Isabel Román Graván

Se entiende por auditoría de cuentas la actividad realizada por una persona cualificada e independiente (el auditor de cuentas), consistente en analizar, mediante la utilización de las técnicas de revisión y verificación idóneas, la información económica - financiera deducida de los documentos contables examinados, y que tiene como objeto la emisión de un informe dirigido a poner de manifiesto su opinión sobre la fiabilidad de la citada información, para poder ser conocida y valorada por terceros.

Dicha actividad de auditoría de cuentas realizada por el auditor de cuentas, se verá reflejada en la emisión del correspondiente informe y con sujeción a los requisitos y formalidades establecidos en las Leyes correspondientes, en general, y en las Normas Técnicas de Auditoría, en particular.

Así pues, el objetivo de la auditoría de cuentas anuales de una entidad, consideradas en su conjunto, es la emisión de un informe dirigido a poner de manifiesto una opinión técnica sobre si dichas cuentas anuales expresan, en todos sus aspectos significativos, la imagen fiel del patrimonio y de la situación financiera de dicha entidad así como el resultado de sus operaciones en el período examinado, de conformidad con los principios y normas de contabilidad generalmente aceptados. Por este motivo, los procedimientos de auditoría se diseñan para que el auditor de cuentas pueda alcanzar el objetivo expuesto anteriormente y no necesariamente para detectar errores o irregularidades de todo tipo e importe que hayan podido cometerse.

La aparición de los ordenadores en el mundo laboral influyó en el campo de trabajo del auditor. Éste, en un principio, optó por ignorarlas, sin embargo el volumen y dificultad de las operaciones con las que se encontraba cada día hizo que su evolución se desarrollara desde una auditoría que lo ignoraba hasta una auditoría que empezaba a considerar al ordenador como un instrumento más (imprescindible) para su labor. De este modo, no sólo el ordenador aparecía en el campo de estudio del auditor como un departamento más de la empresa objeto de la auditoría (frente a frente del ordenador) sino como un instrumento fundamental para el desarrollo de su trabajo (con el ordenador).

Así, veremos en un principio el auditor frente a la informática y posteriormente el auditor y el ordenador.

Dada la creciente importancia del Proceso Electrónico de Datos, (PED) en el control y registro de las transacciones de las empresas, exponemos cómo afectan los controles internos de ese PED al Análisis General del Riesgo.

En el caso de una auditoría en el entorno PED, el Análisis general del Riesgo debe incluir necesariamente una revisión y evaluación de los sistemas de PED de la entidad, de la filosofía de control de PED y de los riesgos asociados con sistemas basados en el uso de un ordenador.

Los grupos más importantes de técnicas de control de PED suelen resumirse en la sinopsis de la función de planificación y control financiero. Los principales riesgos del PED se resumen, en los papeles de auditoría, en el Memorándum de Planificación del Análisis General del Riesgo.

Centrándonos en los riesgos que por regla general existen en entornos PED, hay que señalar que estos riesgos no se presentan en un entorno manual, en donde los sistemas informáticos han quedado relegados aun segundo plano.

* Centralización de datos y programas.

En efecto, en un entorno manual los datos se hallan a menudo dispersos por toda la empresa, en numerosos archivos o en uno sólo pero, por regla general, desordenado. En un entorno PED, los datos normalmente están concentrados en el departamento de PED y se almacenan en forma legible por la máquina: programas de ordenador, disquetes, etc. Los programas de ordenador, en este sentido, constituyen un método para acceder y modificar los datos, de modo pues que si no existe un control adecuado de los mismos, hay un mayor riesgo de que personas no autorizadas puedan acceder a los datos y hay riesgos de modificación de los mismos (incluso el no dejar acceso al personal autorizados por fallos en los sistemas que no se detectaron a tiempo). Se hace necesario, como se observa, que toda la información esté perfectamente localizada, autorizada y revisada con cierta periodicidad: la dejadez en estos controles puede hacernos jugar malas pasadas y, con respecto al auditor de cuentas, proporcionar una información falsa o imposibilidad de acceso y, por tanto, de análisis.

