Miércoles, 27 Oct 2021
Ud esta aquí: Home
Manual de Auditoría - 08 PDF Imprimir E-mail

UNIDAD DE AUDITORÍA DE PROYECTOS DE ORGANISMOS MULTILATERALES DE CRÉDITO

(APROMUC)


CORRESPONDIENTE AL HONORABLE TRIBUNAL DE CUENTAS

DE LA PROVINCIA DE BUENOS AIRES

ANEXO I

 

DOCUMENTACION DEL SISTEMA DE CONTROL INTERNO

El presente anexo tiene por objetivo brindar una serie de elementos a tener en cuenta para realizar la documentación del sistema de control interno (tanto el SCII como el SCIC) tanto en su etapa de relevamiento como en lo relativo a la evaluación del diseño y comprobación de su puesta en práctica y nivel de funcionamiento.

 

Pasos a seguir en la etapa de relevamiento

1. Obtención de la información básica

· Lectura de Manuales de Organización (con análisis del organigrama, funciones y responsabilidades correspondientes a cada nivel organizacional)

· Lectura de Manuales de Procedimiento (con análisis del diseño de los distintos circuitos administrativos y los puntos de control definidos para ejecutarse)

· Lectura de Instructivos Complementarios (memoranda, órdenes de servicio internas, notas, etc.).

· Entrevistas con funcionarios

2. Documentación de la información básica

A los efectos de documentar la información básica obtenida (fundamentalmente ante la no existencia de este tipo de datos de manera formalizada o escrita), el auditor podrá utilizar las siguientes herramientas:

2.1. Narrativos

Consisten en la presentación de las actividades y operaciones de la entidad en forma de relato, identificando las personas intervinientes, la secuencia de procesos y controles que se realizan y los informes y documentación generadas

En general, se utilizan cuando los procesos a relevar no resulten demasiado complejos y/o extensos o en aquellas actividades cuya comprensión no resulte clara a través de la utilización de otro tipo de herramientas (p.ej.: ambiente de control)

Como ventajas de este tipo de herramienta tenemos:

· No requiere de conocimientos específicos para su implementación

· No requiere de análisis previo alguno sobre relaciones de costo-beneficio para su aplicación

Como desventajas:

· Se debe tener muy en cuenta el lenguaje a emplear (sintaxis y ortografía)

· Distintas personas redactan en forma diferente

· En procedimientos extensos y/o complejos, la lectura y comprensión de los mismos puede resultar muy engorrosa y de difícil seguimiento.

2.2. Cuestionarios

Consisten en la presentación de preguntas estándar sobre los procedimientos involucrados en cada una de las actividades y operaciones de la entidad basadas en la secuencia que los mismos siguen con respecto a su desarrollo.

En general, se utilizan cuando los procesos a relevar impliquen estandarizaciones relacionadas con las preguntas a realizar.

 

 

Como ventajas de este tipo de herramienta tenemos:

 

· Estandariza en forma práctica el trabajo de relevamiento de información de una entidad.

Como desventajas:

· Están expuestos a desactualizaciones en función del cambio de reglamentaciones sobre los cuales han sido desarrollados

· Tienden a ejercer una rutinización en los procesos de comprensión de las actividades de la entidad por parte de los auditores intervinientes.

2.3. Flujogramas

Consisten en la presentación en forma gráfica de los flujos de información que impactan en los estados de información financiera de una entidad.

En general, se utilizan cuando los procesos a relevar se refieran a la evaluación del sistema de control interno contable (SCIC) para la determinación del alcance, naturaleza y oportunidad de los procedimientos de auditoría a aplicar sobre la información financiera.

Como ventajas de este tipo de herramienta tenemos:

· Estandariza, a través de la utilización de una herramienta gráfica, el relevamiento de los flujos de información financiera (contable) de una entidad.

· Permite visualizar, en forma rápida y concisa, la secuencia general del flujo de información contable que impacta en los estados financieros de una entidad, permitiendo así una mejor comprensión del mismo

Como desventajas:

· Se requiere de un período previo de entrenamiento y adaptación para poder utilizar esta técnica.

2.4. Cursogramas

Consisten en la presentación en forma gráfica de la secuencia de actividades y operaciones que desarrolla una entidad.

