nuevas
tecnologías utilizadas por los entes, debilitando en algunos casos las formas de evidencias
tradicionales, requiriéndose una modificación en los procedimientos de auditoría destinados a
obtenerlas (Caster & Verardo, 2007). Los profesionales deben evaluar la disponibilidad de la evidencia
electrónica, planificar la forma de recolectarla convenientemente y adaptar los procedimientos de
análisis de documentación a los nuevos soportes digitales (Norma Internacional de Auditoría 500;
Arens, Elder & Beasley, 2007), considerando el cumplimiento de los requisitos de legitimidad,
autenticidad y preservación que les son aplicables.
En este contexto cabe revisar además el concepto de diligencia profesional, así como las capacidades
y conocimientos mínimos exigibles al profesional en ciencias económicas en relación a los sistemas
de tecnologías de la información. El perfil ideal del auditor financiero es aquel que combina
conocimientos en auditoría de cuentas y auditoría de sistemas y procesos informatizados (Astiz
Fernandez & Sole Bardia, 2008).
Sin embargo, en determinados entornos computadorizados complejos puede resultar necesaria la
incorporación en el equipo de auditoría de expertos en seguridad informática y especialistas en
derecho informático, generando grupos de trabajo multidisciplinarios que colaboren con el contador
que debe dictaminar sobre la información contenida en los estados contables, garantizando un servicio
de calidad y una auditoría eficaz y eficiente.
El objetivo del presente trabajo consiste en proporcionar un análisis acerca del impacto que produce el
uso de las nuevas tecnologías de la información sobre la obtención, procesamiento, conservación y
oponibilidad de las evidencias de auditoría de estados financieros, realizando un aporte a
profesionales y académicos sobre las particularidades y características de las evidencias en el marco
del nuevo contexto en el cual el auditor debe desarrollar su trabajo.
El trabajo se encuentra estructurado de la siguiente forma: en un primer apartado se presentan los
conceptos teóricos y a continuación algunos antecedentes normativos relacionados al tema analizado;
posteriormente se efectúan los aportes en relación a las particularidades de las evidencias digitales en
la auditoría financiera, y por último se exponen las consideraciones finales.

2. MARCO TEÓRICO

En un escenario altamente evolutivo, donde las organizaciones han debido actualizar sus procesos de
negocio a través de la informatización para sobrevivir en el entorno competitivo actual, los auditores de
estados financieros también deben avanzar. Si bien el objetivo último de la auditoría financiera no se
ve modificado (emitir una opinión sobre la razonabilidad de la información contenida en los estados
contables), los profesionales necesitan adaptar sus procedimientos y técnicas de auditoría para la
consecución de las evidencias que sustentan su opinión, a efectos de realizar una auditoría eficiente y
efectiva (Astiz Fernández et al., 2008).
Las evidencias de auditoría comprenden toda la información utilizada por el auditor para alcanzar las
conclusiones sobre las cuales se basa el dictamen de una auditoría e incluyen tanto la información
contenida en los registros contables de los que se obtienen los estados financieros, como otra
información. Este concepto es el que mencionan la Norma Internacional de Auditoría (NIA) 500 y el
SAS 106.
Los elementos de juicio son recabados por el auditor como resultado de las pruebas que realiza,
pudiendo obtenerse de los sistemas del ente, de la documentación respaldatoria de transacciones y
saldos, de personas internas a la organización – gerencia, empleados – y externas (Slosse, Gordicz y
Gamondés, 2007).
La transformación de las evidencias físicas tradicionales de auditoría en las denominadas evidencias
digitales no implica que éstas pierdan sus características esenciales: ser legítimas y oponibles,
permitiendo una clara reconstrucción del hecho que soportan.
Sin embargo, para cumplir el requisito de ser “oponibles” deben adoptar un status de prueba que no
siempre ostentan. Por su carácter persuasivo, pueden brindar conocimientos o indicios, pero no ser
contrastables, documentadas y legítimas, de modo que tanto las tradicionales como las digitales
requieren procedimientos para garantizar su oponibilidad a terceros, condición básica para que sirvan
como medio de prueba.
Las Normas de Auditoría para el Sector Público de España (Intervención General de la Administración
del Estado (IGAE), 1997), definen a la evidencia informática, como la información y datos contenidos
en soportes electrónicos, informáticos y telemáticos, así como los elementos lógicos, programas y
aplicaciones utilizados en los procedimientos de gestión del auditado. Esta evidencia informática
incluye los elementos identificados y estructurados que contienen texto, gráficos, sonidos, imágenes o
cualquier otra clase de información que pueda ser almacenada, editada, extraída e intercambiada
entre sistemas de tratamiento de la información, o usuarios de tales sistemas como unidades
diferenciadas.
Eoghan (2011) se refiere a la evidencia digital como un tipo de evidencia física, que está constituida
por campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con
herramientas y técnicas especiales.
Si bien las dos definiciones que anteceden son adecuadas, se considera necesario incluir el concepto
de valor probatorio en forma explícita, para que puedan utilizarse como soporte de opinión. Cabe citar
el viejo adagio que resalta que existe una diferencia entre la verdad y la parte de la verdad que es
demostrable. La opinión se sustenta con la parte de la verdad que es demostrable.
En este sentido, la Cloud Security Alliance (2011) define las pruebas electrónicas como cualquier dato
almacenado o transmitido en forma digital y que por sus características pudiera ser utilizado para
probar algún hecho en un procedimiento judicial. Adaptando el concepto se podría decir que las
evidencias de auditoría digitales son aquellas generadas, almacenadas o transmitidas por medios
electrónicos, que respaldan la opinión emitida por el auditor respecto de la información contenida en
los estados contables del ente auditado, y que sirven como prueba en procesos judiciales. De este
modo se hace referencia en la definición a dos de los principales objetivos de las evidencias de
auditoría.
Según Lanza Suárez (1997), las evidencias informáticas tienen características distintivas, que las
destacan a priori sobre los demás tipos:
 la ininteligibilidad (es decir, que no es materia de puro conocimiento sin intervención
de los sentidos);

 la ilegibilidad;

 su soporte en medios informáticos, telemáticos o electrónicos; y

 la imposibilidad de su tratamiento o análisis por medios tradicionales de auditoría.

Este último punto lleva a una reflexión acerca del alcance del concepto “medios tradicionales de
auditoría”. Según la Real Academia Española, “tradicional” implica seguir las ideas, normas y
costumbres del pasado, situación que aparentemente cede ante el impacto del avance tecnológico.
Esto no significa que se deba modificar ni el concepto ni la esencia de los procedimientos, sino que
cambia el contexto en el que se aplican y las herramientas que se utilizan.
A modo de ejemplo, un relevamiento de datos realizado en forma manual sobre un fichero papel,
conceptualmente no difiere del relevamiento llevado a cabo mediante la lectura de un archivo
electrónico que los contiene. Ambos consisten en la toma de conocimiento de datos, cambiando sólo
la metodología, pero no el concepto ni el objetivo del procedimiento.
De la definición de evidencias informáticas brindada por las Normas de Auditoría para el Sector
Público de España se desprenden dos categorías (IGAE, 1997; Lanza Suárez, 1997; Minguillón Roy,
2006):

 los programas y elementos lógicos empleados en la gestión por el auditado:

pueden poner de manifiesto los procesos y las operaciones, y una buena parte de los
procedimientos de control interno, de modo tal que mediante la revisión de los sistemas
lógicos informáticos de gestión el auditor externo obtiene evidencia de auditoría a través
del conocimiento del flujo de documentos electrónicos, las autorizaciones explícitas e
implícitas, la segregación de funciones, los controles de seguridad existentes y otros
procedimientos de control interno.
Es probable que la complejidad de esta evidencia dificulte su análisis y evaluación, requiriéndose la
participación dentro del equipo de trabajo de auditoría de expertos en sistemas, de los cuáles los
profesionales contadores puedan nutrirse para formar su opinión sobre los sistemas de información
automatizados. Dicho profesional debería evaluar estos sistemas a fin de determinar en qué medida
producen información cuali y cuantitativamente confiable, precisa y disponible.
La intervención del auditor (tanto interno como externo) en el ciclo de vida de los sistemas de
información, es un procedimiento valioso para la evaluación indicada en el párrafo anterior.