* Centralización de funciones.

Es normal en un entorno manual la diversificación de funciones, dado que el volumen de información es elevado para una persona. En un entorno de PED no existen mucho de esos controles tradicionales basados en distinguir las funciones compatibles de las incompatibles, por lo que la centralización de funciones en una sola persona es la nota general en el PED.

En el entorno PED los distintos empleados de proceso de datos pueden tener unos conocimientos detallados de la fuente de los datos, de la manera de procesarlos y del uso y distribución de los datos de salida. Además, es muy probable que un mismo empleado tenga conocimiento de los controles internos existentes y tenga la capacidad de modificar programas o datos almacenados o en determinadas fases de proceso. La falta de concentración de estos conocimientos, supo una fuente adicional de errores o irregularidades. Se deben concentrar los esfuerzos en ese control.

Determinadas transacciones, como comentábamos más arriba, pueden ser iniciadas por el sistema de PED, sin que exista evidencia de la misma en soporte de papel contable (ejm. La emisión de una orden de compra). Además, la autorización de tales transacciones puede no documentarse de la misma manera que aquellas que se efectúan fuera del entorno de PED, los riesgos de transacciones no autorizadas y no reflejadas adecuadamente aumentan.

En un entorno manual, determinadas transacciones pueden seguirse a través de pistas, observando documentos fuente, ficheros, etc. De este modo, el auditor puede conocer distintos hechos con la unión de cada una de estas pistas y avanzar en ellas. Estas pistas también existen en el entorno de PED, pero normalmente únicamente son legibles por el ordenador. De este modo, realizar el trabajo de la auditoría de cuentas sin la ayuda de un ordenador en un entorno de PED, supone incrementar el riesgo en el análisis adecuado de las fuentes de información.

Por otro lado, también la falta de pistas en el entorno de PED puede indicar al auditor de cuentas una deficiencia de control por parte de la Dirección de la entidad.

Dado que el uso del ordenador no evita tener que repetir operaciones o efectuar nuevas, cualquier error en mitad de la cadena del uso supone arrastrarlo hasta el final sin que seamos conscientes de él, y reportando el auditor de cuentas Informes erróneos. Es necesario, a pesar del uso de los sistemas informáticos en la auditoría, llevar un control periódico en cada una de las operaciones realizadas.

Ya que pueden surgir inconvenientes en el uso de ordenadores, no sólo por la entidad cliente sino también por parte del auditor de cuentas, el equipo de auditoría revisa y evalúa el entorno de control de PED como parte de su revisión de la Función de Planificación y control Financiero. Esta revisión consiste en:

Recogida y documentación del perfil del cliente con respecto a:

1. La organización del departamento de PED: organización interna e interrelación con otros departamentos, ubicación de los centros de proceso de datos, existencia y ubicación de los manuales de procedimiento.
2. Los sistemas y equipos de transacciones de PED: tipos de ordenadores, equipos periféricos, contratos con proveedores, contratos de mantenimiento, seguros de las instalaciones.
3. Software: de los sistemas, de las aplicaciones, descripción y/o flujograma resumido de cada sistema importante, y
4. Gestión de datos: tipos de bases de datos, programas empleados, existencia de ficheros maestros, políticas de retención de datos, archivo externo de datos.

Se componen de aquellas técnicas utilizadas para controlar las siguientes funciones:

1. Organización y gestión del Departamento de PED.
2. Desarrollo de sistemas de aplicación.
3. Mantenimiento de sistemas de aplicación.
4. Operaciones del ordenador.
5. Soporte de software de sistemas.
6. Centralización de control y entrada de datos.

Estas funciones pueden afectar a todos los sistemas de aplicaciones. Por lo tanto, las deficiencias en este control tienen efectos en cadena. El auditor de cuentas tiene que considerar el efecto de tales deficiencias en el momento de evaluar los controles de aplicación. Ello puede realizarse a través de cuestiones al personal encargado de las funciones mencionadas.