En general, se utilizan cuando los procesos a relevar se refieran a la evaluación del sistema de control interno integral (SCII) y que los mismos impliquen actividades y/u operaciones de difícil comprensión a través de narrativos o constituyan una mejora en la relación costo-beneficio con respecto a cuestionarios..

Como ventajas de este tipo de herramienta tenemos:

· Estandariza, a través de la utilización de una herramienta gráfica, el relevamiento de procedimientos administrativos y operativos

· Permite visualizar, en forma rápida y concisa, la secuencia general de operaciones y actividades de una entidad, brindando además, la base para la realización de análisis más profundos a través de auditorías operativas o especiales

Como desventajas:

· Se requiere de un período previo de entrenamiento y adaptación para poder utilizar esta técnica.

 

ANEXO II

 

IMPACTO DEL PED (CIS) EN EL ANALISIS Y EVALUACION DEL SISTEMA DE CONTROL INTERNO

1. Introducción

El presente anexo tiene objetivo brindar al lector del manual una comprensión de las características que reviste la utilización del procesamiento electrónico de datos en lo referido a la captación, registro, procesamiento y control de las transacciones y operaciones de una entidad u organización y su impacto en los estados financieros.

En tal sentido, cabe destacar que si bien el uso de computadoras genera, necesariamente, cambios a nivel de procedimientos de control y de la cultura misma organizacional, desde el punto de vista del auditor financiero, no implica un cambio de su objetivo original con respecto a validar la confiabilidad del sistema de control interno contable (SCIC) para determinar la naturaleza, alcance y oportunidad de sus procedimientos de auditoría a llevar a cabo.

El anexo está basado, principalmente, en los considerandos y disposiciones emanadas de las NIAs emitidas por el IFAC con respecto a este punto en particular.

2. Características del ambiente de control

A modo de repaso de los conceptos ya vertidos en el manual, las características del ambiente de control a analizar por parte del auditor para definir su grado de confianza en el SCIC y por ende el alcance, naturaleza y oportunidad de sus procedimientos de auditoría son:

· Conciencia de control

· Segregación de funciones

· Desviaciones de la gerencia

· Competencia del personal

· Protección de activos y registros

A los que en este punto debemos agregar:

· Evaluación preliminar del ambiente de PED

· Instalación y funcionamiento del PED

Obviamente, los dos últimos puntos tendrán mayor impacto en nuestra planificación y ejecución de la auditoría cuanto más se encuentre la organización computadorizada y tanto la captación, registro, procesamiento y control de transacciones dependa más de acciones llevadas a cabo mediante el uso de software y hardware a tal fin.

3. Auditoría en ambientes PED

A nivel internacional, la NIA 15 (actualmente en la sección 401 Internal Control – Auditing in a Computer Information Systems Environment) establece las pautas adicionales necesarias para el cumplimiento de la NIA 1 (Objetivos y principios básicos que rigen una auditoría)(actualmente sección 200 Responsabilities – Objective and General Principles Governing an Audit of Financial Statements) cuando la auditoría se realiza en un ambiente de procesamiento electrónico de datos (PED)

Dentro de sus consideraciones generales establece que el objetivo y alcance generales de la auditoría, no cambian en un entorno PED. Sin embargo, el uso de un computador sí cambia el procesamiento y la conservación o almacenamiento de la información financiera y puede afectar la organización y los procedimientos empleados por la entidad para lograr un adecuado control interno.

Entrando ya en los puntos relevantes que esta norma de auditoría desarrolla con respecto al impacto del PED en el trabajo de auditoría, resalta como primer punto y en cuanto al Sistema de Contabilidad y Control Interno (SCIC para el presente manual), alcanzar un conocimiento suficiente del sistema de contabilidad.