 los datos e información contenidos en soportes electrónicos, informáticos y

telemáticos: representan la versión intangible de muchas pistas visibles de transacciones
que son rastreadas por los auditores, de modo que no se dispone en algunos casos de
documentos físicos para visualizar, comprobar firmas, tildar, fotocopiar.
 Se destacan del resto de la evidencia documental por su característica de ilegibilidad.
Comprende tanto los documentos que contienen información de texto y numérica, como los
que contienen imágenes, sonido, u otros.

Cabe aclarar que la clasificación de evidencias digitales que antecede no implica de ningún modo su
concepción en forma separada. Uno de los grupos es resultado o fuente del otro, debiendo evaluarse
irremediablemente en conjunto en una auditoría.

3. ANTECEDENTES NORMATIVOS

Haciendo un relevamiento de normas de auditoría referidas a las evidencias digitales se pueden citar
las siguientes:

 la Statement on Auditing Standards 80 (SAS 80), la cuál reconoce los cambios en la

naturaleza de la documentación y la evidencia en los medios virtuales y brinda directrices de actuación
para la ejecución de auditorías financieras en cualquier organización que transmita, procese,
mantenga o acceda información de forma electrónica o informática, siempre que sea relevante para
sus fines;

 la Declaración Internacional sobre Prácticas de Auditoría 1013 denominada Comercio

Electrónico – Efectos sobre la auditoría de estados financieros. Brinda una guía a los
profesionales en los casos de auditorías en entidades que se dedican a la actividad comercial por
medio de computadoras conectadas a una red pública como Internet. La norma reconoce la
vulnerabilidad de las evidencias electrónicas, dada la facilidad de alteración o modificación sin que
queden pruebas de dichos actos, e incorpora una serie de recomendaciones al auditor para su labor
en estos contextos;

 las Normas de Auditoría del Sector Público (NASP) de la Intervención General de la

Administración del Estado (IGAE) del Gobierno de España (1997) han incorporado a las evidencias
informáticas dentro de la clasificación de las evidencias agregándolas a las de tipo físico, documental,
testimonial y analítico. Además hace referencia a los enfoques tendientes a evaluar la fiabilidad de las
evidencias obtenidas de los medios informáticos;

 La Norma Técnica de Auditoría sobre Auditoría de Cuentas en Entornos Informatizados

del Instituto de Contabilidad de Auditoría de Cuentas (2003) español tiene como objeto establecer
reglas y suministrar una guía respecto a los procedimientos a seguir cuando se realice una auditoría
en estos entornos. Reconoce la necesidad de que el profesional evalúe la disponibilidad de los datos
en el momento de la planificación de la auditoría.

4. EVIDENCIAS DE AUDITORÍA DIGITALES: ANÁLISIS DE SUS PARTICULARIDADES

Se considera conveniente analizar las particularidades de las evidencias de auditoría digitales en

cuanto a su obtención, procesamiento, conservación, y oposición, considerando además la
perdurabilidad de la fuente como una dificultad particular asociada a ellas. En el Gráfico 1 se indica el
esquema de análisis utilizado.

Gráfico 1: Esquema de análisis de las evidencias de auditoría digitales

OBTENCIÓN PROCESAMIENTO CONSERVACIÓN

OPOSICIÓN
Valor Probatorio

PERDURABILIDAD
DE LA FUENTE

Fuente: Elaboración propia.

Según la Sindicatura de Comptes de la Comunitat Valenciana (2010) y el Instituto de Contabilidad y
Auditoría de Cuentas (2003) de España, existe un conjunto de aspectos relevantes –entre ellos
algunos riesgos– a ser tenidos en cuenta por el profesional cuando trabaja en contextos en los cuales
parte de las evidencias son de tipo electrónico. Seguiremos estas disposiciones a modo de guía para
nuestro análisis.

4.1. OBTENCION DE EVIDENCIAS DE AUDITORÍA

Debido a que los datos a ser evaluados en el proceso de auditoría se encuentran en soporte
magnético, se presentan las siguientes alternativas:

 utilizar listados procedentes de los archivos magnéticos como fuente de información

y a partir de ellos elaborar los papeles de trabajo;

 acceder directamente a los archivos electrónicos y realizar los análisis necesarios

utilizando herramientas tales como planillas de cálculo, sistemas de gestión de bases de
datos, SQL, o alternativas de software específicas de auditoría.

En ambos casos, puede resultar necesario el cotejo con la documentación fuente. Puede presentarse
una dificultad cuando el soporte documental de los archivos electrónicos no existe en formato tangible
(Piattini & Del Peso, 2001), sea porque los datos se originaron en transacciones o documentos
electrónicos, o porque se efectuó captura de imágenes sobre los documentos fuente y fueron
eliminados los soportes de papel.
Dado este concepto genérico, existen algunas cuestiones a considerar en la etapa de la obtención de
las evidencias, las cuales se analizan a continuación.

a) Destrucción o alteración no autorizada de la evidencia

En los procesos de auditoría se utilizan listados en papel o guardados en formato digital, sobre los que
se realizan comprobaciones. Dichos listados son una visualización “física” de una evidencia
informática. Existe un mayor riesgo de no detección de la destrucción o alteración no autorizada de la
información que respalda los saldos y transacciones reflejados en los registros contables cuando la
misma se inicia, autoriza, procesa y almacena únicamente en medios electrónicos y no existen
controles adecuados y efectivos (SAS 80).
En principio, la alteración o modificación de los archivos electrónicos, sea intencional o no, puede ser
más sencilla que en los documentos en papel, sin que queden pruebas de dichos actos, no pudiendo
en muchos casos ser recuperadas salvo que el ente posea adecuados archivos de respaldo (Casal,
2010:1000-1001).
Dicha situación se revierte en los casos en que el ente usuario de la TI hubiera previsto medidas de
seguridad adecuadas. Por ejemplo, en los casos en los que se utiliza el encriptado resulta más difícil la
alteración de los datos contenidos en medios digitales que de aquellos contenidos en papel. Es así
que la integridad e inalterabilidad de la información depende de los controles fiables y de las técnicas
de seguridad empleadas por el ente.
En consecuencia, el auditor debe considerar si el diseño, implementación y operatividad de los
controles existentes sobre la seguridad de la información son adecuados para prevenir los cambios no
autorizados definiendo en consecuencia procedimientos de auditoría adicionales. En particular, la
Declaración Internacional de Prácticas de Auditoría (DIPA) 1013 recomienda al auditor en relación a
las evidencias:

 Evaluar la seguridad de las políticas de información de la entidad y los controles de

seguridad aplicados, determinando si son suficientes para impedir cambios no autorizados
en los sistemas o en los registros contables.