1. Una reducción de los tamaños de las muestras para las pruebas de cumplimiento y sustantivas.
2. Una reducción en el número de centros a visitar en una empresa con múltiples centros.
3. Una reducción en el grado de control ejercido sobre los programas de software de auditoría de ordenador.
4. Una mayor probabilidad de que determinados ciclos se seleccionen para revisiones del flujo de transacciones.

El auditor de cuentas empleará todas las técnicas que estén a su alcance para controlar el proceso de transacciones que se llevan a cabo a través de determinadas aplicaciones informáticas de la empresa, tales como programas de nóminas, cuentas a pagar, programas de facturación, gestión de stocks, etc. No sólo se detectan los errores que puedan estar cometiendo las aplicaciones de PED, sino ayudar al auditor de cuentas a seleccionar los ciclos para revisión del flujo de transacciones.

Algunos controles generales de PED pueden resultar muy importantes y el auditor de cuentas podría llegar a la conclusión de que estas técnicas deberían ser revisadas cada año, describiéndose con un cierto detalle en los archivos corrientes de papeles de trabajo.

Sin embargo, en empresas menos sofisticadas o con un volumen inferior de transacciones, se puede considerar que ninguno de esos controles sobre PED es lo suficientemente importante como para necesitar material adicional descriptivo, limitándose las revisiones a, por ejemplo, una cada tres años.

Del mismo modo, si hay nuevos sistemas de aplicación o importantes modificaciones de sistemas existentes de aplicación en estado avanzado de desarrollo, los controles generales sobre la función de desarrollo de sistemas de aplicación suelen identificarse, documentarse y evaluarse, al igual que las características globales de control interno de las aplicaciones nuevas o modificadas proyectadas.

A veces, no es necesario realizar un análisis específico de PED para una entidad con sistemas de ordenador, ya que en una evaluación preliminar se ha detectado que los controles generales de PED son deficientes o inexistentes. En esos casos, los correspondientes riesgos pueden reflejarse simplemente en un Memorándum general que habrá de tenerse en cuenta al elaborar el plan de auditoría y al realizar las posteriores revisiones.

Es incorrecto que el auditor considere el ordenador como una calculadora gigante. La instalación del ordenador introduce nuevos elementos de control y motiva cambios en los procedimientos de control tradicionales en el sistema de proceso de datos, que pueden clasificarse en:

• Nuevos controles necesarios por la automatización del proceso.
• Controles que sustituyan a los basados en el juicio humano y en la división de tareas de los sistemas manuales.

El auditor necesita entender la naturaleza de estos controles para evaluar y comprobar adecuadamente el sistema de proceso de datos. Los cambios en los controles de proceso de datos son una razón importante por la cual el auditor de cuentas no puede ignorar el ordenador en su evaluación del control interno. Debido a la mecanización, son necesarios nuevos controles.

El propósito el detectar y controlar los errores que surgen por la utilización del equipo informático y los métodos del proceso de datos. Si esos controles no existen, el sistema se expone a un gran riesgo y si estas omisiones se juzgan importantes, influirán en el alcance de los procedimientos de auditoría. El proceso con el ordenador reduce el número de personas envueltas en el tratamiento de la información de la empresa y, al estar esta información tan concentrada, no se dispone de muchos de los controles basados en el sentido común o en la división de tareas.

Sin embargo, los programas nos facilitan una alternativa que sustituye el sentido común de las personas envueltas en el proceso, ya que en muchos caso las comprobaciones hechas por el ordenador pueden ser mejores que las hechas manualmente. La presencia o ausencia de un sistema de controles que sustituya al sentido común de las personas y a la división de tareas tendrán influencia en la naturaleza y extensión de los procedimientos de auditoría utilizados.