Adicionalmente, y con respecto a la evidencia de auditoría que se debe obtener a los fines de alcanzar los objetivos de auditoría con respecto a las manifestaciones de la gerencia en los estados financieros, remarca que el ambiente PED puede afectar la aplicación de los procedimientos de auditoría tanto en los que hace a las pruebas de cumplimiento como a las pruebas sustantivas, generando la utilización de otras herramientas o variando la naturaleza, alcance y oportunidad de los procedimientos a implementar. Por ejemplo:

· Requiriéndose la utilización de Técnicas de Auditoría con Ayuda del Computador (TAAC) las cuales se desarrollan en la NIA 16 (hoy sección 1009 - International Auditing Practice Statements – Computer Assisted Audit Techniques)

· Utilizando TAAC para mejorar la eficacia y eficiencia de los procedimientos de auditoría a aplicar.

· Cambiando el factor oportunidad para la aplicación de las pruebas de auditoría (manuales y vía TAAC).

4. Control interno en ambientes PED

En cuanto al impacto del PED en el SCIC propiamente dicho, el IFAC complementó la NIA 6 (la cual se refiere al control interno específicamente)(hoy sección 400 Internal Control – Risk Assessments and Internal Control) mediante una serie de elementos adicionales, en los cuales se trató el impacto de los distintos tipos de procesamiento que puede adoptar la implantación del PED en una organización, teniendo en cuenta la forma en que se procesa la información y la estructura física (hardware) que sostiene al mismo.

El primer complemento está dado por el Addendum 1 a la NIA 6 (sección 1008 -International Auditing Practice Statements – Risk Assessments and Internal Control- CIS Characteristics and Considerations), el cual desarrolla las características del ambiente PED en general, a saber:

· Estructura organizacional

Con respecto a este punto, señala que el PED la afecta en cuanto a la:

· Concentración de funciones y conocimientos ya que, en general, el número de personas involucradas en el procesamiento de la información financiera es reducido cuando se utilizan medios de PED y

· Concentración de programas y datos ya que los datos de las operaciones y el archivo están frecuentemente concentrados, en forma centralizada o distribuida. En general, los programas que permitan ingresar, consultar y modificar, están ubicados junto a los datos.

· Naturaleza del procesamiento de la información

En este punto, señala que es necesario tener en cuenta la:

· Ausencia de documentos de entrada

· Ausencia de una ruta de operaciones visible

· Ausencia de una salida visible

· Facilidad de acceso a los programas y datos del computador por parte de quienes tengan los conocimientos adecuados para hacerlo.

· Aspectos de diseño y procedimiento

En este punto, se resalta el cambio que se produce tanto en cuanto a la forma en que se diseñan los sistemas de operación de la organización, como en lo referente a los procedimientos y puntos de control el mismo. En particular, remarca las siguientes características a tener en cuenta para la definición de las pruebas de auditoría a aplicar:

· Consistencia operativa (controlada por el propio sistema)

· Procedimientos de control programados (en forma repetitiva y sin intervención manual de así estar codificado en el software/hardware correspondientes).

· Actualización de una operación individual en archivos múltiples o bases de datos (mediante acciones de replicación o similares dependiendo del producto utilizado)

· Operaciones generadas por el sistema.

· Vulnerabilidad de los medios de almacenamiento de datos y programas

· Controles internos de un ambiente PED

En referencia a los aspectos relacionados con los controles internos existentes en un ambiente PED, divide a los mismos en:

· Controles generales PED (que afectan al ambiente general PED). Estos, pueden sintetizarse en los siguientes:

· Controles de organización y administración.

· Controles de desarrollo y mantenimiento de los sistemas de aplicación.

· Controles de funcionamiento del computador.

· Controles sobre los softwares del computador (sistemas operativos (OS) y sistemas operativos de red (NOS).

· Controles de programa y entrada de datos.

· Controles específicos PED (los cuales se refieren, particularmente, al control de las aplicaciones desarrolladas mediante PED) y que se dividen en:

· Controles de entrada

· Controles de procesamiento y de los archivos de datos computadorizados.

· Controles de salida

· Revisión de controles PED

Con respecto a este punto, divide a la revisión de los controles en:

· Revisión de Controles Generales PED

· Revisión de controles específicos PED. Estos, se dividen, a su vez, en:

· Controles manuales empleados por el usuario.

· Controles sobre las salidas del sistema.

· Procedimientos de control programado.

El segundo complemento se desarrolla a través del Anexo I a la NIA 6, (sección 1001 -International Auditing Practice Statements – CIS Environments – Stand-Alone Microcomputers) la cual desarrolla el tema del Ambiente PED específicamente aplicado cuando las organizaciones utilizan microcomputadores independientes.