 Probar los controles automatizados cuando analiza la integridad de los elementos de

juicio electrónicos –como verificaciones de integridad de registros, sellos fechadores
electrónicos, firmas digitales, controles de versiones. Según el resultado obtenido
determinará la necesidad de aplicar procedimientos adicionales, tales como confirmaciones
de terceros.

El SAS 106 del año 2006, plantea en su Párrafo 9:

 “El auditor deberá considerar la fiabilidad de la información a ser utilizada como evidencia de
auditoría, por ejemplo, fotocopias; facsímiles; o filmados, digitalizados, u otros documentos
electrónicos, incluyendo la consideración de los controles sobre su preparación y
mantenimiento cuando sea pertinente. Sin embargo, una auditoría rara vez comprende la
autenticación de documentos, ni el auditor está entrenado para o se espera que sea un experto en
dicha autenticación” (el resaltado es propio).

El mencionado estándar prevé que el auditor no suele estar capacitado para reconocer la legitimidad
de un documento digital, y por ende las posibles alteraciones que hubiera sufrido la información. Bajo
este planteo no sería factible que el auditor pueda considerar la fiabilidad de la información sin la
intervención de un experto.
Sin embargo, el alcance dado al concepto de “debida diligencia” en este trabajo considera que el
profesional debería adquirir la habilidad de evaluar la fiabilidad de los documentos, o por lo menos
estar capacitado para comprender y evaluar la tarea del experto.

b) Formato de las evidencias

En algunos casos los documentos pueden existir únicamente en formato electrónico, ya sea porque se
originaron en dicho formato –como en el caso del comercio electrónico– o por haber sido escaneados
y eliminados los soportes en papel para su almacenamiento y consulta (SAS 80). La suficiencia y
adecuación de la evidencia dependerá de la efectividad de los controles internos existentes para
asegurar la exactitud e integridad del registro electrónico de la información. Es así que el profesional
en su trabajo de auditoría evaluará dichos aspectos del sistema de información en particular.
Respecto de la obtención y procesamiento de las evidencias digitales, si sólo puede realizarse
mediante el uso de computadoras, puede adoptarse como alternativa de solución la obtención de
copias de las bases de datos de los clientes y la ejecución de pruebas sobre dichas copias, en general
utilizando paquetes de software enlatados o personalizados.
La inalterabilidad de las evidencias en formato electrónico debe garantizarse tanto por parte del
auditado como por parte del auditor, dado que nada impediría que sea éste quién, accidental o
intencionadamente, modifique los archivos soporte. A efectos de minimizar esta debilidad de alteración
de las evidencias, el profesional puede utilizar software de auditoría con garantía de no modificación
de datos de origen. Si esto no fuera posible, deberá arbitrar otros medios para este fin, como por
ejemplo:
 El uso de la firma digital, que es la opción más fiable, pero la más costosa, compleja
y selectiva.
Este método criptográfico asocia la identidad de una persona o de un equipo informático al mensaje o
documento. En función del tipo de firma, puede, además, asegurar la integridad del documento o
mensaje.
La Ley 25.506 de la República Argentina en su Artículo 1° indica que se entiende por firma digital al
resultado de aplicar a un documento digital un procedimiento matemático que requiere información de
exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control. La firma digital debe
ser susceptible de verificación por terceras partes, tal que dicha verificación simultáneamente permita
identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma.

 Otra opción es la firma electrónica, en tanto esté implementada por el auditado, que
es quién debe garantizar el origen y el contenido de la información, y su utilización esté
incluida en la carta convenio de auditoría, atento a su diferencia en cuanto a efecto jurídico
y valor probatorio respecto de la firma digital.
Este es un concepto más amplio que el de firma digital, teniendo una naturaleza fundamentalmente
legal, ya que confiere a la firma un marco normativo que le otorga validez jurídica. Ésta puede
vincularse a un documento para identificar al autor, para señalar conformidad (o disconformidad) con
el contenido, para indicar que se ha leído o, según el tipo de firma, garantizar que no se pueda
modificar su contenido.
La ley argentina mencionada define la firma electrónica en su Artículo 5 como el conjunto de datos
electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por
el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser
considerada firma digital.

 Por último, podría acordarse la utilización de alguna función hash, MD5 o similar que
garantice la integridad de los archivos.
En particular la función hash es un algoritmo matemático que permite calcular un valor resumen de un
conjunto de datos, los cuáles luego pueden o no ser firmados digitalmente. Funciona en una sola
dirección, es decir, no es posible, a partir del valor resumen, calcular los datos originales. Cuando la
entrada es un documento, el resultado de la función es un número que identifica inequívocamente al
texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y
comprobar su resultado con el que ha recibido. Ello no obstante, este tipo de operaciones no están
pensadas para que las lleve a cabo el usuario, sino que se utiliza software que automatiza tanto la
función de calcular el valor hash como su verificación posterior.

Todas estas precauciones tienen el límite en el dinamismo de la información. Por ejemplo, carece de
sentido firmar una base de datos (además de la complicación técnica que representa), dado que al ser
un soporte transaccional, se modifica permanentemente. Si podría firmarse una copia de dicha base,
esto es, su contenido a un momento dado.
No habría inconveniente en garantizar documentos de texto o imágenes de documentos de texto
escaneadas, siempre y cuando se incluya la garantía de origen en este proceso.
En síntesis, el auditor debería detenerse a analizar –mediante alguna de las alternativas propuestas–
como garantizar el origen, la autoría, la integridad y la inalterabilidad de los archivos y/o documentos
digitales que obtiene, de modo que éstos resulten oponibles.

c) Trabajo sobre bases selectivas

En el desarrollo de un proceso de auditoría tradicional el profesional aplica procedimientos para

obtener evidencias, los cuales difícilmente se ejecutan sobre el total de las transacciones y saldos de
la empresa, sino que se restringen a un conjunto de éstos, que constituyen una “muestra” de
elementos representativos que permite concluir sobre los hallazgos obtenidos en el universo de
transacciones y saldos (Slosse et al., 2007).
La posibilidad de utilizar técnicas de auditoría asistidas por computadora puede aumentar la eficiencia
de los procedimientos sobre la población completa de saldos o transacciones. En este sentido se
considera que se puede eliminar la aplicación de técnicas de muestreo para los registros
transaccionales, dado que es posible –y aconsejable bajo estas circunstancias– la revisión del 100%
de las transacciones. Solo se requiere disponer de equipos de computación con potencia de cálculo
adecuada, la cual actualmente es generalizada y de muy bajo costo.
Ello no implica que el “procedimiento” aplicado pierda su carácter de selectivo. Esto es así porque el
concepto de “selectividad” no se refiere a la determinación de la cantidad de elementos que serán
evaluados, sino a la elección del procedimiento aplicable.
A pesar de lo expuesto el concepto de muestreo no es dejado de lado. Necesariamente será aplicado
a la revisión de transacciones, tanto como a la constatación de las evidencias digitales con los
respaldos documentales, caso en el que necesariamente deberá ser utilizado por el volumen de
documentación que puede llegar a existir.

d) Fiabilidad de la evidencia. Capacidades exigibles al profesional

El auditor debe obtener evidencia suficiente y adecuada sobre la validez y confiabilidad de los datos
provenientes de los sistemas del cliente cuando sean significativos para el resultado de la auditoría.
Para ello existen dos enfoques:

 la revisión de sistemas: evaluar y probar el funcionamiento de todos los controles en

un sistema informático, abarcando todo el rango de sus aplicaciones, funciones y
productos. Estas revisiones examinan los controles generales y de aplicación de una
instalación informática, verifican su cumplimiento y efectúan pruebas sobre los datos
generados o tratados por el sistema. Si bien brindan un mejor entendimiento del diseño y
operaciones de un sistema, consumen una considerable cantidad de tiempo para su
ejecución.

 la revisión limitada: se dirige a un conjunto de datos en particular, requiriendo menor

conocimiento de los controles generales y de las aplicaciones. Los controles pertinentes se
evalúan en la medida necesaria para juzgar el nivel de pruebas de datos a efectuar para
determinar la fiabilidad de éstos (IGAE, 1997).

