Auditoría en ambientes informatizados

En esta lectura, veremos cómo afecta la auditoría de sistemas como soporte de la auditoría
externa.

Presentación del caso

Información preparada por la empresa (IPE)

Ejecución de pruebas

Conclusión de la auditoría

Video conceptual

Revisión del módulo

Teleclase práctica
LECCIÓN 1 de 7

Presentación del caso

Presentación del caso

En este capítulo, continuaremos trabajando con la empresa Ganoargentino S. A. que vimos en las lecturas anteriores.

Rol y misión de la auditoría de sistemas

El objetivo de una auditoría de estados contables es permitir expresar una opinión sobre si esos estados contables reflejan,
razonablemente, la situación de la compañía y si son presentados de acuerdo a normas vigentes. 

El objetivo de la auditoría de sistemas, cuando se realizan tareas de “soporte para auditoría”, es proveer de elementos de juicio
para determinar si los controles vigentes alrededor del ambiente de computación (controles del área de sistemas, elementos de
tecnología informática, información que fluye por la red, aplicaciones con impacto contable, etc.) contribuyen a la confiabilidad
de esos estados contables o no y, sobre la base de dicha información, asistir al equipo de auditoría en el enfoque a utilizar.

El rol de la tecnología de la información (TI)

¿Por qué las compañías utilizan la tecnología de la información?

La TI le permite al esquema de control interno de una entidad:

Aplicar reglas de negocios predefinidas de forma consistente y ejecutar transacciones complejas en grandes
volúmenes de información.
 Mejorar la oportunidad, disponibilidad y exactitud de la información.

Facilitar el análisis de la información.

Mejorar la posibilidad de monitorear el desempeño de las actividades, políticas y procedimientos.

Reducir el riesgo de que ciertos controles puedan ser evitados (no cumplidos).

Incrementar la posibilidad de lograr una adecuada segregación de funciones, implementación de controles de

seguridad en las aplicaciones, bases de datos y sistemas operativos.

Elementos básicos de TI. Principales componentes

Existen cuatro elementos que hacen al entendimiento básico de un ambiente de TI:

1 Red: establece una capa de seguridad física para todos los recursos dentro de la organización. Ejemplo: Cisco,
NetGear y CheckPoint.

2 Sistema operativo: administra las comunicaciones (entrada/salida) entre el hardware y las aplicaciones.
Ejemplo: Windows, Unix, Linux, AS/400, etc.

3 Base de datos: almacena los datos utilizados por las aplicaciones. Ejemplo: Oracle, Sybase y SQL.

4 Aplicación: le permite a los usuarios almacenar/recuperar datos en una forma específica y aplicar a ellos reglas
de negocios. Ejemplo: SAP, JD Edwards y Hyperion.

El ambiente de procesamiento de la entidad incluye a los sistemas que soportan el procesamiento de la información financiera
(donde debemos obtener confianza en los controles).

Controles generales de tecnología informática (CGTI)

Son controles relacionados al ambiente de procesamiento de datos en donde las aplicaciones son desarrolladas, mantenidas y
operadas.

Principalmente, los CGTI se refieren a aquellas actividades relacionadas con:

los controles de cambios a programas;

los controles que restringen al acceso a programas o datos:

los controles para la implementación de nuevo software en la red; y

los controles por software que restringen el acceso/uso de utilitarios sensibles que podrían alterar los datos
financieros sin dejar rastro de dicha actividad.

Los controles generales del computador (GCC) se subdividen en cinco áreas fácilmente identificables:

Tabla 1: Áreas de GCC

Fuente: elaboración propia.

Los GCC son evaluados para cada uno de los elementos de tecnología:

Tabla 2: CGTI y los elementos de tecnología

 Fuente: elaboración propia.

Controles manuales y automáticos

Los controles manuales son ejecutados por un ser humano. Ejemplos:

El gerente reconcilia las ventas realizadas vs. el dinero ingresado por ventas en el día.

El personal de seguridad del aeropuerto compara su identificación con la información del boarding pass.

En el caso del enunciado, el siguiente control es manual:

CI-05: la traducción de las ventas extranjeras y las cuentas por cobrar denominadas en moneda extranjera es
preparada por el personal del staff y revisada/aprobada por la gerencia. El análisis revisado/aprobado por la
gerencia incluye la documentación de soporte para el cálculo de la tasa de traducción.

Los controles automáticos son ejecutados por un sistema de computadora o por un robot. Ejemplos:
 Control de validez de datos en el ingreso de una transacción (por ejemplo, la validación de código postal, CUIT,
etc.).

Triple macheo entre orden de compra, factura de proveedor y recepción de materiales.

En el caso del enunciado, el siguiente control es automático:

CI-04: las facturas son generadas desde el sistema, que tiene una interfaz directa con el libro mayor, lo que resulta en la emisión
de una factura registrada como venta en el libro mayor al emitirla.  

Los controles automáticos están integrados en los sistemas de aplicación y pueden incluir opciones configurables, algoritmos
automatizados, cálculos automáticos y extracciones de datos automatizadas.

Dichos controles se prueban para determinar si están diseñados, implementados de manera efectiva y si funcionan
correctamente.