En particular, divide el análisis en siguientes puntos de relevancia:

· Características

En general, la utilización de microcomputadores independientes (PCs) define un estilo de operación menos estructurado que cuando se establece un ambiente PED centralizado. Este punto tiene una relevancia e impacto muy importantes, sobre todo, en los controles sobre el desarrollo y funcionamiento de los sistemas.

Por otro lado, también puede no ser fácil distinguir entre los controles generales PED y los controles de aplicación PED por las mismas características de los involucrados tanto en el diseño como en la operación y control de los sistemas utilizados por la organización.

· Procedimientos a tener en cuenta para mejorar el nivel global de control interno en aspectos relacionados con la seguridad y control

Fundamentalmente, hace hincapié en

n La existencia de la autorización de la gerencia para la operación del microcomputador

n La seguridad física del equipo utilizado

n La seguridad física de los dispositivos portátiles y fijos (ordenadores, discos fijos, diskettes, etc.)

n La seguridad de los programas y datos

n La integridad de los programas del computador (sistemas operativos) y de los datos

n Back-up de hardware, software e información (datos, archivos, etc).

· Efecto del microcomputador en el sistema de contabilidad y sus riesgos resultantes

Con respecto a este punto, define que el efecto a registrarse en el sistema de contabilidad y sus riesgos resultantes dependerán de:

· La amplitud con que se utilice para procesar aplicaciones contables

· El tipo e importancia de las operaciones financieras que se procesen

· La naturaleza de los archivos y programas utilizados en las aplicaciones.

· Efecto del ambiente de microcomputadores independientes en los procedimientos de auditoría.

En este aspecto, y siempre tomando como base la relación costo beneficio, el enfoque de auditoría podrá ser:

· Sustantivo(donde no se efectuará revisión de los controles generales PED ni de los controles de aplicación PED) o

· Mixto a través del apoyo en los controles internos contables donde, fundamentalmente, se deberá tener muy en cuenta, para su evaluación y definición de confianza en los mismos:

· Separación de funciones y balanceo de controles

· Acceso al microcomputador y a sus archivos

· Uso de programas (software) de propiedad de terceros.

El tercer complemento lo constituye el Anexo II a la NIA 6 (sección 1002 -International Auditing Practice Statements – CIS Environments-On-Line Computer Systems), dado por el análisis del Ambiente PED en organizaciones que utilizan microcomputadores en línea.

En primer lugar, se debe aclarar que se entiende por computadores en línea aquellos que, por algún medio de enlace, se encuentran comunicados de manera tal de poder intercambiar información.

Al respecto, se pueden diferenciar los sistemas en línea donde existe una unidad principal de procesamiento (en general un equipo) el cual administra y abastece las necesidades de procesamiento y comunicación de distintas terminales (como ejemplo podemos dar a un sistema bajo sistema operativo UNIX) y aquellos conformados por la estructura de una Red (LAN -red de área local- o WAN –red de área amplia-) con una o varias unidades principales o servers.

En cuanto a las terminales, se pueden dividir en aquellas que sirven a:

· Propósitos generales (bajo la forma de terminales inteligentes o bobas y microcomputadores)

· Propósitos especiales (como por ejemplo: cajas registradoras, cajeros automáticos, etc).

El procesamiento en línea admite distintas combinaciones relacionadas con el tipo de tarea y el tiempo en que se realiza (fundamentalmente en el aspecto de actualización de los datos de archivo principal o base de datos). En tal sentido se puede identificar las siguientes relaciones:

· En línea / procesamiento en tiempo real

· En línea / procesamiento por lotes (batch)

· En línea / actualización de memoria (y procesamiento subsiguiente)

· En línea / consultas e indagaciones

· En línea / proceso por descarga y carga

El Anexo II a la NIA 6 también define los puntos a tener en cuenta con respecto al análisis y evaluación del control interno en un sistema de microcomputadores en línea, dividiendo a éstos entre aquellos relacionados con los controles generales PED y los controles de aplicación PED. Entre los primeros, se hace especial énfasis en:

· Controles de acceso

· Control sobre las contraseñas (passwords)