Es necesario plantearse a esta altura si el auditor de estados financieros que actúa en un contexto
informático debe ser un experto en TICs para poder desarrollar su trabajo con idoneidad. Tal como se
menciona en el párrafo 9 del SAS 106, el auditor no necesariamente es especialista en la obtención y
examen de evidencia informática, como para darse cuenta que la información proporcionada por los
ordenadores no es fiable.
Para esto requiere:

 otra evidencia corroborativa, y/o

 la ejecución y documentación de una revisión de controles generales y de aplicación

comprendidos en el entorno informático sujeto a evaluación en base a estándares de
seguridad de uso universalmente aceptado (COSO, COBIT, ITIL, MAGERIT).

Considerando que el avance tecnológico es exponencial y todos los sistemas de información se

soportan en TICs, incluso los que se utilizan para preparar estados financieros en todas sus etapas, es
necesario analizar el nivel de conocimiento mínimo requerido por el profesional para actuar como
auditor en el nuevo escenario.
En primer lugar, cabe mencionar la responsabilidad profesional que recae sobre el auditor, quien debe
actuar con la debida diligencia y escepticismo profesional. Ello se refleja en:

a) el Código de Ética Unificado de la Federación Argentina de Consejos Profesionales en Ciencias

Económicas (FACPCE), que plantea en cuanto a la idoneidad profesional que “Los
profesionales en ciencias económicas deben ejecutar sus servicios con cuidado, competencia y
diligencia, y tienen el deber de formarse permanentemente en lo referente a su propio ámbito
profesional”.

b) el Código de Ética para Profesionales de la Contabilidad de la International Federation of

Accountants (IFAC), con aplicación a nivel internacional para todos aquellos países que
adhieran a él, que establece una responsabilidad similar en su Sección 130 - Competencia y
diligencia profesionales:

130.1 El principio de competencia y diligencia profesionales impone las siguientes obligaciones a

todos los profesionales de la contabilidad:
(a) Mantener el conocimiento y la aptitud profesionales al nivel necesario para permitir que los
clientes, o la entidad para la que trabaja, reciban un servicio profesional competente, y
(b) Actuar con diligencia, de conformidad con las normas técnicas y profesionales aplicables, cuando
se prestan servicios profesionales.

Las normas citadas requieren del profesional que preste un servicio competente, indicando en la última
de ellas las dos fases que deben cumplirse para lograrlo: a) la obtención de la competencia; b) su
mantenimiento, lo cual exige una atención continua y el conocimiento de los avances técnicos,
profesionales y empresariales relevantes.
Esto implica la capacidad de evaluar los sistemas que generan la información sobre la cual se
desarrolla la labor de auditoría y finalmente se emite opinión. Requiere sin dudas un conocimiento
suficiente de TI como para cumplimentar un nivel adecuado de entendimiento de los sistemas de
información.
En la República Argentina la legislación vigente incluye como competencia profesional reservada al
Contador Público (único habilitado para realizar un trabajo de auditoría de estados contables) la
“Aplicación e implementación de sistemas de procesamiento de datos y otros métodos en los aspectos
contables y financieros de proceso de información gerencial” (Art. 6 de la Ley Nacional Nro. 20.488).
Específicamente en la Provincia de Buenos Aires, la Ley Provincial Nro. 10.620 que define las
competencias de los profesionales en ciencias económicas, concretamente en su Artículo 12 indica las
actividades para las que se requiere el titulo de contador público, incluyendo:

“(…) a) En materia extrajudicial, cuando los informes, dictámenes y certificaciones estén

destinados a ser presentados ante los poderes públicos, entidades públicas, mixtas o privadas
y ante particulares o a su difusión pública y sean consecuencia de las siguientes actividades:
(…) 6. Definición, análisis, diseño e implementación de sistemas de información
económico-financiera en los entes públicos y privados; auditoría de sistemas de datos y
de información para la determinación de su grado de eficiencia y seguridad;
evaluación y determinación de la configuración del equipamiento a utilizar para el
procesamiento de los datos; emisión de opinión técnica y tramitación destinada a la
autorización de dichos medios por parte del órgano de contralor” (el resaltado es
propio).

Es decir que, la necesidad de poseer conocimientos sobre TI forma parte ya de la competencia

profesional y, por lo tanto, de la “debida diligencia” con que debe desarrollarse la tarea.
Una cuestión aparte es definir cuál es el límite técnico a imponer a este nivel de conocimiento y por lo
tanto, definir el límite de competencia y responsabilidad del profesional.
Es oportuno acudir a criterios fundados en la opinión de organismos idóneos en el tema. Según
ISACA (Bel & Nunes, 2000) existen tres niveles de auditores de sistemas de información, que se
definen de la siguiente forma:

Nivel 1: Las técnicas incluyen el conocimiento general y conceptual de la Auditoría de

TI. Los auditores que posean esas técnicas, son capaces de ejecutar programas de auditoría
que incluyan sistemas de información, identificar las debilidades de control del mismo y evaluar
su significatividad.
Nivel 2: Estos auditores están bien familiarizados con todas las áreas del conocimiento
de la Auditoría de Sistemas de Información (SI). Son capaces de seguir los síntomas hasta las
causas y decidir si el alcance de la auditoría debe ampliarse para incluir las causas de los
problemas.
Nivel 3: Estos auditores son típicamente especialistas técnicos, que están
familiarizados con proveedores específicos de hardware y productos de software. Son capaces
de formular un programa de auditoría que incluya procedimientos de prueba apropiados,
ejecutar dicho programa, identificar las debilidades de control de sistemas, y evaluar la
significatividad de las mismas.

Parece atinado concluir que los niveles en los que debe identificarse un Contador Público que realiza
auditorías de estados financieros, serían el Nivel 1 o el Nivel 2. Se prefiere el Nivel 2 que desde luego,
presupone un vasto conocimiento en el área de TI, capaz de identificar y relevar procesos, identificar y
evaluar los riesgos que puedan atentar contra la integridad, confidencialidad y disponibilidad de la
información financiera, e identificar y evaluar el sistema de control interno vigente.
Contemplar estas cuestiones, ayudará al auditor a evaluar la fiabilidad de los datos informáticos, el
riesgo de que existan distorsiones significativas y a planificar pruebas de auditoría más eficaces,
incluyendo la decisión de la intervención un experto, tal como lo autoriza la Norma Internacional de
Auditoría Nro. 620 de la IFAC (no se desarrolla este punto dado que su análisis excede el objetivo de
este trabajo).
Dicha intervención es preferible que se ejecute mediante la incorporación de los especialistas del área
informática en el equipo de auditoría. Sin embargo ésta no debe convertirse en una delegación total de
la comprensión de riesgos y controles existentes en el entorno informatizado. El auditor financiero es
quien debe tener la capacidad de entender cuándo y por qué involucrar al especialista, apoyándose en
él en el transcurso de la auditoría. Sin llegar a ser un experto en tecnología, el profesional en ciencias
económicas debe procurar comprender y evaluar los sistemas informáticos, evitando la solución
alternativa de realizar simplemente pruebas sustantivas para la obtención de las evidencias.