El funcionamiento de los controles y su aprobación se puede realizar utilizando distintas técnicas, dependiendo de las circunstancias. Estos métodos se basan en:

• Examen de las entradas y salidas: para determinar la bondad del programa y de los controles.
• Entendimiento completo del programa y realización de una prueba.

Quizá la mayor dificultad que presenta la auditoría de procesos de datos es la falta de personal con experiencia informática. Muy pocos auditores han recibido formación en informática: las Universidades, hasta hace tres o cuatro años, no incluían en sus planes de estudio las herramientas informáticas en el campo de la auditoría; tampoco el recién licenciado que decidía incorporarse al mundo de la auditoría de cuentas, contaba dentro de los planes de estudio con la informática como herramienta. Había que esperar a ser auditor de cuentas y formar parte de la plantilla de una empresa de auditoría (y no todas) o su espíritu innovador para utilizar el ordenador en su actividad diaria. Por tanto, se debe procurar formar al personal de forma que haya un número adecuado de auditores capaces de auditar un sistema de proceso de datos.

Si una auditoría engloba al ordenador, el auditor debería tener una experiencia en los métodos y técnicas para auditar un sistema de proceso de datos, que le capacitase para hacer una buena auditoría. La formación requerida depende de la complejidad del sistema a auditar. Una auditoría de una empresa con una instalación pequeña del sistema de proceso requiere una formación menor que otra que haya un complejo sistema de proceso de datos. Además, no todos los miembros del equipo de auditoría deben tener la misma formación.

En general, la auditoría de proceso de datos obliga a que el auditor tenga un buen conocimiento de ordenadores y de los métodos de proceso de datos. También es necesario el conocimiento por parte del auditor de la organización de los recursos, la documentación, los controles y las técnicas de auditoría de procesos de datos. El enfoque seguido por varias empresas es el tener uno o más miembros del equipo especializados en auditoría de proceso de datos.

Las principales razones por las cuales un auditor debe tener conocimientos de proceso de datos son:

• Para poder realizar una evaluación del control interno de un sistema mecanizado.
• Para utilizar el ordenador durante la auditoría, caso de que las características y el coste de aplicación lo hagan aconsejable.

Ya que la utilización del ordenador se está generalizando para todo sistema de información, son cada vez más necesarios unos conocimientos de proceso de datos. La formación de los auditores en proceso de datos no ha corrido pareja a la adaptación del ordenador por parte de la empresa.

No todos los auditores deben ser expertos en proceso de datos, pero es aconsejable que existan al menos algunos conocimientos de auditoría de proceso de datos dentro de cada firma. El auditor necesita tener buenos conocimientos de impuestos, pero no todos tienen que ser expertos. Lo mismo ocurre en informática.

El nivel de conocimientos necesario para auditar un sistema de proceso de datos depende de la complejidad del sistema mecanizado. Por tanto, una empresa que tenga un sistema complejo de proceso de datos debe contar con unos especialistas en auditoría de proceso de datos con un mayor nivel de conocimientos que los que son necesarios para auditar un sistema de complejidad media.

El nivel de conocimientos necesario para la auditoría de datos puede identificarse con los siguientes apartados:

• El equipo de proceso de datos
• Características de sistemas mecanizados.
• Fundamentos de programación.
• Explotación de un centro de proceso de datos.
• Organización y gestión de un centro de proceso de datos.
• Documentación.
• Controles de sistemas mecanizados.
• Técnicas de auditoría utilizando un ordenador.

Así pues, los conocimientos mínimos con los que debe contar un auditor al enfrentarse a una auditoría de proceso de datos, deben ir desde el conocimiento medio de, al menos, un sistema mecanizado, de sus componentes y términos más utilizados; ser capaz de diseñar un sistema de información; entender las distintas etapas del diseño del sistema; conocimiento de un lenguaje de programación, entre otros.