· Control sobre el desarrollo y mantenimiento del sistema

· Controles de programación

· Diarios (registros cronológicos) de operaciones

Con respecto a los controles de aplicación PED, se deben verificar:

· Autorización previa al procesamiento

· Pruebas de edición, razonabilidad y otras validaciones sobre el terminal

· Procedimientos de corte

· Control de archivos

· Control de archivos maestros

· Balanceos

Por último, define cuales son los puntos relevantes a tener en cuenta y que tienen efecto sobre los procedimientos de auditoría a ser ejecutados por el auditor. En este aspecto, se deben tener en cuenta:

· Autorización, integridad y exactitud de las operaciones en línea

· Integridad de registros y procesamiento

· Cambios en el funcionamiento de los procedimientos de auditoría (incluyendo TAAC) por asuntos tales como:

· Necesidad de auditores con habilidad técnica específica

· Oportunidad de los procedimientos

· Falta de huellas visibles de las operaciones

· Procedimientos en la etapa de planeamiento

· Procedimientos aplicados concurrentemente con el procesamiento en línea

· Procedimientos aplicados después del procesamiento en línea.

Por último, el Anexo 3 a la NIA 6 (sección 1003 -International Auditing Practice Statements – CIS Environments –Database Systems) lo constituye el análisis en particular del ambiente PED relacionado con la utilización por parte de organizaciones de Bases de Datos , incrementando y llevando a un nivel de mayor detalle los considerandos por parte del auditor con respecto a la definición de sus procedimientos de auditoría.

 

 

ANEXO III

 

CONCEPTOS GENERALES DE MUESTREO APLICADOS A LA AUDITORIA DE ESTADOS FINANCIEROS

Se puede definir al muestreo como el proceso de inferir conclusiones acerca de un conjunto de elementos denominado universo o población en base al estudio de una fracción de esos elementos llamado muestra.

En orden a llevar a cabo cualquier proceso de muestreo, es necesario establecer las siguientes etapas relacionadas con su definición y puesta en práctica:

1) Planificación de la muestra

En esta etapa se determina los pasos a seguirse en función de preparar el trabajo total de muestreo, interesando la definición del universo a analizar (base para la obtención de la muestra) y evaluando características tales como la estratificación del mismo (distintos niveles posibles de agrupamiento dentro del universo como resultado de la identificación de distintas características o comportamientos similares de los datos o elementos que lo componen)

También incluye la definición de cual es el objetivo que se pretende alcanzar con el muestreo a realizar (por ejemplo análisis de atributos de la población o determinación de desvíos bajo la forma de valores relacionados)

Otro de los aspectos a tener en cuenta tiene que ver con el análisis del comportamiento probabilístico relacionado con las diferencias (desvíos) entre los datos y su media (por ejemplo: si se comportan como una distribución normal o curva de Gauss o si lo hacen por otro tipo de comportamiento de distribución (S de Snedecor, etc.)

2) Determinación del tamaño de la muestra

Partiendo de la base que una muestra tiene por objetivo obtener conclusiones para una gran población de elementos a partir de las conclusiones obtenidas para unos pocos, la definición del tamaño que alcanzará esta cantidad de datos es de suma importancia teniendo en cuenta dos elementos esenciales para su determinación:

· El nivel de seguridad que se desea alcanzar con respecto a las conclusiones que se obtendrán a partir de las muestras

· El nivel de precisión (o error más probable o aceptable relacionado con el universo de datos a analizar.

3) Selección de la muestra

Desde un punto de vista estrictamente estadístico, la cantidad de elementos que se definan en el paso anterior deben ser seleccionados partiendo de la base que cualquiera de los elementos del universo deben tener la misma posibilidad de ser elegidos. En tal sentido, la utilización de tablas de números aleatorios aplicados a la sección de muestras, es el procedimiento más acorde para validar esta restricción.

4) Examen de la muestra

En cuanto a esta etapa, corresponde determinar, en función del programa de trabajo definido, los resultados de su aplicación a los elementos elegidos en la etapa anterior.

5) Evaluación de los resultados

Es de fundamental importancia analizar y evaluar los resultados obtenidos de la aplicación del programa de trabajo relacionado con los datos seleccionados como muestra.