e) Las confirmaciones de terceros por medios electrónicos

Un caso particular en el que se pueden suscitar dudas acerca de la fiabilidad de las evidencias
obtenidas es el de las confirmaciones de terceros en formato electrónico.
El profesional debe evaluar el riesgo de que las respuestas obtenidas hubieren sido alteradas
afectándose la veracidad de las respuestas, independientemente del medio de soporte utilizado. Las
confirmaciones electrónicas suponen un mayor riesgo de modificación por la dificultad de identificar el
origen y la identidad del emisor. Los riesgos particulares a ser tenidos en cuenta al momento de
diseñar el proceso de confirmación electrónico se refieren a:

 la fuente de la respuesta, en cuanto a que la misma proceda del tercero con quien
efectivamente se ha realizado la transacción;

 la persona que responde tiene conocimiento de los datos y transacciones objeto de

confirmación y los niveles de autorización suficientes para responder en nombre de la
entidad a la cual se la ha solicitado;

 la integridad en la transmisión de la respuesta (Sindicatura de Comptes de la

Comunitat Valenciana, 2010).

Caster et al. (2007) recomiendan que se incremente el escepticismo respecto de las comunicaciones
recibidas por estos medios (sean de parte del auditado o de un tercero independiente) validando la
información obtenida.
Esta recomendación es válida y el auditor deberá evaluar su autenticidad, previendo o ejecutando
procedimientos que despejen sus dudas para verificar la fuente y el contenido de la información –tales
como confirmaciones telefónicas de las respuestas con el tercero emisor, o la solicitud de que la
misma sea enviada también por correo postal, si bien este ultimo no garantiza que sea él quien las
envía.
Las tres variables de riesgos expuestas tienen tratamiento específico.
La fuente –entiéndase origen, esto es lugar de procedencia y autor– puede acreditarse mediante la
utilización de firma digital como mayor exponente de seguridad, fundamentados en la presunción de
autoría, integridad, procedencia y aceptación (no repudio por parte del emisor) que otorga el certificado
digital.
Si se garantizara con firma electrónica, no habría diferencia desde el punto de vista técnico de
seguridad, sólo se requeriría un reconocimiento (acuerdo) para otorgarle fiabilidad.
Otros medios contractuales que impliquen algún tipo de encripción y reconocimiento de la fuente
también podrían ser utilizados satisfactoriamente.
Obviamente en estos acuerdos también debería preverse la garantía con respecto a las autorizaciones
para actuar en representación del auditado.
Por último, la seguridad de la transmisión puede garantizarse aceptablemente (no con certeza)
mediante la utilización de determinados protocolos, como por ejemplo el SSL, Secure Sockets Layer,
en español “capa de conexión segura”, que utilizan la criptografía como medio para generar
comunicaciones seguras entre un cliente o usuario y un servidor a través de una red, como ser
Internet.
Puede afirmarse entonces que el avance de la tecnología permite y propicia la utilización de nuevas
técnicas con un grado de seguridad razonable para el auditor.

4.2. PROCESAMIENTO DE LAS EVIDENCIAS DIGITALES

No se efectuará un análisis de este punto en profundidad dado que una vez que se obtuvieran los
datos fuente teniendo en cuenta los recaudos indicados en los apartados previos, la decisión acerca
de la metodología a utilizar para su procesamiento y evaluación dependerá de cada profesional, quien
lo resolverá en base a las circunstancias y al plan de trabajo definido en el proceso de planificación de
la auditoría.
Se considera atinado resaltar como concepto excluyente que los documentos originales nunca deben
ser alterados, debiendo el auditor prever y tomar los recaudos necesarios para que desde su captura
de la información se impida su alteración.
Esto se logra evitando la aplicación de los procedimientos sobre archivos originales, sino que debe
hacérselo siempre sobre copias, dado que los primeros deben conservarse como garantía de origen
de la evidencia.

4.3. CONSERVACIÓN DE LAS EVIDENCIAS Y DE LOS PAPELES DE TRABAJO

La utilización de evidencias electrónicas se producirá en forma gradual, de modo que es común la

coexistencia de archivos y soportes documentales físicos.
A su vez, las firmas de auditoría pueden optar por reemplazar los papeles de trabajo tangibles por
versiones digitales, para conservar bajo este formato el respaldo de su labor y opinión.
Las alternativas para este fin son diversas. Se puede desarrollar un software propio para la
documentación de los elementos de juicio y su conservación, o utilizar herramientas de procesamiento
de texto, hojas de cálculo y bases de datos tradicionales, todos productos de amplia difusión en el
mercado y costo cada vez más accesible.
Aquí se debe reflexionar no sólo sobre la conservación de respaldos digitales surgidos por la migración
de respaldos tangibles, sino la de aquellos papeles de trabajo que desde su origen tienen formato
digital.
El riesgo respecto del cual en principio deben ser protegidos es el de borrado o alteración, sean de
tipo accidental o intencional, en dos momentos:

 durante el tiempo de trabajo, realizando copias diarias para el resguardo del

contenido;

 finalizada la auditoría, copiando todos los archivos en un medio de almacenamiento

que sólo pueda ser grabado una vez, y guardando el resguardo en un lugar seguro y
secreto (Fowler Newton, 2004).
Otros dos factores de riesgo que deben ser contemplados son los de obsolescencia técnica y deterioro
físico de los medios de almacenamiento, cuyo efecto es la falta de disponibilidad de la información,
afectando los futuros trabajos de auditoría y las circunstancias en las que eventualmente las
evidencias y papeles de trabajo debieran ser expuestas como prueba de la labor realizada. En
consecuencia, debe evaluarse:

 la vida útil de los medios de resguardo utilizados,

 los deterioros que pudieran sufrir en caso de estar expuestos a condiciones físicas
adversas,

 la necesidad de disponer de los aplicativos para el acceso y procesamiento de las

evidencias resguardadas en archivos de datos,

 los riesgos de que las nuevas versiones de productos de TI no permitan la lectura de

aquellos generados con versiones anteriores,

 los riesgos de accesos no autorizados a los datos resguardados en medios digitales.

Los efectos no deseados de estos riesgos de no disponibilidad de la información no sólo representan

dificultades de tipo técnico, sino también de tipo legal. Existen obligaciones establecidas por la
legislación y las normativas específicas que reglamentan el ejercicio profesional que imponen plazos
de conservación de los papeles de trabajo, generalmente por 10 años, que pueden resultar extensibles
por la subsistencia de causales de fondo, tales como prescripción o litigios.
Estos plazos de conservación, exceden con creces los ciclos cada vez más cortos de renovación
tecnológica, de modo que la supervivencia del soporte no depende exclusivamente de su integridad
física, sino de la posibilidad de acceder a los datos que soporta.
Entonces, para garantizar el cumplimiento de la normativa resultará necesario:

a. observar las características y recomendaciones que sobre el objeto de resguardo

indica el proveedor de modo de garantizar su integridad física,

b. mantener operativa la posibilidad de acceso, contemplando al efecto los

requerimientos de hardware y de software necesarios que permitan disponer de la
información almacenada.