Los controles de proceso de datos está normalmente entrelazados con otros controles que no son de proceso de datos y es importante, por esta razón, considerar esta íntima relación en la evaluación del flujo total de controles contables. Estos pueden dividirse en dos grandes categorías:

1. Controles generales: incluyen el plan de organización de proceso de datos, el control y documentación de sistemas y programas, controles de hardware. Los puntos débiles del control general pueden influir en muchas aplicaciones específicas del ordenador.
2. Controles de aplicaciones: se refieren a tareas específicas de proceso de datos e incluyen los controles de entrada, proceso y salida.

Controles de entradas:

1. Cuadro de lote: Se agrupan transacciones similares en un lote y se les da un número de identificación de lote.
2. Verificación clave de información original: diseñada para detectar errores de transcripción.
3. Dígitos de verificación: número de cuenta para detectar la mayoría de los errores de transposición y de transcripción.

1. Ha sido diseñado para asegurar que la información de la preparación de entradas ha sido correctamente introducida en el sistema.
2. Programa a programa: asegura que toda la información leída por un programa se procesa a través de este programa y se pasa y es leída por el siguiente.
3. Rótulos de archivo: empleados correctamente, identifican el contenido de un archivo.
4. Pruebas de verificación y de factibilidad: le brindan al usuario la confianza necesaria en el sistema.
5. Corrección de errores: los errores deben ser investigados, corregidos y en la mayoría de los casos reprocesados.

1. Asegura que la entrada se prepara en forma oportuna, correcta, completa.
2. Saldos de salida: los informes de salida deben contener un total que pueda ser cuadrado con una plantilla de control global.
3. Diseño del informe. Los informes deben estar bien diseñados para evitar errores en la interpretación, mantener la confianza del usuario y asegurar que la información esté completa.
4. Procesamiento del cuadre general de la auditoría.
5. Total de control y de parciales.
6. Pruebas de verificación y razonabilidad.

El proceso de datos puede usarse para comparar los activos contabilizados con los activos reales. La revisión de los controles contables debe incluir una revisión de todas las actividades manuales, mecánicas y de proceso de datos significativos. El enfoque para la revisión de controles donde los datos se procesen mecánicamente sería similar a la revisión, documentación y evaluación de los controles previamente descritos. El primer paso es adquirir un conocimiento del sistema desde el origen de la transacción, pasando por la preparación del mayor, incluyendo las actividades de proceso manual y mecanizado, igual que se haría para una revisión de actividades de proceso manual.

Este conocimiento práctico podría plasmarse en un flujograma de transacciones, mostrando las áreas en las que interviene proceso de datos y los controles de aplicación, así como las funciones manuales, para así identificarse os controles generales. Esta información permitiría sacar ciertas conclusiones, tañes como la estructura básica del control contable. Si los controles contables parecen seguros, la revisión preliminar puede ampliarse para identificar los controles adicionales. Si los controles parecen débiles y no son seguros, la revisión preliminar puede interrumpirse, y no hay necesidad de efectuar pruebas de cumplimiento. Debe evaluarse la repercusión potencial en los estados financieros y, si es significativa, deben aplicarse otros medios para lograr los objetivos de la auditoría.

Por último, y a modo de resumen, diríamos que los procedimientos de control contable establecidos en proceso de datos deben contemplarse de una forma conjunta con los seguidos en los departamentos usuarios, y no de manera separada, como en la práctica ocurre normalmente.

Arce, C. (1996): "Introducción al análisis estadístico con SPSS/PC+. Barcelona

Varios autores (1998): "Manual de Auditoría", en REA, Registro de Auditores de Cuentas. Madrid.

Videra García, A. (1997): "Utilización del sistema informático SPSS/PC+ en la enseñanza del análisis estadístico: posibilidades y limitaciones" en Edutec. Creación de Materiales para la Innovación Educativa con Nuevas Tecnologías. Universidad de Málaga.

Videra García, A. (1997): "Aplicaciones de sistemas informáticos para la enseñanza del análisis estadístico: un estudio comparativo con la enseñanza tradicional".