Se deben identificar, fundamentalmente, que tipos de errores se han detectado y si los mismos siguen o no patrones regulares (repetitivos) o consisten en situaciones aleatorias. Cada caso requiere un análisis especial.

6) Formulación de las conclusiones

La última etapa de la aplicación del muestreo, corresponde a la formulación de las conclusiones derivadas de la muestra y su proyección para todo el universo de datos.

En general, se deben obtener conclusiones de tipo:

“...con un 95% de seguridad el error máximo a identificar en el lote de transacciones analizadas no supera el 3% del total de la población...

“...con un 95% de seguridad (o un riesgo del 5%) el valor del rubro XX no es superior a $ xxxxxx ni inferior a $ xxxxxxxxx...".

En realidad, cuando se aplica el muestreo a tareas de auditoría, se pueden utilizar, en forma general dos tipos de muestreo:

· Muestreo de Atributos

Se busca determinar la ocurrencia o no de determinados atributos (en general de control o referidos a los sistemas de control interno) de los elementos seleccionados de una muestra de transacciones que tienen impacto en los estados financieros.

En general, se aplica a las pruebas de cumplimiento (tanto del SCII como del SCIC). En caso de obtenerse resultados negativos (valores de desvío superiores a los establecidos como aceptables) se deben cambiar los procedimientos de auditoría a aplicar a un enfoque sustancialmente sustantivo mediante la aplicación de técnicas de muestreo o u otros procedimientos.

· Muestreo de Variables

Se tiene como objetivo determinar montos (valores) máximos de desvíos de un ítem o conjunto de ítems (saldos o rubros de los estados financieros) a través de la aplicación del muestreo estadístico.

En general, se aplica a pruebas sustantivas y los valores de desvío relevantes se toman en el rango que afecta a la exposición e información a terceros del rubro o saldo analizado (por ej.: si analizamos activo, nos preocupa que el rubro no este sobrevaluado. A contrario sensu, si analizamos pasivo, nos preocupa que el rubro no este subvaluado.

Las diferencias entre los valores de desvío proyectado para el rubro y los valores expuestos en el mismo, deben considerarse y compararse con nuestros valores de materialidad establecidos para los estados financieros en su conjunto o para el componente individual, determinando así la necesidad de mejorar la precisión del muestreo, elevar asientos de ajuste a los estados financieros o calificar nuestro dictamen

Las pruebas de auditoría utilizadas por el auditor, pueden basarse en medición estadística o no tenerla.

En caso de pruebas sin medición estadística (aplicación de un plan de muestreo formal), el auditor realiza las distintas etapas del muestreo basándose exclusivamente en su criterio.

Ventajas

· No exige adiestramiento especial

· Mejores en universos menores y heterogéneos

· Mayor necesidad de utilizar el criterio profesional

· Más rápido en universos pequeños

Desventajas

· Problemas de responsabilidad civil, penal y profesional por subjetividad para la determinación de muestras

· Conclusiones subjetivas.

En caso de pruebas con medición estadística (aplicación de un plan de muestreo formal), el auditor realiza las distintas etapas del muestreo basándose en:

· Confluencia de criterio y características del universo a examinar determinan, mediante fórmulas matemáticas el tamaño de la muestra

· Selección de la muestra que excluye la subjetividad del auditor (aleatoria)

· Evaluación de resultados para todo el universo a partir de los valores de la muestra mediante la utilización de fórmulas matemáticas.

Ventajas

· Menor tamaño de las muestras. Elimina la subjetividad en su determinación

· Mide la precisión de las conclusiones y el grado de seguridad con que estas pueden ser sustentadas

· Economía de tiempos en universos muy grandes

· Mayor calidad del trabajo

· Facilita la planificación del trabajo

Desventajas

· Requiere de un entrenamiento y comprensión adecuados

Desde el punto de vista de las normas nacionales, no existe una definición específica de procedimientos a seguir (pautas mínimas) para conducir un trabajo de muestreo aplicado a la auditoría de estados financieros.

En el ámbito internacional, se pueden citar a la NIA 25 del IFAC y al SAS 39 (AU350) con específica aplicación en Estados Unidos.