A efectos de garantizar la posibilidad de acceso se debe prever la obsolescencia o pérdida de los

medios. Ello implica que la información debe migrarse periódicamente considerando la propia
evolución o cambios del sistema operativo y de los medios de almacenamiento utilizados. A veces
conlleva un cambio de arquitectura que implica una modificación en la estructura de archivos y/o bases
de datos. Para garantizar la integridad en la migración de los datos puede resultar adecuada la
participación de un experto que ejecute el proceso en caso que el auditor considere que no está en
condiciones de hacerlo él mismo.
Aún cuando el profesional sea capaz de realizar la migración, dependiendo de los riesgos
involucrados, la intervención de un tercero de confianza es aconsejable.

4.4. PERDURABILIDAD DE LA FUENTE

Continuando con el análisis sobre la conservación de las evidencias realizado en el apartado anterior,
cabe considerar aspectos vinculados con la perdurabilidad de la fuente. La naturaleza y oportunidad
de ejecución de los procedimientos de auditoría se pueden ver afectadas por la disponibilidad de los
datos contables originales en un único momento o en un lapso de tiempo limitado. Incluso puede
ocurrir que la información no pueda obtenerse con posterioridad si los archivos electrónicos originales
han sufrido cambios y no existen copias de seguridad de los mismos, si los soportes, dispositivos de
lectura o formatos se han vuelto obsoletos, o si los medios magnéticos de almacenamiento se han
deteriorado (Arens et al., 2007).
También puede ocurrir que la disponibilidad de los datos se vea afectada por el soporte de lectura
informatizada de los documentos fuente, de archivos informáticos y otras evidencias que el auditor
pudiera necesitar.
Estas situaciones implican que la fuente de la cual el auditor puede obtener los datos para efectuar su
trabajo podría no ser perdurable en el tiempo, lo cual puede tener distintos efectos:

 Que los datos no estuvieran disponibles antes de la ejecución de los procedimientos

del auditor, comprometiendo su trabajo. En estos casos el profesional debe ejecutar los
procedimientos en el momento en que la información está disponible, o solicitar a la
administración del ente que retenga cierta información específica para la realización de su
tarea. Ello podría implicar que se incluya en el contrato de auditoría la obligación del ente
de conservar esos datos para garantizar el cumplimiento.

 Que una vez ejecutados los procedimientos y obtenidas las evidencias, desaparezca
la fuente, quedando como única constancia de su existencia las copias que en sus papeles
de trabajo conserva el auditor. Cabe reiterar entonces las recomendaciones efectuadas en
apartado 4.1.b) destinadas a garantizar el origen, la autoría, la integridad y la inalterabilidad
de los archivos y/o documentos digitales obtenidos, de modo que el profesional pudiera
tener el respaldo de su opinión y en caso de que fuera necesario utilizarlos como medio de
prueba en instancias judiciales.

 Que la fuente de origen de las evidencias que queda en poder de terceros,

particularmente del auditado, están sujetas a su voluntad de conservación. Esto es, frente
a una situación de riesgo que pudiera comprometerlo, éste podría decidir deshacerse de la
fuente de información.

4.5. VALOR PROBATORIO

Finalmente cabe reflexionar acerca del modo de garantizar la legitimidad de los elementos de prueba
cuando las evidencias se encuentran en copias de archivos almacenadas en soportes magnéticos
(discos duros, pen drives, cintas, etc.) u ópticos (CD, DVD, BlueRay, etc.).
Si hubiera sido posible tomar los recaudos de seguridad efectiva expuestos en el párrafo de obtención
de las evidencias, resultaría factible utilizarlos como medio de prueba.
De no ser así, deberá recurrirse a medidas complementarias tales como:

 obtener una copia impresa e intervenida por el auditado de un listado que respalde
los totales de determinados campos de un archivo, lo cual garantizaría los totales, pero no
siempre la composición de detalles;

 obtener copia de los documentos fuente de las evidencias que constan en registros
digitales o asegurar la permanencia en poder de terceros para garantizar su exhibición
compulsiva si fuera necesario.

La efectividad de las medidas complementarias dependerá de las previsiones que al respecto tome el
profesional al momento de elaborar sus papeles de trabajo.
Una cuestión adicional a ser tenida en cuenta al respecto se refiere a los requerimientos establecidos
en las normas procesales respecto de la forma de obtención de las pruebas para que éstas sean
válidas en instancias judiciales. Es sabido que la prueba podría caerse si no hubieran sido recabadas
de acuerdo a lo que éstas indican.
Si bien se entiende que el auditor se encuentra autorizado para obtener las evidencias en relación a la
tarea que ejecuta, pueden existir ciertos límites impuestos por leyes referidas a la protección de datos
personales, de procesos industriales secretos, de la propiedad intelectual, y particularmente tratándose
de casos forenses, algunos medios de pruebas utilizados para el fraude pueden resultar invasivos o
atentar contra garantías de orden constitucional (grabaciones, filmaciones, secuestro de
documentación).
Es por ello que se recomienda recurrir en estos casos al asesoramiento de un especialista en derecho,
en particular en materia procesal y penal.

5. CONSIDERACIONES FINALES

Frente al permanente avance de la tecnología utilizada por las organizaciones que influye en la
generación de la información contable de un ente mediante la utilización de sistemas cada vez más
complejos resulta imperativo adecuar las técnicas tradicionales de auditoría, sin que ello implique una
modificación de su objetivo.
Las evidencias digitales comprenden el conjunto de elementos de juicio que el profesional debe
obtener de los medios informáticos del ente auditado a fin de formarse una opinión sobre la
razonabilidad de la información contenida en los estados contables. A su vez se ha resaltado la
importancia del valor probatorio que dichas evidencias deben ostentar, todo lo cual implica un conjunto
de particularidades a ser tenidas en cuenta.
Entre los aspectos a ser evaluados antes de iniciar el proceso de obtención de las evidencias digitales
resulta relevante destacar las precauciones para evitar la alteración de las fuentes de origen, las
medidas para garantizar su legitimidad, la experiencia y conocimientos del auditor en materia
informática, el cumplimiento de la normativa tanto de auditoría como la relacionada a la validez para su
uso en instancias judiciales y la forma en que se evaluará la autenticidad de las evidencias obtenidas.
En este nuevo contexto, los procedimientos para el tratamiento y análisis de las evidencias digitales
deben ser novedosos, manteniéndose inalterable su esencia y objetivos.
Entre las soluciones alternativas planteadas se encuentran el uso de la firma digital, la firma
electrónica o de funciones de tipo hash o similares, todo ello cuando fuera posible. En caso contrario,
el auditor debe recurrir a otras medidas que le permitan garantizar el origen, la integridad e
inalterabilidad de los documentos obtenidos, de modo de poder re-utilizarlos y oponerlos a terceros en
caso que fuera necesario.
El profesional es responsable de obtener y mantener las competencias profesionales que le permitan
realizar su tarea en forma diligente. Se requiere que se involucre en la evaluación y conocimiento de
los sistemas de información y de TI, siendo que el viejo paradigma de auditoría tradicional, basado en
la evaluación documental papel y sistemas de relevamiento con amplio componente manual, resulta
cada vez menos aplicable.
Considerando que la naturaleza de la función del auditor es abarcativa de distintos aspectos (de
información, legales, administrativos, impositivos) y dada la complejidad que pueden adoptar los
sistemas informáticos de los entes auditados, puede ser necesario que el profesional cuente con
apoyo multidisciplinario de expertos que se incorporen en sus equipos de trabajo, particularmente en el
caso aquí analizado, en seguridad informática y en derecho informático.
Cabe mencionar dos situaciones que implican un análisis en particular dentro del ámbito de las
evidencias digitales, que representan posibles líneas de investigación futura, respecto de las cuales es
conocido que algunos autores están trabajando, pero que requieren un tratamiento más extenso.
El primer caso se da cuando las evidencias únicamente están disponibles en formato digital, dado que
respaldan transacciones y procesos respecto de los cuales no existen soportes visibles o tangibles,
como es el caso del comercio electrónico. Esta situación representa un mayor grado de riesgo y
complejidad que requiere una adecuación de las herramientas y técnicas de auditoría que han sido
propuestas en este trabajo.
El segundo caso es aquel en el que existe tercerización de parte de la función de TI. Aquí las
evidencias están en poder de terceros ajenos al ente emisor de los estados contables. En
consecuencia, el profesional debe evaluar el grado de confianza que puede depositar en la
información procedente de sistemas informáticos producidos y/o mantenidos por terceros, situación
que depende de su auditabilidad y/o de las evaluaciones de control involucradas en los mismos. No
existe todavía una propuesta de solución sencilla, aun cuando se trate de contratistas o empresas que
brinden servicios de tratamiento informático exteriorizado (o tercerizado) por el auditado. La
computación en la nube –conocida por su nombre en inglés como cloud computing– es ejemplo de
esta situación, donde se produce un “traslado de confianza”, mudando la custodia de parte de su
sistema de control interno y la residencia de sus datos hacia el proveedor de servicios.
En consecuencia, resulta necesario continuar investigando en este área de actuación profesional a fin
de brindar herramientas que garanticen una labor eficaz y eficiente, que permita lograr el objetivo
último de la auditoría financiera en forma responsable.