Dado que las pruebas de los controles automatizados suelen ser de un momento determinado, también se someten a prueba
los GITC para que proporcionen evidencia de que los controles automatizados operan de forma consistente durante todo el
período de auditoría.

Los controles automatizados suelen ser más confiables que los controles manuales, dada la naturaleza de su procesamiento.
LECCIÓN 2 de 7

Información preparada por la empresa (IPE)

¿Qué son las IPE?

La información preparada por la empresa implica el procesamiento de los datos almacenados en una base de datos.

¿Qué tipos de IPE existen?

La información utilizada por la compañía para la ejecución de un control (por ejemplo, el listado de permisos de usuarios y los
listados de antigüedad de cuentas por cobrar, para preparar la previsión de deudores de cobro dudoso).

La información preparada por la compañía y utilizada por el auditor para llevar a cabo sus pruebas de auditoría (los listados de
saldos de proveedores, para preparar la confirmación de saldos, y el listado de antigüedad de mercadería, para revisar la
previsión por obsolescencia de inventario).

¿Cómo se valida una IPE?

La validación de una IPE consiste en verificar su integridad y precisión/exactitud. Para dicha tarea, se consideran tres aspectos:

parámetros;

lógica de reporte; y

fuente de datos.
En el caso de Ganoargentino S. A., ¿cuáles de los reportes utilizados se consideran IPE?

Planilla de control de envíos de mercadería (CI-03)

Conciliación de cuentas por cobrar (CI-06)

Libro mayor (CI-04)

Facturas (CI-04)

Orden de compra (CI-01)

SUBMIT
LECCIÓN 3 de 7

Ejecución de pruebas

Los auditores deben identificar información suficiente, confiable, relevante y práctica, para cumplir con los objetivos del
compromiso de auditoría. 

Los tipos de prueba sobre los controles (manuales o automáticos) son los siguientes:

1 Observación

Ejemplo: observar cómo se realiza la recepción de mercaderías. 

2 Indagación

Ejemplo: entrevistar a diferentes empleados, en distintas ocasiones, a fin de confirmar los hechos relevados.

3 Inspección

Ejemplo: solicitar una muestra sobre el universo de alta de clientes, a fin de verificar la documentación de
soporte y las autorizaciones para el alta.

4 Re-proceso del control

Ejemplo: reprocesar la amortización de los activos, recalcular los intereses por mora en cobranzas.
LECCIÓN 4 de 7

Conclusión de la auditoría

Una vez que se ejecutan las pruebas de auditoría sobre los controles, se identifica si existen fallas o deficiencias. Si un control
falla, entonces, un riesgo de auditoría no estaría cubierto y la información que surge del sistema podría no ser confiable. 

Podría identificarse otro control para cubrir el riesgo de que el control anterior falle, en caso de que no hubiera otro control, se
evalúa el impacto en la auditoría externa (siempre considerar que el equipo de sistemas apoya al de auditoría externa de los
estados contables de la Compañía). Adicionalmente, el equipo de auditoría externa podría modificar su planificación por los
hallazgos del equipo de auditoría de sistemas.

En el caso de Ganoargentino S. A. y, específicamente relacionado a el sistema ERP de facturación y cuentas por cobrar de
Ganoargentino, ha sido adquirido hace 5 años y, anualmente de acuerdo a la garantía, el vendedor del sistema realiza
verificaciones de calidad. En el presente año, se ha finalizado la garantía, por lo que dicha verificación no fue realizada. Dicha
deficiencia desvalida todos los controles automáticos del sistema. En este caso, es clave la auditoría de sistemas para validar
que los controles que surgen del sistema funcionen adecuadamente.

Las deficiencias identificadas deben clasificarse en: 

Figura 1: Deficiencias
Fuente: elaboración propia.
LECCIÓN 5 de 7

Video conceptual
LECCIÓN 6 de 7

Revisión del módulo

Hasta acá aprendimos

La auditoría interna
–
La auditoría interna es una función independiente dentro de la organización, cuyo objeto es examinar y evaluar la eficiencia y la
efectividad de su sistema de control interno y su calidad de funcionamiento.

La auditoría interna – ámbito de aplicación y responsabilidades

–
La responsabilidad del auditor tiene que estar claramente definida en el estatuto o en la política gerencial de la compañía, debe
informar y aconsejar a la administración y desempeñar su responsabilidad conforme al código de ética del Instituto de
Auditores Interno y el de la entidad en la que se desempeñe.

Relación entre la auditoría interna y externa

–
El auditor externo podrá considerar utilizar el trabajo del auditor interno para su propia auditoría externa, luego de evaluar y
realizar procedimientos de auditoría sobre el trabajo del auditor interno.

Auditoría en ambientes informatizados

–
El objetivo de la auditoría de sistemas cuando se realizan tareas de “soporte para Auditoría” es proveer de elementos de juicio
acerca de si los controles vigentes alrededor del ambiente de computación contribuyen a la confiabilidad de esos estados
contables o no y sobre la base de dicha información, asistir al equipo de auditoría en el enfoque a utilizar.
LECCIÓN 7 de 7

Teleclase práctica

CLIP-Auditoría II- Módulo 3

MÁS INFORMACIÓN GOOGLE DRIVE 