6. REFERENCIAS BIBLIOGRÁFICAS

American Institute of Certified Public Accountants (AICPA). Statement on Auditing Standard

(SAS) Nro. 106 (AU Section 326) - Audit Evidence. Consultado el 15/03/2013. Disponible en
http://www.aicpa.org/Research/Standards/AuditAttest/DownloadableDocuments/AU-00326.pdf
American Institute of Certified Public Accountants (AICPA). Statement on Auditing Standard
(SAS) Nro. 80 – Amendment to SAS 31, Evidential Matter. www.aicpa.org
Arens A. A., Elder R.J., & Beasley M.S. (2007). Auditoría. Un enfoque Integral. (11a ed.). Aída
Gabriela Valladares Franyuti (Trad.). Mexico: Pearson Education.
 Astiz Fernandez F. J., & Sole Bardia M. (2008). La auditoría de cuentas anuales en entornos
informatizados. Partida Doble 202, 70-81. Consultado el 26/03/2013. Disponible en
http://nicniif.org/files/u1/s_anuales_en_entornos_informatizados_Sep_pdf.pdf
Bel J.D. & Nunes J. (2000) Fundamentos de Auditoría de sistemas. Buenos Aires: ISACA -
Capítulo Buenos Aires.
Casal A. M. (2010). Gobierno Corporativo: dirección, administración y control de organizaciones
de forma ética y responsable. (1a ed.). Buenos Aires: Errepar.
Caster P., & Verardo D. (2007). Technology Changes the Form and Competence of Audit
Evidence. The CPA Journal Online. Consultado el 15/03/2013. Disponible en
http://www.nysscpa.org/cpajournal/2007/107/essentials/p68.htm
Cloud Security Alliance (2011). Cloud Compliance Report – Capítulo Español de Cloud Security
Alliance Version 1.0. Consultado el 29/11/2012. Disponible en
http://www.consejotransparencia.cl/consejo/site/artic/20110614/asocfile/20110614163116/des144_clo
ud_compliance_report_csa_es_v_1_0_1.pdf
Eoghan Casey (2011). Digital Evidence and Computer Crime. Forensic Science, Computers and
the Internet. (3era.Ed.).Gran Bretaña: El Sevier.
Federación Argentina de Consejos Profesionales de Ciencias Económicas (2000). Código de
Ética Unificado.
Fowler Newton, E. (2004). Tratado de Auditoría. (3era. ed.). Buenos Aires: La Ley.
González I. J. (2004). La auditoría de cuentas en entornos informatizados: Norma Técnica de
Auditoría. Partida Doble 156, 48-53. Consultado el 26/03/2013. Disponible en
www.camaravalencia.com/colecciondirectivos/fichaarticulo.asp?intArticulo=1856
Intervención General de la Administración del Estado, Ministerios de Hacienda y
Administraciones Públicas, Secretaría de estado de presupuestos y gastos, Gobierno de España
(1997). Normas de Auditoría del Sector Público. Consultado el 26/03/2013. Disponible en
http://www.igae.pap.minhap.gob.es/sitios/igae/es-
ES/ClnControlGastoPublico/Paginas/NormasAuditoriaSectorPublicoYNormasTecnicas.aspx
International Federation of Accountants. Declaración Internacional sobre Prácticas de Auditoría
1013. Comercio Electrónico – Efectos sobre la Auditoría de Estados Financieros. En Consejo
Profesional de Ciencias Económicas de la Cuidad Autónoma de Buenos Aires (2009). Normas
Internacionales de Auditoría. 1ª ed. Buenos Aires: Federación Argentina de Consejos Profesionales
en Ciencias Económicas.
International Federation of Accountants. Norma Internacional de Auditoría 500. Elementos de
juicio de las auditorías. En Consejo Profesional de Ciencias Económicas de la Cuidad Autónoma de
Buenos Aires (2009). Normas Internacionales de Auditoría. 1ª ed. Buenos Aires: Federación Argentina
de Consejos Profesionales en Ciencias Económicas.
International Federation of Accountants. Norma Internacional de Auditoría 620. Uso del trabajo
de un experto. En Consejo Profesional de Ciencias Económicas de la Cuidad Autónoma de Buenos
Aires (2009). Normas Internacionales de Auditoría. 1ª ed. Buenos Aires: Federación Argentina de
Consejos Profesionales en Ciencias Económicas.
International Federation of Accountants - International Ethics Standards Board of Accountants
(2009). Código de Ética para Profesionales de la Contabilidad. Instituto de Censores Jurados de
Cuentas de España (Trad.). Consultado el 19/06/2013. Disponible en
http://www.ifac.org/sites/default/files/publications/files/Codigo-de-Etica-Code-of-Ethics-Spanish-
Translation.pdf
Instituto de Contabilidad de Auditoría de Cuentas (2003). Norma Técnica de Auditoría sobre
Auditoría de Cuentas en Entornos Informatizados. Consultado el 04/04/2013. Disponible en
www.asesoriamoran.com/ntentornosinformatizados.htm
Lanza Suárez P. (1997). La evidencia informática. Auditoría Pública: revista de los órganos de
control externo 11, 65-69. Consultado el 01/03/2013. Disponible en
www.auditoriapublica.com/hemeroteca/199710_11_65.pdf
Ley Nro. 20488 – Ciencias Económicas. Estatuto Profesional. Publicada en el Boletín Oficial Nro.
22711 del 23/07/1973. República Argentina. Consultado el 18/06/2013. Disponible en
http://www.infoleg.gob.ar/infolegInternet/anexos/35000-39999/38590/norma.htm
Ley Nro. 25506 – Firma Digital. Publicada en el Boletín Oficial Nro. 29796 del 14/12/2001.
Consultado el 19/06/2013. República Argentina Disponible en
http://www.infoleg.gov.ar/infolegInternet/anexos/70000-74999/70749/norma.htm
Ley Nro. 10620 Ejercicio profesional de ciencias económicas. – Consejo Profesional. Publicado
en el Boletin Oficial Nro. 21.150 del 07/01/1988. Provincia de Buenos Aires, República Argentina.
Consultado el 17/06/2013. Disponible en http://www.gob.gba.gov.ar/intranet/digesto/PDF/l10620.pdf
Minguillón Roy A. (2006). La fiscalización en entornos informatizados. Auditoría pública 40, 117-
128. Consultado el 11/02/2010. Disponible en www.auditoriapublica.com/revistas/40/117-128.pdf
 Piattini M. G., & Del Peso E. (2001). Auditoría Informática – Un enfoque práctico (2da. Ed).
México D.F.: Alfaomega Grupo Editor.
Real Academia Española (2013). Consultado el 17/06/2013. Disponible en www.rae.es
Sindicatura de Comptes de la Comunitat Valenciana (2010). Nota técnica sobre la evidencia de
auditoría en formato electrónico – Nota Técnica 01-2010. Consultado el 01/03/2013. Disponible en:
http://www.sindicom.gva.es/web/valencia.nsf/documento/manual_de_fiscalizacion/$file/MF594_2010-
ICJCE-Evidencia_electronica.pdf
Slosse, C. A., Gordicz, J. C., & Gamondés, S. F. (2007). Auditoría (1era ed.). Buenos Aires: La
Ley.
Universitat Politècnica de Valencia (s.f.). ¿Qué es una firma electrónica? Consultado el
19/06/2013. Disponible en http://www.upv.es/contenidos/CD/info/711250normalc.html
Dirección de correo electrónico de contacto: angeles.lopez@uns.edu.ar

Seudónimo: AUDITEVI

María de los Ángeles López

Formación Académica

Contadora Pública (UNS, 2009).

Aspirante al Doctorado en Ciencias de la Administración (UNS, 2010 -

actual).

Cargo Actual

Auxiliar de Docencia ordinario por concurso con dedicación simple de

las asignaturas “Auditoría” y “Sistemas de Información Contable” (UNS).

Becas Obtenidas

Beca Interna de Posgrado Tipo II del Consejo Nacional de Investigaciones Científicas y

Técnicas (CONICET). Resolución Nro. 4072/2012.

Beca Interna de Posgrado Tipo I Consejo Nacional de Investigaciones Científicas y Técnicas

(CONICET). Resolución Nro. 219/2010.

Miembro de Proyectos de Grupos de Investigación

Publicaciones

Colaboradora de libro
y artículos publicados en revistas indexadas. Presentaciones en congresos nacionales e
internacionales. (8000 - Bahía Blanca - Argentina).

Cuenta con publicaciones en revistas científicas y en anales de congresos, nacionales e

internacionales.

E-mail de contacto: angeles.lopez@uns.edu.ar

(8000 – Bahía Blanca – Argentina)
Carlos Alberto Rumitti
Formación Académica

Contador Público Nacional (UNICEN, 1987).

Cargos Actuales

Profesor Adjunto ordinario por concurso de la asignatura

“Contabilidad VIII (Auditoría)” (UNLP)

Profesor Adjunto ordinario por concurso de la asignatura “Auditoría”

(UNMDP)

Profesor a cargo de las asignaturas “Auditoría I” y “Auditoría II” (Universidad CAECE sede Mar
del Plata).

Profesor a cargo de la asignatura “Auditoría de Sistemas” (UAA).

Funcionario de la Agencia de Recaudación de la Provincia de Buenos Aires.

Actividades Anteriores:

Docente de Auditoría de Sistemas Computadorizados en cursos de Posgrado

Profesor de la asignatura “Auditoría de Sistemas Computadorizados” (Facultad de Informática

UNLP).

Vicedecano de la Facultad de Ciencias Económicas de la UCALP

Docente de la cátedra de auditoría del Postgrado de Sindicatura Concursal, dictado por la

Facultad de Ciencias Económicas y Sociales de la UNMDP y la Delegación General Pueyrredón
del CPCEPBA.

Titular de la Unidad de Auditoría Interna de la UNMDP

Director Adjunto de Planificación y Control Dirección Provincial de Rentas de la Provincia de

Buenos Aires.

Proyecto ARG/98/023 del Programa de las Naciones Unidas para el Desarrollo. Función:
Consultor “A”. Supervisor Auditor en el área de Recaudación y Fiscalización de la Dirección
Provincial de Rentas de la Provincia de Buenos Aires.

Subsecretaria de Ingresos Públicos Provincia de Buenos Aires. Director de Integración

Operativa.

Integrante del Comité de Gestión de Seguridad Informática de la Subsecretaría de Ingresos

Públicos de la Pcia de Bs. As.

Asesoramiento profesional a empresas en el ámbito privado.

E-mail de contacto: carlosrumitti@yahoo.com.ar.

(1900 – Mar del Plata – Argentina)
Diana Ester Albanese
Formación Académica
Contador Público – Universidad Nacional del Sur (UNS). 1977.

Magíster en Administración. (UNS). 2004.

Posición Actual

Profesora asociada ordinaria por concurso con dedicación exclusiva

del Depto. de Ciencias de la Administración (UNS) de las asignaturas
“Auditoría” y “Análisis de Estados Contables”.

Docente en cursos de posgrado y diplomaturas.

Directora del Posgrado “Contabilidad Superior, Control y Auditoria” del Depto. de Ciencias de la
Administración (UNS).

Secretaria Académica del Depto. de Ciencias de la Administración (UNS) desde 01/09/2011 a

la fecha.

Categoría en el Programa de Incentivos a los Docentes-Investigadores

Investigador Categoría IV (CONEAU. Comisión Nacional de Categorización. Ministerio Nacional

de Educación, Ciencia y Tecnología).

Directora de Proyectos de Investigación (PGI–Ciencia y Tecnología) UNS.

Formación de Recursos Humanos

Dirección de becarios de la Universidad Nacional de Sur (Becas de Alumnos Avanzados) y
Consejo Nacional de Investigaciones Científicas y Técnicas (CONICET).

Dirección de tesis de Postgrado (UNS) y Grado (UNS y otras Universidades Nacionales).

Libros y publicaciones:

Co-autora de los siguientes libros:

Análisis Financiero en base a Información Contable. Autores: Albanese Diana, Milanesi Gastón
y colaboradores. Marzo 2012. Induvio Editora, Bahía Blanca, Argentina. ISBN 978-987-1519-25-5.

Auditoría de Estados Financieros. Planificación y Ejecución. Autores: Albanese Diana, Rivera

Claudia Argañaraz Angel Agustin y colaboradores. Agosto 2012. Induvio Editora, Bahía Blanca,
Argentina. ISBN 978-987-1519-31-6, 250 p.

Cuenta con publicaciones en revistas científicas y profesionales y en anales de congresos,

nacionales e internacionales

Actividad Profesional

Auditora Interna en una entidad financiera no bancaria de la ciudad de Bahía Blanca (1977-
2007)

Integrante del Directorio de una entidad financiera no bancaria y responsable del Control Interno
ante el Banco Central de la República Argentina (200-2007)

Auditora Externa (1996-2008)

E-mail de contacto: dalbanese@uns.edu.ar

(8000 – Bahía Blanca – Argentina)